Politique de confidentialité

Comment Deviflow collecte, utilise et protège vos données personnelles (RGPD)

Dernière mise à jour : 18 mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le service Deviflow est :

  • Dénomination : Deviflow
  • Responsable : Michel Guillaume
  • SIRET : 90906456000024
  • Adresse : Rue Des Mésanges, 35780 La Richardais
  • Site web : www.deviflow.app
  • Contact DPO : contact@deviflow.app

2. Données collectées

Dans le cadre de la fourniture du service, Deviflow collecte et traite les catégories de données suivantes :

Données d'identification et de connexion

  • Nom et prénom
  • Adresse email
  • Photo de profil (si connexion via Google)
  • Identifiant unique Clerk
  • Journaux de connexion (date, heure, adresse IP)

Données professionnelles (profil artisan)

  • Nom et dénomination de l'entreprise
  • Numéro SIRET
  • Adresse professionnelle
  • Numéro de téléphone professionnel
  • Email professionnel
  • Métier (type d'artisan)

Données liées aux devis

  • Informations des clients (nom, email, téléphone, adresse de chantier)
  • Descriptions des travaux et interventions
  • Lignes tarifaires, quantités, prix unitaires
  • Statuts et historique des devis

Données de paiement

  • Statut de l'abonnement (gratuit / pro)
  • Identifiant client Stripe (référence anonymisée)
  • Les données bancaires (numéro de carte, etc.) sont gérées exclusivement par Stripe et ne sont jamais transmises à Deviflow.

Données de facturation

  • Références de factures (acompte, solde)
  • Montants facturés et pourcentages d'acompte
  • Statuts de paiement des factures

3. Finalités et bases légales

Chaque traitement repose sur une base légale conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) :

  • Exécution du contrat (art. 6.1.b) : création et gestion du compte, fourniture des fonctionnalités du service (génération de devis, export PDF, envoi email, gestion des statuts), facturation et paiement.
  • Intérêt légitime (art. 6.1.f) : sécurité du service, prévention des fraudes, amélioration du produit, support client.
  • Obligation légale (art. 6.1.c) : conservation des données comptables et fiscales conformément aux obligations légales françaises.
  • Consentement (art. 6.1.a) : envoi de communications commerciales (uniquement avec accord explicite, non demandé par défaut).

4. Durée de conservation

  • Données de compte : conservées pendant toute la durée de l'abonnement actif, puis pendant 90 jours après la résiliation avant suppression définitive.
  • Données de devis et données clients : conservées 10 ans à compter de leur création, conformément aux obligations comptables françaises (article L123-22 du Code de commerce).
  • Journaux de connexion : conservés 12 mois.
  • Données de paiement : conservées selon les obligations de Stripe et les obligations fiscales applicables (généralement 5 à 10 ans).

5. Sous-traitants et destinataires

Deviflow fait appel aux sous-traitants suivants, chacun offrant des garanties adéquates en matière de protection des données :

  • Clerk (authentification) — serveurs aux États-Unis. Transfert encadré par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne. Politique de confidentialité : clerk.com/privacy.
  • Supabase (base de données et stockage) — données hébergées dans l'Union Européenne (EU West). Conforme au RGPD. Politique : supabase.com/privacy.
  • Vercel (infrastructure et déploiement) — serveurs en Europe et aux États-Unis. CCT en place. Politique : vercel.com/legal/privacy-policy.
  • Stripe (paiement) — conforme PCI DSS niveau 1. CCT en place pour les transferts UE/US. Politique : stripe.com/privacy.
  • Anthropic (API d'intelligence artificielle Claude) — les descriptions de travaux saisies sont transmises pour générer les devis. Ces données ne sont pas utilisées pour entraîner les modèles selon les conditions d'utilisation d'Anthropic pour les clients API. Politique : anthropic.com/privacy.
  • Resend (envoi d'emails transactionnels) — utilisé pour l'envoi des devis par email. Politique : resend.com/privacy. Transfert encadré par des Clauses Contractuelles Types (CCT).
  • Firma.dev (signature électronique) — utilisé pour la signature électronique des devis. Les documents signés transitent par leur infrastructure. Politique : firma.dev/privacy.

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.

6. Transferts hors Union Européenne

Certains sous-traitants (Clerk, Vercel, Anthropic) traitent des données aux États-Unis. Ces transferts sont encadrés par des garanties appropriées, notamment les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne en vertu de l'article 46 du RGPD.

Les données de la base de données principale (Supabase) sont hébergées exclusivement dans l'Union Européenne.

7. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir une copie des données vous concernant.
  • Droit de rectification : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
  • Droit d'opposition : s'opposer à certains traitements fondés sur l'intérêt légitime.
  • Droit à la limitation : demander la suspension temporaire d'un traitement.

Pour exercer ces droits, adressez votre demande par email à : contact@deviflow.app. Nous nous engageons à répondre dans un délai d'un mois.

En cas de réponse insatisfaisante, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française, à l'adresse : www.cnil.fr/fr/plaintes.

8. Cookies

Deviflow utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookies de session Clerk : permettent de maintenir la connexion de l'utilisateur de manière sécurisée. Ces cookies sont supprimés à la déconnexion. Durée : session ou jusqu'à 7 jours (option « rester connecté »).

Aucun cookie publicitaire, analytique tiers ou de suivi comportemental n'est utilisé. Les cookies strictement nécessaires ne requièrent pas de consentement préalable conformément à la directive ePrivacy transposée en droit français.

9. Sécurité des données

Deviflow met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, altération ou divulgation :

  • Chiffrement des données en transit (HTTPS / TLS)
  • Chiffrement des données au repos (Supabase)
  • Authentification sécurisée via Clerk (support MFA disponible)
  • Accès à la base de données limité via clés de service sécurisées
  • Clés secrètes stockées exclusivement dans des variables d'environnement sécurisées

10. Modifications de la politique

Deviflow se réserve le droit de modifier la présente politique de confidentialité. Toute modification substantielle sera communiquée par email avec un préavis raisonnable avant son entrée en vigueur.

La version en vigueur est celle accessible à l'adresse www.deviflow.app/confidentialite, avec la date de dernière mise à jour indiquée en tête de page.

Pour toute question relative à la protection de vos données : contact@deviflow.app.