Politique de Confidentialité
Dernière mise à jour : 29 avril 2026
1. Introduction
La présente Politique de confidentialité décrit comment AXO-LAB SASU (« nous », « notre »), éditrice du service PACS Entreprise, collecte, utilise et protège vos données personnelles.
Nous nous engageons à respecter votre vie privée et à protéger vos données conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
Cette politique constitue notre engagement de transparence vis-à-vis des personnes dont nous traitons les données, conformément à l'article 13 du RGPD.
2. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
AXO-LAB SASU
Société par actions simplifiée unipersonnelle — SIREN 103 310 017
Le Point Commun, Place Claude Wormser, 03000 Avermes, France
Email : contact@axo-lab.fr
Téléphone : 07 51 68 90 50
Délégué à la Protection des Données (DPO) — fonction assurée en interne : contact@axo-lab.fr
3. Données collectées
3.1 Données que vous nous fournissez
- Données d'identification : nom, prénom, adresse email
- Données de connexion : mot de passe (stocké de manière hashée par Supabase Auth, jamais en clair)
- Données de profil professionnel : fonction, raison sociale, entreprise/cabinet
- Données d'entreprise: SIREN, raison sociale, secteur d'activité, code APE
- Documents importés : liasse fiscale (formulaires 2050 à 2059), bilans, comptes de résultat
3.2 Données collectées automatiquement
- Données techniques: adresse IP, type de navigateur, système d'exploitation, horodatage des connexions
- Données d'utilisation: pages visitées, fonctionnalités utilisées, actions effectuées dans l'application
- Cookies : voir section 10
3.3 Données issues de sources externes publiques
Pour enrichir l'analyse de votre entreprise, nous interrogeons des registres officiels publics :
- API SIRENE (INSEE) : informations légales publiques sur les entreprises (raison sociale, adresse, code APE, statut)
- API INPI : données du Registre National des Entreprises (immatriculation, représentants légaux)
- API BODACC : publications légales (procédures collectives, modifications statutaires)
Ces données sont publiques et accessibles à tous. Elles servent uniquement à compléter l'analyse et à valider la cohérence des informations que vous nous fournissez.
4. Finalités du traitement
Nous traitons vos données pour les finalités suivantes :
| Finalité | Description |
|---|---|
| Fourniture du service | Analyser votre liasse fiscale, calculer votre score sur 10, comparer aux benchmarks sectoriels, restituer les résultats vulgarisés |
| Authentification & gestion de compte | Créer et gérer votre compte utilisateur, sécuriser vos accès |
| Communication transactionnelle | Envoyer les emails strictement liés au service (confirmation de compte, réinitialisation de mot de passe, notifications de service) |
| Support utilisateur | Répondre à vos demandes d'assistance ou questions |
| Amélioration du service | Analyser de façon agrégée et anonymisée l'utilisation pour améliorer les fonctionnalités (phase bêta — analytics si activés, voir section 10) |
| Sécurité & prévention de la fraude | Détecter les usages anormaux, prévenir les abus, garantir l'intégrité du service |
| Obligations légales | Respecter nos obligations légales et réglementaires applicables |
PACS Entreprise est actuellement en phase bêta gratuite : aucune donnée bancaire ni facturation n'est traitée à ce stade.
5. Base légale
Nos traitements reposent sur les bases légales suivantes (article 6 du RGPD) :
- Exécution du contrat (art. 6.1.b) : pour la fourniture du service que vous utilisez (analyse de votre liasse fiscale, calcul du score, gestion de compte)
- Consentement (art. 6.1.a) : pour les éventuels cookies analytiques (si activés) — révocable à tout moment
- Intérêt légitime(art. 6.1.f) : pour la sécurité du service, l'amélioration produit (analyses agrégées) et la prévention de la fraude
- Obligation légale (art. 6.1.c) : pour respecter nos obligations légales et réglementaires applicables
6. Destinataires des données
6.1 Au sein d'AXO-LAB SASU
Vos données ne sont accessibles qu'aux personnes habilitées d'AXO-LAB SASU, dans la stricte limite de leurs missions (support, maintenance, amélioration du service).
6.2 Nos sous-traitants (article 28 RGPD)
Nous faisons appel à des sous-traitants soumis à des engagements contractuels stricts en matière de confidentialité et de protection des données :
| Sous-traitant | Rôle | Lieu de traitement |
|---|---|---|
| Mistral AI | Extraction OCR et parsing structuré des liasses fiscales (IA souveraine) | Paris, France (UE) |
| Supabase Inc. | Hébergement de la base de données et authentification | Région EU Frankfurt, Allemagne (UE) |
| OVHcloud SAS | Hébergement applicatif | Roubaix / Gravelines, France (UE) |
6.3 Partage autorisé par l'utilisateur
Si à l'avenir vous invitez un tiers (par exemple un expert-comptable) à accéder à votre dossier, les données concernées seront partagées avec cette personne dans la limite des accès que vous lui aurez accordés.
6.4 Obligations légales
Nous pouvons être amenés à communiquer vos données aux autorités administratives ou judiciaires compétentes, sur demande légale et dans les limites strictes du droit applicable.
7. Transferts de données hors Union européenne
Aucun transfert de données hors UE n'est effectué dans le cadre du service PACS Entreprise. L'ensemble de nos sous-traitants opère depuis l'Union européenne (Mistral AI en France, OVHcloud en France, Supabase en région EU Frankfurt). Cette souveraineté européenne fait partie des choix structurants d'AXO-LAB SASU.
Si une évolution future devait impliquer un transfert hors UE, celui-ci serait encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne, et vous en seriez informé en amont conformément à l'article 13 du RGPD.
8. Durée de conservation
Vos données sont conservées pour des durées proportionnées aux finalités :
| Type de données | Durée de conservation |
|---|---|
| Compte actif (données d'identification & profil) | Durée d'utilisation du service |
| Compte supprimé | 30 jours pour réversibilité après demande de suppression, puis suppression définitive |
| Documents importés (liasse fiscale, bilans) | Durée d'utilisation + 30 jours après suppression du compte |
| Logs techniques (connexion, sécurité) | 12 mois maximum |
| Cookies | Voir section 10 |
À l'issue de ces durées, vos données sont supprimées définitivement ou anonymisées de manière irréversible.
9. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Description |
|---|---|
| Accès | Obtenir confirmation et copie des données vous concernant |
| Rectification | Faire corriger des données inexactes ou incomplètes |
| Effacement | Demander la suppression de vos données (« droit à l'oubli ») — disponible directement dans votre espace utilisateur |
| Limitation | Limiter le traitement de vos données dans certains cas |
| Portabilité | Recevoir vos données dans un format structuré et lisible — export ZIP disponible dans votre espace utilisateur |
| Opposition | Vous opposer à un traitement fondé sur l'intérêt légitime |
| Retrait du consentement | Retirer à tout moment un consentement précédemment donné, sans remettre en cause la licéité des traitements antérieurs |
Comment exercer vos droits
Vous pouvez exercer vos droits :
- Par email : contact@axo-lab.fr
- Par courrier : AXO-LAB SASU — Le Point Commun, Place Claude Wormser, 03000 Avermes, France
- Depuis votre espace utilisateur: section Paramètres > Mes données (export et suppression directs)
Nous répondrons à votre demande dans un délai d'un mois maximum à compter de sa réception, conformément à l'article 12.3 du RGPD. Une preuve d'identité pourra vous être demandée en cas de doute légitime.
Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
www.cnil.fr
11. Sécurité
AXO-LAB SASU met en œuvre des mesures techniques et organisationnelles pour protéger vos données contre la perte, l'accès non autorisé, la divulgation ou la destruction :
- Chiffrement en transit : toutes les communications sont chiffrées via HTTPS (TLS 1.3)
- Chiffrement au repos : les données stockées sont chiffrées par notre infrastructure (Supabase, OVHcloud)
- Mots de passe : stockés exclusivement sous forme hashée par Supabase Auth — jamais en clair
- Row Level Security (RLS) : isolation stricte des données entre utilisateurs au niveau de la base de données
- Filtrage applicatif : contrôles explicites par identifiant utilisateur (defense-in-depth)
- Accès restreint: seules les personnes habilitées d'AXO-LAB SASU peuvent accéder aux données, dans la limite stricte de leurs missions
- Sauvegardes : sauvegardes régulières automatisées, sécurisées et restaurables
- Sensibilisation interne: formation et sensibilisation continues de l'équipe aux bonnes pratiques RGPD
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons dans les meilleurs délais et notifierons la CNIL dans les 72 heures, conformément à l'article 33 du RGPD.
12. Modifications
Nous pouvons modifier la présente Politique de confidentialité afin de refléter l'évolution du service ou de la réglementation. En cas de modification substantielle, nous vous en informerons par email et/ou par une notification dans l'application.
La date de dernière mise à jour est indiquée en haut de ce document. La poursuite de l'utilisation du service après notification vaut prise de connaissance des modifications.
13. Contact
Pour toute question concernant la présente Politique ou le traitement de vos données personnelles :
AXO-LAB SASU — DPO interne
Email : contact@axo-lab.fr
Téléphone : 07 51 68 90 50
Adresse : Le Point Commun, Place Claude Wormser, 03000 Avermes, France
Vous pouvez également nous joindre via la page Contact.