Politique de protection des données personnelles (RGPD)
En vigueur à compter du : 12 mai 2026
Le présent document décrit la manière dont le service veritra.io traite les données personnelles de ses utilisateurs. Cette politique est conforme au Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD) ainsi qu'à la loi n° 110/2019 Sb. relative au traitement des données personnelles.
1. Responsable du traitement des données personnelles
Le responsable du traitement des données personnelles au sens de l'art. 4, par. 7 du RGPD est :
- RWX, s.r.o., IČO : 14235111
- Siège social : Sadová 1646, 560 02 Česká Třebová
- Immatriculée au registre du commerce tenu par le Tribunal régional de Hradec Králové, section C, dossier 49019
- Adresse e-mail de contact : michal@veritra.io
- Téléphone : +420 608 379 273
Eu égard à l'étendue du traitement, le prestataire n'est pas tenu de désigner un délégué à la protection des données (DPO) au sens de l'art. 37 du RGPD. L'adresse e-mail de contact indiquée ci-dessus est disponible pour toute question relative à la protection des données personnelles.
2. Données que nous traitons
Lors de l'inscription et de l'utilisation du service, nous traitons les catégories de données personnelles suivantes :
| Catégorie | Données spécifiques | Finalité |
|---|---|---|
| Données d'inscription | Adresse e-mail, nom, dénomination sociale, IČO, téléphone | Création et gestion du compte, communication |
| Données de facturation | Adresse de facturation, assujettissement à la TVA, numéro de compte bancaire | Émission de factures, obligations comptables |
| Données opérationnelles | Adresse IP, User-Agent, localisation par IP, horodatages | Sécurité, prévention des abus, statistiques |
| Données d'authentification | Mot de passe (haché), jetons, clés API (hachées) | Connexion, autorisation API |
| Données de contenu | Configuration des filtres de surveillance, historique des rapports, requêtes API | Exécution du service |
| Données de communication | Correspondance e-mail, contenu des formulaires de retour d'information | Assistance client |
| Données marketing (facultatif) | Suivi de l'ouverture des lettres d'information par e-mail | Amélioration de la communication |
Les mots de passe sont stockés sous forme de hachage unidirectionnel (bcrypt) ; le prestataire n'a pas accès aux mots de passe en clair. Les clés API sont stockées sous forme de hachage SHA-256 ; une fois générée, la clé est affichée une seule fois à l'utilisateur et le prestataire ne la conserve pas en clair.
3. Finalités et bases juridiques du traitement
Le traitement de chaque catégorie de données repose sur une base juridique au sens de l'art. 6 du RGPD :
- Exécution du contrat (art. 6, par. 1, point b) — données d'inscription, de facturation, d'authentification et de contenu. Sans ces données, le service ne peut être fourni.
- Respect d'une obligation légale (art. 6, par. 1, point c) — conservation des pièces comptables (10 ans conformément à la loi n° 563/1991 Sb. relative à la comptabilité), des documents fiscaux.
- Intérêt légitime (art. 6, par. 1, point f) — données opérationnelles à des fins de sécurité et de prévention des abus (limitation du débit, protection contre les attaques, détection des fraudes). Notre intérêt légitime l'emporte sur l'intérêt de l'utilisateur à ne pas voir ces données suivies, en raison de la nécessité d'assurer un fonctionnement stable et sécurisé du service.
- Consentement (art. 6, par. 1, point a) — communication marketing au-delà de la relation contractuelle (par exemple, lettre d'information sur les nouvelles fonctionnalités), pouvant être révoqué à tout moment dans les paramètres du compte.
4. Durée de conservation
| Catégorie | Durée de conservation |
|---|---|
| Données d'inscription et de contenu | Pendant la durée du contrat + 30 jours après sa résiliation (fenêtre d'exportation) |
| Pièces comptables | 10 ans à compter de la clôture de l'exercice comptable concerné |
| Journaux opérationnels (IP, User-Agent, horodatages) | 90 jours |
| Historique des communications | 3 ans à compter du dernier contact |
| Données d'authentification (mots de passe, clés API) | Pendant la durée du compte, puis suppression |
À l'expiration du délai applicable, les données sont définitivement supprimées ou anonymisées.
5. Destinataires des données personnelles (Sous-traitants)
Vos données personnelles sont transmises aux sous-traitants suivants, qui fournissent des services d'infrastructure et de support. Tous les sous-traitants sont liés par un accord de traitement des données (DPA) et offrent des garanties de protection appropriées conformément au RGPD.
| Sous-traitant | Finalité | Lieu de traitement |
|---|---|---|
| Vercel Inc. (États-Unis) | Hébergement de l'application web, exécution en périphérie | UE (Francfort) en priorité, basculement US (SCCs) |
| DigitalOcean LLC (États-Unis) | Base de données MySQL, stockage d'objets | UE (Francfort) |
| Cloudflare Inc. (États-Unis) | CDN, protection DDoS, DNS, WAF | Réseau périphérique mondial (nœud UE par défaut) |
| Upstash Inc. (États-Unis) | Redis pour la limitation du débit | UE (Francfort) |
| Stripe Payments Europe Ltd. (Irlande) | Traitement des paiements par carte | UE |
| Resend Inc. (États-Unis) | Envoi d'e-mails transactionnels et marketing | UE (Francfort) + basculement US (SCCs) |
| AWS SES (Amazon Web Services EMEA) | Envoi de certains e-mails système, courrier entrant | UE (eu-west-1) |
| Anthropic PBC (États-Unis) | Génération de contenu de blog par IA (aucune donnée utilisateur) ; la génération de facturation n'utilise pas l'IA | États-Unis (SCCs) |
| WEDOS Internet, a.s. (République tchèque) | Enregistrement du domaine veritra.io | République tchèque |
Les sous-traitants établis aux États-Unis sont couverts par les Clauses Contractuelles Types (CCT) conformément à la décision de la Commission (UE) 2021/914 et par le Data Privacy Framework, le cas échéant.
Nous ne communiquons pas les données :
- à des annonceurs ou à des réseaux publicitaires (nous n'utilisons pas actuellement Google Ads, Facebook Pixel, etc.),
- à des revendeurs de données ni à des courtiers en données.
6. Vos droits
En tant que personne concernée, vous disposez des droits suivants en vertu des art. 15 à 22 du RGPD :
- Droit d'accès (art. 15) — vous pouvez demander une copie de l'ensemble des données personnelles que nous traitons vous concernant.
- Droit de rectification (art. 16) — vous pouvez demander la correction des données inexactes ou obsolètes. La plupart des données peuvent être modifiées directement depuis le tableau de bord (section Paramètres).
- Droit à l'effacement (art. 17, « droit à l'oubli ») — vous pouvez demander la suppression de vos données personnelles. Les données que nous sommes légalement tenus de conserver (comptables, fiscales) ne peuvent pas être supprimées.
- Droit à la limitation du traitement (art. 18) — vous pouvez demander une limitation temporaire du traitement en cas de contestation de sa licéité.
- Droit à la portabilité des données (art. 20) — vous pouvez demander vos données dans un format lisible par machine (JSON ou CSV) aux fins de transfert vers un autre prestataire. Cette fonctionnalité est également proposée automatiquement à la résiliation du contrat, dans le cadre de la fenêtre d'exportation de 30 jours.
- Droit d'opposition (art. 21) — à l'encontre du traitement fondé sur l'intérêt légitime (journaux opérationnels, marketing).
- Droit de retrait du consentement (art. 7, par. 3) — le consentement aux communications marketing peut être révoqué à tout moment en vous désinscrivant depuis chaque e-mail ou dans les paramètres du compte. La révocation ne produit pas d'effet rétroactif.
- Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — non applicable.
Pour exercer vos droits, veuillez nous contacter à l'adresse michal@veritra.io. Nous répondons sans délai excessif, au plus tard dans un délai d'un mois à compter de la réception de la demande (art. 12, par. 3 du RGPD).
7. Cookies et technologies similaires
Le site web veritra.io utilise uniquement des cookies strictement nécessaires (cookies de session pour la connexion, jetons CSRF, langue préférée). Ces cookies ne sont pas soumis au consentement conformément au § 89, par. 3 de la loi n° 127/2005 Sb. relative aux communications électroniques.
Les cookies analytiques et marketing de tiers (Google Analytics, Facebook Pixel, etc.) ne sont pas utilisés à l'heure actuelle. Si leur déploiement venait à être envisagé à l'avenir, une bannière de cookies avec recueil du consentement conformément à la directive ePrivacy serait mise en œuvre.
8. Sécurité des données
Le prestataire met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, proportionnées aux risques du traitement :
- chiffrement TLS 1.2+ pour l'ensemble des communications client-serveur,
- hachage bcrypt pour les mots de passe, hachage SHA-256 pour les clés API,
- limitation du débit et Cloudflare WAF contre les abus,
- principe du moindre privilège pour l'accès des employés et des sous-traitants,
- sauvegardes régulières de la base de données (incrémentielle quotidienne, complète hebdomadaire),
- chiffrement des données au repos (chiffrement de stockage chez Vercel, DigitalOcean, Stripe).
Aucune mesure ne peut offrir une garantie absolue. En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour les droits et libertés des utilisateurs, nous vous en informerons sans délai excessif (art. 34 du RGPD) et notifierons l'incident à l'autorité de contrôle compétente dans un délai de 72 heures (art. 33 du RGPD).
9. Transferts vers des pays tiers
Certains sous-traitants sont établis aux États-Unis. Les transferts de données personnelles vers des pays tiers hors UE/EEE reposent sur :
- les Clauses Contractuelles Types (CCT) conformément à la décision de la Commission (UE) 2021/914,
- le Data Privacy Framework pour les entités certifiées (Vercel, Cloudflare),
- les décisions d'adéquation de la Commission, lorsqu'elles existent.
Vous pouvez demander une copie des CCT conclues avec un sous-traitant spécifique.
10. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
- Úřad pro ochranu osobních údajů (Autorité tchèque de protection des données personnelles)
- Pplk. Sochora 27, 170 00 Praha 7
- Site web : https://www.uoou.cz
- E-mail : posta@uoou.cz
11. Modifications de la politique
La présente Politique de protection des données personnelles est susceptible d'être mise à jour. La version en vigueur est toujours publiée à l'adresse https://veritra.io/gdpr. Les modifications ayant une incidence significative sur les utilisateurs seront notifiées 30 jours à l'avance par e-mail.
Version 1.0, en vigueur à compter du 12 mai 2026. Responsable du traitement : RWX, s.r.o., IČO 14235111. Contact : michal@veritra.io.