Politique de confidentialité
Dernière mise à jour : mars 2026 · SAS NBHC
En résumé :
- ✓Données hébergées en France
- ✓Aucune donnée vendue à des tiers
- ✓Vos droits RGPD respectés
Sommaire
1. Responsable du traitement
| Raison sociale | NBHC |
| Forme juridique | Société par actions simplifiée (SAS) |
| Capital social | 500,00 € |
| Siège social | 55 Rue Henri Clément, 71100 Saint-Rémy |
| SIREN | 102 637 899 — RCS Chalon-sur-Saône |
| Email DPO | privacy@devizly.fr |
2. Données collectées
Devizly s'engage à protéger la vie privée de ses utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
2.1 Données des utilisateurs (freelancers)
| Donnée | Finalité | Base légale |
|---|---|---|
| Email, nom, prénom | Création et gestion du compte | Exécution du contrat |
| SIRET, adresse professionnelle | Mentions obligatoires sur devis/factures | Obligation légale |
| Données de connexion (IP, user-agent) | Sécurité, détection de fraude | Intérêt légitime |
2.2 Données des clients finaux
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, email, téléphone | Envoi de devis et factures | Intérêt légitime du freelancer |
| Adresse | Mentions obligatoires facturation | Obligation légale |
| Signature électronique | Preuve d'acceptation du devis | Exécution du contrat |
| Consultation de devis (date, IP) | Suivi de lecture | Intérêt légitime |
2.3 Données de paiement
Les données de carte bancaire sont traitées exclusivement par Stripe (certifié PCI-DSS niveau 1). Devizly ne stocke jamais de numéro de carte bancaire.
3. Intelligence artificielle — Mistral AI
Devizly utilise l'API Mistral AI pour la génération de devis. Voici les garanties appliquées :
- Hébergement : 100% en France (serveurs Mistral AI)
- Anonymisation : les données envoyées à Mistral sont anonymisées — aucun nom de client, email ou donnée nominative n'est transmis. Seules les descriptions de prestations et paramètres commerciaux sont envoyés.
- Pas d'entraînement : les données transmises à Mistral AI ne sont pas utilisées pour l'entraînement de ses modèles, conformément aux conditions de leur API professionnelle.
- Rétention : Mistral AI ne conserve pas les données au-delà du traitement de la requête.
IA hébergée en France
Les données envoyées à Mistral AI sont anonymisées et ne sont jamais utilisées pour l'entraînement des modèles.
4. Sous-traitants
Devizly fait appel aux sous-traitants suivants pour le traitement de données personnelles. Des clauses contractuelles types (CCT) sont en place pour chaque sous-traitant situé hors de l'UE.
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données, authentification | UE (AWS eu-west) | DPA, chiffrement au repos et en transit |
| Vercel | Hébergement application | International (CDN) | DPA, clauses contractuelles types |
| Stripe | Paiement en ligne | International | PCI-DSS niveau 1, DPA, clauses contractuelles types |
| Mistral AI | Génération de devis par IA | France | API professionnelle, pas d'entraînement sur les données |
| Resend | Envoi d'emails transactionnels | International | DPA, clauses contractuelles types |
| Upstash | Rate limiting (Redis) | UE | DPA, données éphémères uniquement |
5. Durée de conservation
| Données | Durée |
|---|---|
| Compte utilisateur | Durée du compte + 3 ans après suppression |
| Devis et factures | 10 ans (obligation légale comptable) |
| Données de paiement | 13 mois (Stripe, obligation PCI) |
| Logs de connexion | 12 mois |
| Données de prospects (formulaire) | 3 ans sans interaction |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données personnelles
- Rectification : corriger des données inexactes
- Effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation)
- Portabilité : recevoir vos données dans un format structuré (CSV)
- Opposition : vous opposer au traitement fondé sur l'intérêt légitime
- Limitation : demander la limitation du traitement
Exercer vos droits
Pour exercer vos droits, contactez-nous à : privacy@devizly.fr
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
7. Sécurité
Devizly met en oeuvre les mesures techniques suivantes :
- Chiffrement HTTPS/TLS pour toutes les communications
- Chiffrement au repos des données en base (Supabase/AWS)
- Row Level Security (RLS) — chaque utilisateur n'accède qu'à ses propres données
- Authentification sécurisée (Supabase Auth, hachage bcrypt)
- Rate limiting sur les endpoints publics (Upstash Redis)
- Tokens de partage à usage unique pour les devis partagés
8. Transferts hors UE
Certains sous-traitants (Vercel, Stripe, Resend) opèrent internationalement. Des clauses contractuelles types (CCT) approuvées par la Commission européenne encadrent ces transferts conformément aux articles 46 et 49 du RGPD.
9. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, les utilisateurs seront informés par email. La date de dernière mise à jour figure en haut de cette page.
Pour toute question relative à vos données : privacy@devizly.fr
NBHC SAS — Capital 500 € — RCS Chalon-sur-Saône — SIREN 102 637 899