Aller au contenu

Mentions légales

Politique de confidentialité

Dernière mise à jour : 5 mai 2026

Dernière mise à jour:  ·  Lecture de 4 minute(s)

01.

Aperçu

FreeBillGen est un service de facturation hébergé gratuit accessible à freebillgen.com. La présente politique explique quelles données personnelles nous collectons, pourquoi, qui d'autre y a accès, pendant combien de temps nous les conservons et quels droits vous avez en vertu du droit de l'UE.

Elle est rédigée conformément aux articles 13 et 14 du Règlement général sur la protection des données de l'UE (Règlement (UE) 2016/679, « RGPD ») et à la loi de la République de Lituanie sur la protection juridique des données personnelles. La section suivante identifie le responsable du traitement; le reste de la page traite chaque sujet à tour de rôle.

02.

Qui est le responsable du traitement

Le service est exploité par MB Libranet, une petite société de personnes dont le siège est à Vilnius, Lithuania, et qui est le seul responsable du traitement au sens de l'article 4, paragraphe 7 du RGPD. Pour toute question relative à la protection de la vie privée, écrivez à [email protected]. Les coordonnées complètes de l'entité juridique, y compris les codes d'enregistrement et de TVA, figurent sur la page d'informations sur la société.

Nous n'avons pas désigné de délégué à la protection des données car notre traitement ne satisfait pas aux seuils de l'article 37. La personne responsable de la protection des données peut être jointe à l'adresse courriel indiquée ci-dessus.

03.

Quelles données nous traitons

Nous traitons les catégories limitées suivantes de données personnelles, sur les bases juridiques indiquées :

  • Données de compte. Votre nom, votre adresse courriel et un mot de passe haché en bcrypt (ou une clé publique de passe-partout). Base juridique: Exécution du contrat — art. 6, par. 1, al. b) RGPD.
  • Données de facturation et données clients que vous créez. Uniquement les données que vous choisissez de saisir : noms des clients, adresses, numéros de TVA, lignes de détail, montants totaux, état des paiements. Base juridique: Exécution du contrat — art. 6, par. 1, al. b) RGPD.
  • Témoins de session et de sécurité. Un témoin de session signé et un témoin CSRF utilisés pour vous maintenir connecté et bloquer les requêtes falsifiées. Base juridique: Strictement nécessaire — art. 6, par. 1, al. f), intérêts légitimes.
  • Journaux de serveur. Adresse IP, agent utilisateur et métadonnées de requête, conservés brièvement à des fins de prévention des abus et de débogage. Base juridique: Intérêts légitimes — art. 6, par. 1, al. f) RGPD.
  • Journal d'audit VIES. Lorsque vous validez un numéro de TVA d'un acheteur de l'UE, nous conservons l'identifiant de la demande, le pays et le numéro interrogés ainsi que la réponse, à titre de preuve en vertu de l'article 31 du Règlement (UE) n° 904/2010 du Conseil. Base juridique: Obligation légale — art. 6, par. 1, al. c) RGPD.

Certaines de ces données ne vous appartiennent pas, mais appartiennent à vos clients de facturation (art. 14 RGPD). La source, c'est vous — nous ne les recevons que parce que vous les saisissez dans vos factures. Nous les traitons sur la base juridique de notre contrat avec vous et de votre intérêt légitime en tant qu'opérateur d'une activité à tenir une comptabilité fiscalement conforme.

Nous ne vendons jamais vos données. Nous ne les partageons pas avec des annonceurs, des courtiers en données ni des réseaux d'analyse statistique, et nous n'effectuons aucun suivi, aucun profilage ni aucun ciblage comportemental.

04.

Sous-traitants

Nous faisons appel à un ensemble délibérément restreint de sous-traitants. Aucun d'eux n'est un réseau publicitaire ou d'analyse statistique. Chacun est lié par un Accord de traitement des données et ne traite que le minimum de données nécessaires à sa fonction.

SMTP2GO (courriel transactionnel)

Lorsque vous envoyez une facture par courriel ou recevez une notification système, le message est acheminé via SMTP2GO via sa région UE (mail-eu.smtp2go.com). Données partagées : expéditeur, adresse du destinataire, objet, corps du message et tout PDF joint. SMTP2GO Inc. est établie en Nouvelle-Zélande avec une infrastructure dans l'UE; les transferts sont encadrés par des Clauses contractuelles types.

Cloudflare Turnstile (protection contre les robots)

Les formulaires /login et /register affichent un défi Cloudflare Turnstile pour bloquer les abus automatisés. Le widget se charge depuis challenges.cloudflare.com et échange un jeton à durée de vie limitée avec le point de terminaison siteverify de Cloudflare. Données partagées : votre adresse IP, votre agent utilisateur et un jeton de défi à usage unique. Turnstile ne place aucun témoin de suivi et n'est pas utilisé à des fins publicitaires. Cloudflare, Inc. est basée aux États-Unis; les transferts sont encadrés par le Cadre de protection des données UE-États-Unis et des Clauses contractuelles types.

bunny.net (CDN de polices de caractères)

Le site charge deux polices Web depuis fonts.bunny.net, un CDN de polices respectueux de la vie privée exploité par BunnyWay d.o.o. (Slovénie, UE). Données partagées : votre adresse IP et votre agent utilisateur pendant la durée de la requête de police. Consultez leur déclaration de confidentialité.

Commission européenne VIES (validation de la TVA)

Lorsque vous validez un numéro de TVA d'un acheteur, le code pays et le numéro de TVA saisis sont transmis au Système d'échange d'informations sur la TVA (VIES) de la Commission européenne à ec.europa.eu. Le destinataire est une institution de l'UE; le traitement est régi par le Règlement (UE) 2018/1725.

Hébergement et rendu des PDF (interne)

L'application fonctionne sur une infrastructure dédiée au sein de l'Union européenne. Les PDF de factures sont générés en interne avec mPDF sur nos propres serveurs. Aucun service tiers de génération de PDF ni revendeur d'hébergement n'est impliqué.

Aucun service Google. Aucun pixel Meta ou Facebook. Aucun SDK d'analyse statistique. Aucun service tiers de rapport d'erreurs.

05.

Témoins

Nous ne déposons que des témoins strictement nécessaires. En vertu de l'article 5, paragraphe 3 de la Directive vie privée et communications électroniques (2002/58/CE), les témoins strictement nécessaires ne requièrent pas de consentement, raison pour laquelle vous ne verrez pas de bandeau de témoins.

Témoin de session

Vous maintient connecté et mémorise la langue d'interface que vous avez choisie pour la session. Expire à la déconnexion ou à l'expiration de la durée de vie de la session.

HTTP-only · Secure · SameSite=Lax
Témoin de jeton CSRF (XSRF-TOKEN)

Porte un jeton anti-contrefaçon par session utilisé pour vérifier que les requêtes modifiant l'état proviennent bien de ce site. Requis par le cadre applicatif pour toute action effectuée en session.

Secure · SameSite=Lax

Aucun témoin d'analyse statistique. Aucun témoin publicitaire. Aucun témoin tiers n'est déposé par nos soins. Le défi Cloudflare Turnstile décrit à la section 04 peut déposer son propre témoin à durée de vie limitée limité à challenges.cloudflare.com; ce témoin est strictement nécessaire au défi de protection contre les robots et n'est pas utilisé à des fins de suivi.

06.

Conservation des données

Les données de compte et de facturation sont conservées pendant la durée d'activité de votre compte. Lors de la suppression du compte, toutes les données personnelles courantes sont effacées dans un délai de 30 jours, sauf lorsque la législation lituanienne en matière de comptabilité (qui fixe une période de conservation de 10 ans pour les documents de facturation) nous oblige à conserver certains documents plus longtemps — dans ce cas, ces documents sont transférés vers une archive à accès restreint et conservés uniquement aussi longtemps que la loi l'exige.

Les journaux de serveur sont conservés jusqu'à 30 jours, à moins d'être nécessaires plus longtemps dans le cadre d'une enquête de sécurité en cours. Les entrées du journal d'audit VIES sont conservées pendant au moins 10 ans afin de satisfaire aux exigences probatoires du Règlement (UE) n° 904/2010 du Conseil.

07.

Vos droits sous le RGPD

En vertu du RGPD, vous bénéficiez des droits d'accès (art. 15), de rectification (art. 16), d'effacement (art. 17), de limitation du traitement (art. 18), de portabilité des données (art. 20) et d'opposition (art. 21). Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment (art. 7, par. 3).

Vous avez également le droit, en vertu de l'article 77 du RGPD, d'introduire une réclamation auprès d'une autorité de contrôle — généralement celle du pays de l'UE/EEE dans lequel vous résidez, travaillez ou dans lequel la violation présumée a eu lieu. L'opérateur étant établi en Lituanie, l'autorité cheffe de file est l'Inspection nationale de la protection des données (State Data Protection Inspectorate of Lithuania, VDAI).

Pour un guide étape par étape sur la manière d'exercer chaque droit, y compris les délais et le contenu d'une demande, consultez la page dédiée aux droits RGPD.

08.

Prise de décision automatisée

FreeBillGen n'effectue pas de prise de décision automatisée ni de profilage au sens de l'article 22 du RGPD. Aucune décision produisant des effets juridiques ou ayant un impact significatif similaire sur vous n'est prise uniquement par des moyens automatisés. Nous ne procédons à aucune évaluation, aucun classement ni aucun profilage des utilisateurs à des fins publicitaires, de crédit, de fraude ou à toute autre fin.

09.

Sécurité des données

Mesures techniques et organisationnelles (art. 32 RGPD) :

  • Mots de passe stockés sous forme de hachages bcrypt; passe-partout (WebAuthn) pris en charge.
  • Authentification à deux facteurs temporelle optionnelle via toute application d'authentification compatible TOTP.
  • Jetons CSRF sur chaque requête modifiant l'état.
  • Requêtes paramétrées tout au long de l'application — aucune concaténation de chaînes SQL.
  • HTTPS/TLS en transit; HTTP Strict Transport Security activé.
  • Politique de sécurité du contenu (CSP) et autres en-têtes de renforcement.
  • Journal d'audit au niveau applicatif pour les actions sensibles en matière de sécurité.
  • Sauvegardes chiffrées de la base de données avec accès restreint.
10.

Transferts internationaux

Les données personnelles sont traitées au sein de l'Union européenne par défaut. Deux des sous-traitants mentionnés à la section 04 peuvent impliquer un transfert vers un pays tiers :

  • Cloudflare Turnstile — transferts vers les États-Unis, encadrés par le Cadre de protection des données UE-États-Unis et les Clauses contractuelles types de la Commission européenne.
  • SMTP2GO — la société d'exploitation est établie en Nouvelle-Zélande (pays faisant l'objet d'une décision d'adéquation de la Commission européenne) et utilise une infrastructure en région UE pour l'acheminement. Lorsque des transferts ont lieu, ils sont encadrés par des Clauses contractuelles types.

Aucun autre transfert vers des pays tiers n'a lieu. En cas de changement, nous nous appuierons sur le mécanisme de transfert approprié du chapitre V du RGPD et mettrons à jour la présente politique avant le début du nouveau transfert.

11.

Enfants

FreeBillGen est un outil professionnel et n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants.

12.

Modifications de la politique

Si nous apportons des modifications importantes, nous publierons le texte mis à jour sur cette page avec une nouvelle date de « dernière mise à jour » et informerons les comptes actifs par courriel. La version en vigueur est identifiée par la date figurant en haut de la page.

13.

Contact

Questions relatives à la protection de la vie privée et demandes d'exercice des droits : [email protected]. L'adresse postale et les coordonnées complètes de l'entité juridique se trouvent sur la page d'informations sur la société.