POLITIQUE DE CONFIDENTIALITÉ & PROTECTION DES DONNÉES (RGPD)
Version : 1.0 — Octobre 2025
Éditeur : TMF Compta SNC
Plateforme : Finnix (https://finnix.eu)
1. IDENTITÉ DU RESPONSABLE DU TRAITEMENT
TMF Compta SNC, agissant sous la dénomination commerciale Finnix
Sterrebeekstraat 154, 1930 Zaventem, Belgique
TVA : BE 0505.985.850
TMF Compta agit en tant que responsable du traitement pour les données de ses utilisateurs directs (comptes, abonnements, support), et en tant que sous-traitant pour les données de leurs propres clients (factures, devis, documents PEPPOL).
2. OBJET ET CHAMP D'APPLICATION
La présente politique de confidentialité a pour objet :
- de préciser quelles données personnelles sont collectées via la plateforme Finnix,
- de détailler pour quelles finalités elles sont traitées,
- d'expliquer comment elles sont protégées,
- et de rappeler les droits dont disposent les utilisateurs conformément au Règlement (UE) 2016/679 (RGPD) et à la loi belge du 30 juillet 2018.
Cette politique s'applique à tous les utilisateurs de la plateforme Finnix, qu'ils soient clients, visiteurs, partenaires ou sous-traitants.
3. DONNÉES PERSONNELLES TRAITÉES
3.1. Données des utilisateurs de la plateforme
- Données d'identification : nom, prénom, adresse e-mail, téléphone, mot de passe (chiffré), langue, fuseau horaire.
- Données professionnelles : dénomination de l'entreprise, forme juridique, adresse, numéro de TVA, numéro BCE.
- Données financières : IBAN professionnel, informations d'abonnement, mode de paiement (via Stripe, jamais stockées par Finnix).
- Données de connexion : adresse IP, type d'appareil, navigateur, logs de connexion et d'activité (audit de sécurité).
- Données de communication : contenu des échanges via support, e-mails ou chat intégré.
3.2. Données des clients finaux (traitées pour le compte des utilisateurs)
- Identité du client, adresse, e-mail, numéro de TVA, montant facturé, contenu des factures, devis et notes de crédit.
- Ces données sont sous la responsabilité de l'utilisateur (comptable, entreprise, indépendant). Finnix agit ici en tant que sous-traitant.
3.3. Données collectées automatiquement
- Cookies techniques indispensables au fonctionnement (authentification, session, préférences).
- Cookies analytiques anonymes (Matomo / Plausible) soumis au consentement.
- Journaux d'erreurs applicatifs et d'accès serveur.
4. FINALITÉS ET BASES JURIDIQUES
| Finalité du traitement | Base légale (article 6 RGPD) |
|---|---|
| Création et gestion des comptes utilisateurs | Exécution du contrat |
| Émission, stockage et envoi de factures | Exécution du contrat / Obligation légale |
| Transmission via réseau PEPPOL | Exécution du contrat / Obligation légale |
| Gestion des abonnements et paiements | Exécution du contrat |
| Envoi de communications et notifications | Intérêt légitime / Consentement |
| Amélioration de la qualité du service | Intérêt légitime |
| Lutte contre la fraude et sécurité des comptes | Intérêt légitime |
| Conformité aux obligations comptables et fiscales | Obligation légale |
| Envoi de newsletters (optionnel) | Consentement explicite |
5. DESTINATAIRES DES DONNÉES
Les données peuvent être communiquées aux catégories suivantes de destinataires :
- Hébergeur : Hetzner Online GmbH (Allemagne), dans l'Espace économique européen.
- Prestataire de paiement : Stripe Payments Europe Ltd (Irlande).
- Prestataire e-mail : Resend.
- Prestataire PEPPOL : Point d'accès certifié pour la transmission électronique (au sein de l'UE).
- Autorités publiques : sur demande légitime (SPF Finances, autorités judiciaires).
- Conseillers externes : experts comptables, auditeurs, juristes, uniquement dans le cadre contractuel.
Aucune donnée n'est vendue ni louée à des tiers.
6. TRANSFERTS HORS DE L'EEE
Certains sous-traitants (ex : SendGrid, Twilio) peuvent héberger des données aux États-Unis. Dans ce cas, Finnix s'assure que :
- les clauses contractuelles types (CCT) de la Commission européenne sont intégrées,
- et que les transferts respectent les garanties du Data Privacy Framework UE–USA.
7. DURÉE DE CONSERVATION
| Type de données | Durée de conservation |
|---|---|
| Données de compte utilisateur | 3 ans après la désactivation du compte |
| Données clients et factures | 10 ans (obligation légale comptable) |
| Logs techniques et connexions | 6 mois |
| Données de paiement (Stripe) | Durée de la relation contractuelle |
| Communications support | 2 ans |
| Cookies analytiques | 13 mois maximum |
À l'expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible.
8. DROITS DES PERSONNES CONCERNÉES
Chaque utilisateur dispose des droits suivants :
- Accès : savoir quelles données sont traitées.
- Rectification : corriger toute information inexacte.
- Suppression : demander la suppression des données (sauf obligation légale).
- Portabilité : recevoir ses données dans un format structuré.
- Limitation du traitement : geler temporairement l'usage des données.
- Opposition : refuser certains traitements (marketing).
- Retrait du consentement à tout moment.
Pour exercer ces droits : privacy@finnix.eu
Preuve d'identité (scan carte ID) peut être demandée uniquement pour vérifier la légitimité de la demande.
En cas de désaccord, l'utilisateur peut introduire une plainte auprès de :
Autorité de protection des données (APD)
Rue de la Presse 35, 1000 Bruxelles — www.autoriteprotectiondonnees.be
9. MESURES DE SÉCURITÉ
Finnix met en œuvre des mesures techniques et organisationnelles avancées :
- Chiffrement TLS 1.3 de toutes les communications,
- Hashage des mots de passe par bcrypt,
- Sauvegardes chiffrées et stockées dans l'EEE,
- Journalisation des accès et actions sensibles,
- Limitation des accès internes selon le principe du moindre privilège.
En cas de violation de données, Finnix notifiera l'Autorité compétente et les personnes concernées dans les 72 heures.
10. SOUS-TRAITANCE ET CONTRATS
Conformément à l'article 28 RGPD, Finnix ne fait appel qu'à des sous-traitants présentant des garanties suffisantes. Chaque prestataire est lié par un contrat de sous-traitance RGPD précisant :
- l'objet du traitement,
- les mesures de sécurité,
- la durée et la restitution des données,
- l'interdiction d'agir sans instruction écrite.
La liste actualisée des sous-traitants peut être obtenue sur demande à privacy@finnix.eu.
11. UTILISATION DU RÉSEAU PEPPOL
Finnix permet la transmission des factures électroniques via le réseau PEPPOL. Les données échangées sont :
- Identifiants PEPPOL,
- Informations de facturation structurée (UBL XML),
- Métadonnées d'envoi et de réception.
Les transmissions sont effectuées via un point d'accès certifié, conforme aux spécifications eDelivery et AS4, garantissant la traçabilité et l'intégrité des messages. Finnix ne conserve que les journaux techniques nécessaires au suivi et à la preuve d'envoi.
12. COOKIES ET TRACEURS
12.1. Cookies techniques (indispensables)
- Authentification utilisateur,
- Conservation des sessions,
- Sécurité (anti-CSRF).
12.2. Cookies analytiques (soumis au consentement)
- Outil utilisé : Plausible.io (hébergé dans l'EEE, sans cookies personnels).
- Objectif : analyse de performance du site.
12.3. Paramétrage
L'utilisateur peut gérer ses préférences via la bannière de consentement ou les paramètres de son navigateur.
13. GESTION DES COMPTES ET SUPPRESSION DES DONNÉES
À tout moment, un utilisateur peut :
- Supprimer son compte via les paramètres → "Supprimer mon compte" ;
- Exporter ses données via l'interface ("Télécharger mes données") ;
- Demander assistance à privacy@finnix.eu.
Les documents comptables restent archivés pendant la durée légale de conservation, même après suppression du compte.
14. REGISTRE DES TRAITEMENTS (résumé public)
| Catégorie de traitement | Responsable | Sous-traitant | Données concernées | Durée |
|---|---|---|---|---|
| Gestion des utilisateurs | Finnix | Kago Group | Identité, email | 3 ans |
| Facturation clients | Utilisateur | Finnix | Données de factures | 10 ans |
| Paiements | Finnix | Stripe | Données de paiement | Contrat |
| Envoi d'e-mails | Finnix | Resend | Adresse e-mail | 2 ans |
| PEPPOL | Finnix | Point d'accès certifié | UBL XML | 10 ans |
| Support client | Finnix | Aucun | E-mails / Logs | 2 ans |
15. MISE À JOUR DE LA POLITIQUE
TMF Compta se réserve le droit de modifier la présente politique à tout moment. Toute mise à jour sera publiée sur https://finnix.eu/privacy et notifiée par e-mail aux utilisateurs concernés.
16. CONTACT DÉDIÉ À LA PROTECTION DES DONNÉES
Délégué à la protection des données (DPO) :
privacy@finnix.eu
ANNEXE : DÉCLARATION DE CONFORMITÉ RGPD
Finnix atteste :
- Être conforme au Règlement (UE) 2016/679 et à la loi belge du 30 juillet 2018.
- Héberger l'intégralité des données utilisateurs au sein de l'Union européenne.
- Avoir mis en place une politique interne de gestion des incidents et de confidentialité.
- Tenir à jour un registre des traitements et des sous-traitants.
- Sensibiliser ses employés à la protection des données.