SAPOFFacturier
Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 1er mai 2026

1. Préambule

La présente Politique de confidentialité (« Politique ») décrit comment l'éditeur du Service SaaS accessible à https://app.sapof.fr collecte, utilise, partage et protège les données à caractère personnel des Utilisateurs, conformément au :

  • Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») ;
  • Loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés ») ;
  • Code de la sécurité sociale (notamment articles L.133-11 et R.133-43/R.133-44 pour le traitement « tiers déclarant ») ;
  • Code de commerce (notamment art. L.123-22 sur la conservation des documents comptables).

2. Responsable du traitement

Ruslan ALBULESA EI — nom commercial SAPOF

  • Adresse : 24 Rue Garnier Pages, 94100 Saint-Maur-des-Fossés, France
  • SIRET : 79744069000064
  • E-mail : sapof.sc@gmail.com
  • Téléphone : 07 49 86 81 27

Aucun Délégué à la Protection des Données (DPD) n'est désigné, le traitement n'entrant pas dans les cas de désignation obligatoire prévus à l'article 37 RGPD. L'Utilisateur peut adresser toute demande à sapof.sc@gmail.com.

3. Données collectées

3.1 Données fournies par l'Utilisateur lors de la création du Compte

  • Nom, prénom, e-mail, mot de passe (haché — jamais stocké en clair) ;
  • Coordonnées téléphoniques (optionnelles) ;
  • SIRET, date d'affiliation URSSAF, périodicité de déclaration (mensuelle/trimestrielle) ;
  • Nature(s) d'activité, taux de cotisation applicables, options ACRE, options versement libératoire ;
  • Adresse postale du siège, code APE.

3.2 Données saisies dans le cadre de l'activité

  • Données clients (raison sociale, contact, adresse, SIRET) ;
  • Catalogue articles, devis, factures, avoirs, mouvements financiers ;
  • Chiffre d'affaires ventilé par nature d'activité ;
  • Le cas échéant : interventions SAP, projets, imports bancaires.

3.3 Données spécifiques au module URSSAF (tiers déclarant L.133-11)

Si l'Utilisateur active le module URSSAF :

  • Date de naissance (transmise lors de la signature du mandat, requise par l'API ACOSS) ;
  • Numéro de compte bancaire (IBAN/BIC) si l'option « Télépaiement SEPA » est activée ;
  • Hash SHA-256 du mandat signé, horodatage, adresse IP, agent utilisateur ;
  • Logs d'appels API URSSAF (requêtes/réponses techniques masquées, sans token) ;
  • Statut des mandats (pending, active, revoked, superseded) et historique des télé-déclarations.

3.4 Données techniques de navigation

  • Adresse IP (collectée à des fins de sécurité, conservée 12 mois maximum) ;
  • Type de navigateur, agent utilisateur ;
  • Date et heure des connexions ;
  • Aucun cookie analytique, aucun tracker tiers (pas de Google Analytics, pas de Meta Pixel).

4. Finalités et bases légales du traitement

FinalitéDonnées concernéesBase légale
Création et gestion du Compte§3.1Exécution du contrat (art. 6.1.b RGPD)
Émission de devis et factures§3.2Exécution du contrat
Calcul d'aide à la déclaration URSSAF§3.1, §3.2Exécution du contrat
Télé-déclaration URSSAF (module API)§3.1, §3.3Exécution du mandat exprès (art. L.133-11 CSS) + Exécution du contrat
Télépaiement SEPA URSSAF§3.3 (IBAN)Mandat exprès optionnel + consentement spécifique
Conservation des logs API à des fins probatoires§3.3Obligation légale (prescription URSSAF L.244-3 CSS) + intérêt légitime
Sécurité de la Plateforme (logs IP)§3.4Intérêt légitime (art. 6.1.f RGPD)
Facturation de l'offre Pro§3.1 + données paiementExécution du contrat + Obligation légale (Code de commerce)
Réponse aux demandes de supporttoutExécution du contrat

5. Destinataires des données

Les données ne sont en aucun cas vendues, louées ni cédées à des tiers à des fins commerciales. Elles peuvent être communiquées :

  • À l'ACOSS / URSSAF, dans le cadre du mandat tiers déclarant, exclusivement pour les finalités prévues à l'article 4 ;
  • À OVH SAS (hébergeur, sous-traitant au sens de l'art. 28 RGPD), pour le stockage des données dans des serveurs situés en France ;
  • Au prestataire de paiement (à confirmer : Stripe ou équivalent), pour le traitement des paiements de l'offre Pro ;
  • Aux autorités administratives ou judiciaires, sur réquisition légale.

Aucun transfert de données hors de l'Union européenne n'est effectué.

6. Durée de conservation

CatégorieDurée
Données de Compte (actif)Pendant toute la durée d'utilisation du Service
Données de Compte (après résiliation)36 mois en archivage intermédiaire, puis effacement
Documents comptables (factures, devis émis)10 ans (art. L.123-22 Code de commerce) — sous la responsabilité conjointe de l'Utilisateur, qui dispose d'un export pour constituer son archive personnelle
Logs d'appels API URSSAF36 mois à compter de la fin de la relation contractuelle (alignement sur prescription URSSAF L.244-3 CSS)
Mandats URSSAF36 mois à compter de la révocation
Logs de connexion / IP12 mois
Données de facturation Pro10 ans (obligation comptable)

7. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, l'Utilisateur dispose des droits suivants :

  • Droit d'accès : obtenir une copie des données traitées ;
  • Droit de rectification : faire corriger des données inexactes ;
  • Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation (logs URSSAF 36 mois, comptabilité 10 ans). En cas de droit à l'effacement exercé pendant la période de conservation obligatoire, les données nominatives sont pseudonymisées ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité : export des données dans un format structuré (CSV, JSON, PDF) ;
  • Droit d'opposition au traitement fondé sur l'intérêt légitime ;
  • Droit de retirer son consentement à tout moment pour les traitements fondés sur le consentement (notamment télépaiement SEPA) ;
  • Droit de définir des directives post-mortem sur le sort des données après le décès.

Pour exercer ces droits, contacter sapof.sc@gmail.com. Une réponse est apportée sous 30 jours, prolongeable à 90 jours si la demande est complexe.

L'Utilisateur peut également introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes.

8. Sécurité des données

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées :

  • Hébergement OVH France (serveurs souverains, certifications ISO 27001, ISO 27701, HDS) ;
  • Connexions chiffrées HTTPS / TLS 1.3 ;
  • Mots de passe hachés (bcrypt) ;
  • Jetons CSRF systématiques sur les formulaires ;
  • Requêtes SQL préparées (PDO) ;
  • Sauvegardes quotidiennes chiffrées ;
  • Credentials API URSSAF stockés dans un fichier .env hors arborescence web, jamais commités en versionning ;
  • Logs API masqués (jamais de token, jamais de client_secret, données nominatives minimisées) ;
  • Audit des accès via une table dédiée.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des Utilisateurs, une notification sera adressée à la CNIL dans un délai de 72 heures, et aux Utilisateurs concernés dans les meilleurs délais (art. 33 et 34 RGPD).

9. Cookies

app.sapof.fr utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session, authentification, jeton CSRF). Aucun cookie analytique, aucun tracker publicitaire, aucun cookie tiers. Pour le détail, voir la Politique de cookies.

10. Sous-traitants (registre simplifié)

Sous-traitantActivitéLocalisationGaranties
OVH SASHébergement web et BDDFranceContrat art. 28 RGPD, certifications ISO 27001, HDS
ACOSS / URSSAFAPI tiers déclarantFranceConvention spécifique L.133-11 CSS
Prestataire de paiement (à confirmer)Encaissement ProUEContrat art. 28 RGPD, conformité PCI-DSS
OVH SMTPEnvoi e-mails transactionnelsFranceIdem hébergement

11. Modification de la Politique

L'éditeur peut modifier la présente Politique. Les modifications substantielles font l'objet d'une notification par e-mail aux Utilisateurs. La date de dernière mise à jour figure en tête de page.

12. Contact

Pour toute question relative à la présente Politique :

  • E-mail : sapof.sc@gmail.com
  • Adresse postale : 24 Rue Garnier Pages, 94100 Saint-Maur-des-Fossés, France