Politique de confidentialité d'ONexpense
Version 2.0 — Juin 2025
La présente politique de confidentialité (la « Politique ») décrit comment ONappli SAS, société immatriculée au RCS de Toulouse sous le n° 793 220 914, au capital de 32 000 €, dont le siège social est situé Chemin des Vivans, 31600 Muret, France (« ONappli », « nous », « notre »), agit en sous‑traitant au sens du Règlement (UE) 2016/679 (« RGPD ») pour le compte de ses clients professionnels lorsqu'ils utilisent la plateforme ONexpense (la « Plateforme »).
Toute question peut être adressée à : support@onexpense.com.
1. Définitions
| Terme | Signification |
|---|---|
| Client | Société ou travailleur indépendant ayant souscrit aux CGU ONexpense et créant des comptes Utilisateurs. |
| Utilisateur | Personne physique (employé, administrateur ou freelance) utilisant la Plateforme. |
| Données Business | Justificatifs de dépense (image/PDF) et métadonnées extraite : émetteur, montant, TVA, date, lieu, moyen de paiement, etc. |
| Données de Compte | Identifiants (e‑mail professionnel, mot de passe haché), rôle, attributs personnalisés, ID organisation. |
| Données Techniques | Adresse IP, agent navigateur, logs serveur, événements d'analyse anonymisés. |
| Sous‑traitant ultérieur | Fournisseur tiers traitant des données pour le compte d'ONappli. |
2. Catégories de données traitées
- Données Business (incluses dans les justificatifs). Si un justificatif contient exceptionnellement des données sensibles (ex. information de santé écrite sur une facture), celles‑ci sont stockées mais non exploitées ; le Client reste responsable de leur légalité.
- Données de Compte.
- Données Techniques.
Aucune extraction ou utilisation délibérée de données sensibles au sens de l'art. 9 RGPD n'est réalisée.
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) | Détails |
|---|---|---|
| Exploitation de la Plateforme (gestion des notes de frais, archivage probant NF Z42‑013) | Exécution du contrat (art. 6 §1 b) | Fonctionnement principal identifié dans les CGU. |
| Archivage légal 10 ans (option « Archive Plus ») | Obligation légale (art. 6 §1 c) | Conformité fiscale française. |
| Logs, sécurité, amélioration produit (analytics anonymes PostHog) | Intérêt légitime (art. 6 §1 f) | Sécuriser, maintenir et développer la Plateforme. Impact minime sur la vie privée. |
| Reconnaissance automatique (OCR) via Azure OpenAI | Exécution du contrat | Traitement transitoire pour extraire montant/TVA. |
| Cookies analytiques (site marketing) | Consentement explicite | Activés uniquement après acceptation via bannière conforme CNIL. |
Aucune activité de prospection marketing directe (newsletter, upsell) n'est réalisée sans consentement préalable.
4. Durées de conservation
| Catégorie | Durée | Justification |
|---|---|---|
| Justificatifs & données comptables | 10 ans minimum ou durée fixée par le Client, puis suppression sécurisée | Exigences fiscales & contractuelles. |
| Logs & Données Techniques | 6 mois | Débogage et audits de sécurité. |
| Sauvegardes chiffrées Azure | 1 an glissant | Continuité d'activité. |
Le Client peut demander la suppression anticipée de ses données ; nous l'exécutons sous 15 jours ouvrés (cf. § 10).
5. Destinataires et sous‑traitants ultérieurs
| Fournisseur | Finalité | Localisation | Transfert hors UE | Garanties |
|---|---|---|---|---|
| Microsoft Azure | Hébergement SaaS, sauvegardes | UE (France/Europe) | Non | Data Centres conformes ISO 27001. |
| PostHog Cloud EU | Analytics anonymes (usage produit) | UE (Irlande) | Non | Aucune donnée personnelle nominative collectée. |
| Azure OpenAI | OCR & extraction TVA | UE (France) | Traitement transitoire ; stockage en UE | Clauses Contractuelles Types en cours de signature ; pas de persistance hors UE. |
ONappli tient à jour un registre interne des sous‑traitants ; toute modification substantielle sera notifiée aux Clients.
6. Transferts internationaux
Les données restent physiquement stockées dans l'Union européenne. Les appels API à Azure OpenAI peuvent impliquer un traitement transitoire hors UE ; aucune persistance n'a lieu. Des Clauses Contractuelles Types (« CCT ») sont en cours de finalisation pour couvrir ce flux.
7. Sécurité des données
- Chiffrement TLS 1.2+ en transit ; AES‑256 au repos (Azure Storage Encryption).
- Authentification multi‑facteur (MFA) obligatoire pour les collaborateurs ONappli.
- Contrôles d'accès basés sur le principe du moindre privilège ; journalisation centralisée.
- Procédure formelle de notification des violations de données : information CNIL et Clients ≤ 72 h après détection.
8. Cookies et traceurs
Le site public onexpense.com utilise PostHog (mode EU, IP anonymisée). Aucun cookie marketing ou de ciblage n'est déployé. Le bandeau de consentement, conforme aux lignes directrices CNIL, permet de :
- Accepter tous les cookies ;
- Refuser ;
- Paramétrer finement.
La Plateforme (app.onexpense.com) emploie également PostHog dans les même conditions afin de comprendre l'usage du produit et en améliorer son utilisation.
9. Droits des personnes concernées
Conformément aux articles 15 à 22 RGPD, chaque Utilisateur dispose des droits : accès, rectification, effacement, limitation, opposition, portabilité.
Exercice des droits : envoyer un e‑mail à support@onexpense.com avec preuve d'identité. Réponse sous 30 jours (prorogeable 2 mois en cas de demande complexe).
Suppression complète des données : effectuée dans un délai maximal de 15 jours ouvrés, sauf obligation légale contraire.
12. Mises à jour de la Politique
Cette Politique peut être mise à jour à tout moment pour refléter des évolutions légales, techniques ou business. Les Clients seront informés par e‑mail au moins 15 jours avant l'entrée en vigueur de la nouvelle version.
13. Contact
Responsable vie privée : support@onexpense.com
Autorité de contrôle compétente : Commission Nationale de l'Informatique et des Libertés (CNIL) – www.cnil.fr
Dernière mise à jour : 30 juin 2025