AAcquitto← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 19 juin 2026

La présente politique de confidentialité décrit la manière dont Acquitto (le « Service ») collecte, utilise, conserve et protège les données à caractère personnel des personnes qui utilisent le site https://acquitto.fr et l'application associée.

Acquitto est un service de facturation en ligne (SaaS) réservé aux professionnels (auto-entrepreneurs, freelances, indépendants, sociétés) qui facturent des clients étrangers (bilingue français/anglais, multi-devise, conforme à la réforme de la facturation électronique 2026-2027).

Nous accordons une grande importance à la protection de votre vie privée. Le traitement de vos données est réalisé conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi « Informatique et Libertés »).

1. Responsable du traitement

Le responsable du traitement des données collectées via Acquitto est l'éditeur du Service :

  • Éditeur : Roman Dembinski — exploitant sous le nom commercial Acquitto
  • Forme juridique : Entrepreneur individuel — régime de la micro-entreprise (auto-entrepreneur)
  • Immatriculation : Immatriculé au Registre National des Entreprises (RNE) — SIREN 104 336 359
  • Adresse : 1 rue Joliot-Curie, 91190 Gif-sur-Yvette, France
  • TVA : TVA non applicable, art. 293 B du CGI (franchise en base).
  • Directeur de la publication : Roman Dembinski
  • Contact (questions et exercice des droits) : contact@acquitto.fr (ou rgpd@acquitto.fr)

Important — double rôle. Pour les données de votre propre compte et de votre profil émetteur, Acquitto agit en tant que responsable de traitement. En revanche, pour les données des clients que vous saisissez dans le Service afin d'établir vos factures et devis, c'est vous qui êtes responsable de traitement et Acquitto agit comme sous-traitant pour votre compte (voir la section 4).

Délégué à la protection des données (DPO). Compte tenu de la nature et du volume des traitements réalisés, la désignation d'un délégué à la protection des données n'est pas légalement obligatoire et aucun DPO n'a été désigné. Toute question relative à la protection des données peut être adressée à contact@acquitto.fr (ou rgpd@acquitto.fr).

2. Données personnelles collectées

Nous collectons uniquement les données nécessaires au fonctionnement du Service. Elles se répartissent dans les catégories suivantes :

a) Données de compte utilisateur

  • Adresse e-mail
  • Mot de passe (stocké haché, jamais en clair, et jamais accessible par nous)
  • Nom

b) Données de profil émetteur (votre entreprise)

  • Raison sociale
  • Numéro SIREN
  • Adresse
  • Numéro de TVA intracommunautaire
  • Coordonnées bancaires (IBAN / BIC) destinées à figurer sur vos factures

c) Données relatives à vos clients (saisies par vous)

  • Noms, adresses
  • Numéro SIREN, numéro de TVA
  • Adresses e-mail

Ces données concernent vos clients : vous en êtes responsable de traitement, Acquitto les héberge et les traite pour votre compte (voir section 4). Ces données ne sont pas collectées directement auprès des personnes concernées par Acquitto, mais saisies ou importées par vous (voir la section 4 concernant l'article 14 du RGPD).

d) Données de facturation

  • Factures et devis (montants, lignes de détail, mentions légales, dates, statuts, numéros)

e) Jeton d'accès Gmail (facultatif, sur consentement)

  • Si vous choisissez de connecter votre boîte Gmail pour envoyer vos factures depuis votre propre adresse, un jeton d'accès est conservé. Le périmètre (« scope ») demandé est limité à l'envoi d'e-mails (`gmail.send`) : nous ne lisons pas votre boîte de réception.

f) Données bancaires agrégées (facultatif, sur consentement)

  • Si vous activez le rapprochement bancaire, des données de transactions sont récupérées via un prestataire d'agrégation agréé (DSP2), exclusivement pour vous proposer de rapprocher des paiements avec vos factures.

g) Données techniques (logs)

  • Adresse IP, horodatages, et données de connexion, à des fins de sécurité et de prévention de la fraude.

Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD, et nous ne procédons à aucun profilage publicitaire. Aucun traitement ne donne lieu à une décision entièrement automatisée produisant des effets juridiques à votre égard ou vous affectant de manière significative : en particulier, le rapprochement bancaire constitue une simple aide à la saisie (proposition de correspondance), et non une décision prise sans intervention humaine.

3. Finalités et bases légales des traitements

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale :

FinalitéDonnées concernéesBase légale (art. 6 RGPD)
Création et gestion de votre compte ; fourniture du Service de facturationa), b), c), d)Exécution du contrat (art. 6.1.b)
Conservation des factures pour répondre aux obligations comptables et fiscalesd)Obligation légale (art. 6.1.c) — art. L123-22 C. com. et L102 B LPF
Sécurité du Service, prévention et détection de la fraude, journalisationg)Intérêt légitime (art. 6.1.f)
Envoi de vos factures depuis votre boîte Gmail connectéee)Consentement (art. 6.1.a)
Rapprochement bancaire (agrégation de comptes DSP2)f)Consentement (art. 6.1.a)
Gestion de l'abonnement payant et encaissement (lorsque le plan payant sera activé)a), b) + données de paiement traitées par notre prestataireExécution du contrat (art. 6.1.b)

Lorsque la base légale est le consentement, vous pouvez le retirer à tout moment (par exemple en déconnectant votre boîte Gmail ou votre banque dans les réglages), sans que cela remette en cause la licéité des traitements effectués avant le retrait.

4. Statut de sous-traitant d'Acquitto pour les données de vos clients

Lorsque vous saisissez ou importez dans Acquitto les coordonnées de vos propres clients (catégorie c ci-dessus) afin d'émettre des factures et devis, vous êtes responsable de traitement de ces données et Acquitto agit comme sous-traitant au sens de l'article 28 du RGPD.

Ces données n'étant pas collectées directement auprès des personnes concernées mais auprès de vous, l'information de ces personnes (art. 14 du RGPD) relève de votre responsabilité en tant que responsable de traitement ; Acquitto, qui agit pour votre compte, n'est pas tenu de les informer directement.

À ce titre, Acquitto s'engage à :

  • ne traiter ces données que sur vos instructions documentées, à savoir aux seules fins de vous permettre d'utiliser le Service (établir, envoyer et conserver vos factures et devis) ;
  • garantir que les personnes autorisées à traiter ces données sont tenues à une obligation de confidentialité ;
  • mettre en œuvre des mesures techniques et organisationnelles appropriées (voir section 9) ;
  • ne recourir à des sous-traitants ultérieurs que dans les conditions prévues à la section 5, et vous en informer ;
  • vous aider, dans la mesure du possible, à répondre aux demandes d'exercice de droits émanant de vos propres clients, ainsi qu'à respecter vos obligations de sécurité, de notification de violation et d'analyse d'impact ;
  • vous informer sans délai injustifié après avoir pris connaissance d'une violation de données affectant les données traitées pour votre compte, afin de vous permettre de respecter vos propres obligations de notification ;
  • selon votre choix, supprimer ou vous restituer ces données à la fin de la prestation, sous réserve des obligations légales de conservation ;
  • mettre à votre disposition les informations nécessaires pour démontrer le respect de ces obligations.

En tant que responsable de traitement de vos clients, il vous appartient de disposer d'une base légale pour le traitement de leurs données et de les informer de l'usage de leurs données personnelles. Les présentes conditions tiennent lieu de cadre contractuel de sous-traitance au sens de l'article 28.3 du RGPD ; un accord de traitement des données (DPA) distinct peut être conclu sur demande à contact@acquitto.fr.

5. Destinataires et sous-traitants ultérieurs

Vos données ne sont jamais revendues et ne font l'objet d'aucune publicité. Elles ne sont communiquées qu'aux prestataires strictement nécessaires au fonctionnement du Service. Le rôle de chaque prestataire au regard du RGPD varie : certains agissent comme sous-traitants d'Acquitto (ils traitent les données sur nos instructions), tandis que d'autres agissent comme responsables de traitement indépendants (ils déterminent eux-mêmes les finalités et moyens de certains traitements, notamment pour respecter leurs propres obligations légales et réglementaires).

PrestataireRôle au regard du RGPDFinalitéLocalisation
Hetzner Online GmbHSous-traitantHébergement (serveurs)Allemagne (UE)
OVHcloud (OVH SAS)Sous-traitantNom de domaine et messagerie e-mailFrance (UE)
Google LLC (API Gmail)Statut mixte : sous-traitant pour la transmission de vos e-mails ; responsable de traitement indépendant pour ses propres finalités (sécurité, conformité de la plateforme Google)Envoi de vos factures depuis votre boîte (sur consentement uniquement)États-Unis / mondial
Plateforme Agréée (type Super PDP)Sous-traitantTransmission réglementaire des factures électroniques (e-invoicing)France (UE)
Enable BankingStatut mixte : prestataire d'agrégation agréé (AISP) intervenant pour votre compte, mais soumis à ses propres obligations réglementaires (DSP2) au titre desquelles il agit en responsable indépendantAgrégation bancaire DSP2 (sur consentement uniquement)Finlande (UE)
StripeResponsable de traitement indépendant : Stripe détermine seul les finalités et moyens des traitements liés au paiement, à la lutte contre la fraude, au KYC et à ses obligations DSP2 / LCB-FTPaiement des abonnements (uniquement lorsque le plan payant sera activé)UE / États-Unis
Anthropic, PBCSous-traitant : lecture par IA des documents que vous importez, uniquement sur vos instructions ; les données transmises via l'API ne sont pas utilisées pour entraîner ses modèlesPré-remplissage automatique des champs lors de l'import d'un PDF (uniquement si la lecture assistée par IA est activée)États-Unis

Vos données peuvent par ailleurs être communiquées aux autorités administratives ou judiciaires lorsque la loi l'exige.

Coordonnées de l'hébergeur : Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Allemagne — tél. +49 9831 5050.

6. Transferts de données hors de l'Union européenne

Par défaut, aucune donnée n'est transférée hors de l'Union européenne : l'hébergement est réalisé en Allemagne et nos prestataires principaux sont situés dans l'UE.

Exception : si vous choisissez de connecter votre boîte Gmail (Google LLC), l'utilisation de l'API Gmail peut impliquer un transfert de certaines données vers les États-Unis. Ce transfert est encadré par des garanties appropriées au sens des articles 44 et suivants du RGPD : clauses contractuelles types de la Commission européenne et/ou Data Privacy Framework UE-États-Unis. Ce transfert n'a lieu que si vous activez vous-même cette fonctionnalité, sur la base de votre consentement.

De même, le prestataire de paiement (Stripe), une fois le plan payant activé, peut traiter certaines données aux États-Unis dans le cadre de garanties équivalentes.

Enfin, si la lecture assistée par IA des documents importés est activée, le document que vous importez est transmis à Anthropic, PBC (États-Unis) le temps de l'extraction des informations, dans le cadre de garanties appropriées (clauses contractuelles types et/ou Data Privacy Framework). Cette transmission n'a lieu qu'au moment d'un import, porte sur les seules données du document concerné, et les données ne sont pas réutilisées pour entraîner les modèles du prestataire.

7. Durées de conservation

DonnéesDurée de conservation
Compte utilisateur et profil émetteurTant que le compte est actif ; suppression sur demande
Factures et devis10 ans (obligation légale comptable et fiscale — art. L123-22 C. com. / L102 B LPF)
Données de vos clients (sous-traitance)Pendant la durée d'utilisation du Service ; supprimées ou restituées en fin de prestation, sous réserve de la conservation légale des factures
Logs techniquesEnviron 12 mois
Jeton Gmail / connexion bancaireJusqu'à la déconnexion par vos soins ou la fermeture du compte

À l'issue de ces durées, les données sont supprimées ou anonymisées. La conservation légale de 10 ans des factures s'impose même après la fermeture de votre compte.

8. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie ;
  • Droit de rectification : corriger des données inexactes ou incomplètes ;
  • Droit à l'effacement (« droit à l'oubli »), sous réserve des données soumises à conservation légale ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine ;
  • Droit d'opposition au traitement fondé sur l'intérêt légitime ;
  • Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent (Gmail, connexion bancaire) ;
  • Droit de définir des directives relatives au sort de vos données après votre décès.

Comment exercer vos droits

Vous pouvez exercer ces droits en écrivant à contact@acquitto.fr (ou rgpd@acquitto.fr). Nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable. Nous nous engageons à répondre dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe.

Si votre demande concerne des données dont vous êtes responsable de traitement (les données de vos propres clients), nous vous renverrons vers vous-même ou, le cas échéant, vous assisterons en tant que sous-traitant (voir section 4).

Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • www.cnil.fr

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :

  • chiffrement des communications via HTTPS / TLS ;
  • mots de passe hachés (jamais stockés en clair) ;
  • hébergement au sein de l'Union européenne (Allemagne) ;
  • isolation stricte des données par utilisateur (architecture multi-tenant) : un utilisateur ne peut accéder qu'à ses propres données ;
  • sauvegardes régulières ;
  • accès restreint aux données et journalisation des accès techniques.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL et, le cas échéant, les personnes concernées, conformément aux articles 33 et 34 du RGPD. Lorsque la violation affecte des données que nous traitons en qualité de sous-traitant pour votre compte (données de vos clients), nous vous en informons, en tant que responsable de traitement, sans délai injustifié après en avoir pris connaissance.

10. Cookies

Acquitto utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (cookie de session de connexion). Ces cookies sont indispensables pour vous authentifier et n'exigent pas, à ce titre, de bandeau de consentement.

Nous n'utilisons aucun cookie publicitaire ni traceur tiers.

La mesure d'audience du site est assurée par Plausible Analytics, un outil sans cookie, hébergé au sein de l'Union européenne et respectueux de la vie privée, qui ne collecte aucune donnée permettant de vous identifier personnellement.

11. Modifications de la présente politique

Nous pouvons être amenés à modifier cette politique de confidentialité afin de refléter des évolutions légales, techniques ou de notre Service. Toute modification substantielle sera signalée sur le site et, le cas échéant, par e-mail. La date de dernière mise à jour figure en tête du présent document.

12. Contact

Pour toute question relative à la présente politique ou au traitement de vos données :

  • E-mail : contact@acquitto.fr (ou rgpd@acquitto.fr)
  • Responsable du traitement : Roman Dembinski — nom commercial Acquitto
  • Adresse : 1 rue Joliot-Curie, 91190 Gif-sur-Yvette, France

Voir aussi nos [Mentions légales](/mentions-legales) et nos [CGU/CGV](/cgu-cgv).

*Document conforme au RGPD (Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 modifiée.*

Document fourni à titre informatif, à faire valider par un professionnel du droit avant mise en ligne définitive.