Politique de Confidentialité
Dernière mise à jour : 17 juin 2026
1. Responsable du traitement
ITICK SAS est responsable du traitement des données personnelles collectées via le site itick.fr et l'application mobile ITICK.
Contact : contact@itick.fr
2. Données collectées
Nous collectons les données suivantes :
- Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone
- Données de facturation : factures scannées, montants, détails des transactions, informations marchands
- Données d'organisation : nom de l'entreprise, SIRET, TVA, adresse (si utilisation en mode organisation)
- Données techniques : appareil, version de l'OS, adresse IP, logs d'utilisation
3. Finalités du traitement
Vos données sont utilisées pour :
- Fournir et améliorer le service de gestion et d'agrégation de factures
- Assurer la sécurité de votre compte et prévenir la fraude
- Envoyer des notifications relatives au service (alertes de paiement, validations)
- Respecter nos obligations légales de conservation des données fiscales
- Produire des statistiques anonymisées d'utilisation
4. Base légale du traitement
Le traitement de vos données repose sur :
- L'exécution du contrat (CGU) pour la fourniture du service
- Votre consentement pour les cookies non essentiels et les notifications marketing
- Nos obligations légales de conservation des données fiscales (Code de commerce, CGI)
- L'intérêt légitime pour la sécurité du service et la prévention de la fraude
5. Durée de conservation
- Données de compte : conservées pendant toute la durée d'existence du compte. Vous pouvez demander la suppression de votre compte et de vos données à tout moment (voir section 8)
- Données de facturation : conservées 10 ans conformément aux obligations fiscales (article L123-22 du Code de commerce)
- Données techniques (logs) : conservées pendant la durée nécessaire à la sécurité et au diagnostic du service
- Cookies : durée maximale de 13 mois (recommandation CNIL)
6. Partage des données
Vos données ne sont jamais vendues. Elles peuvent être partagées avec :
- Nos sous-traitants techniques (liste détaillée ci-dessous)
- Les membres de votre organisation : si vous utilisez le mode entreprise
- Les autorités compétentes : en cas d'obligation légale
Nos sous-traitants (liste à jour au 17 juin 2026) :
| Sous-traitant | Finalité | Zone traitement | Durée de conservation | Encadrement transfert |
|---|---|---|---|---|
| OVHcloud | Hébergement serveur applicatif (RISE-M, SBG3) et stockage objet S3 (pièces jointes, sauvegardes) | France (Strasbourg / Gravelines) | Durée de l'abonnement + 10 ans pour les pièces fiscales | Pas de transfert hors EEE — DPA signé |
| Mistral AI | OCR et extraction de données des factures et tickets (tous plans) | France / Union européenne | Traitement en temps réel — images non stockées après extraction | Pas de transfert hors EEE — DPA signé |
| Stripe Payments Europe | Encaissement des abonnements et paiements | Irlande (siège UE) avec sous-traitance technique aux États-Unis | 10 ans (obligations comptables et anti-blanchiment) | Clauses contractuelles types (CCT) Commission européenne — DPA Stripe |
| Brevo (ex Sendinblue) | Envoi d'e-mails transactionnels (OTP, notifications, factures) | France (Paris) | 12 mois pour les logs d'envoi | Pas de transfert hors EEE — DPA signé |
| Apple Push Notification service (APNs) | Notifications push iOS | États-Unis (Apple Inc.) | Durée de vie du device token (jusqu'à désinstallation de l'app) | CCT Commission européenne — Apple DPA |
| Firebase Cloud Messaging (FCM) | Notifications push Android | États-Unis (Google LLC) | Durée de vie du device token (jusqu'à désinstallation de l'app) | CCT Commission européenne — Google DPA |
| Firebase (Authentication, Crashlytics, Analytics) | Services backend Android (authentification annexe, rapports de crash, mesure d'audience après consentement) | États-Unis (Google LLC) | 90 jours pour les crashs, 14 mois pour les données analytiques | CCT Commission européenne — Google DPA |
| Sentry | Suivi des erreurs techniques applicatives | États-Unis (Functional Software Inc.), avec région UE (Francfort) configurée | 90 jours pour les logs d'erreurs | CCT Commission européenne — Sentry DPA |
| Google Play Console | Distribution de l'application Android, fiche store, avis utilisateurs | États-Unis (Google LLC) | Durée de publication de l'application sur le store | CCT Commission européenne — Google DPA |
| App Store Connect | Distribution de l'application iOS, fiche store, avis utilisateurs | États-Unis (Apple Inc.) | Durée de publication de l'application sur le store | CCT Commission européenne — Apple DPA |
| FreeTSA | Horodatage RFC 3161 (seule l'empreinte cryptographique non réversible du document est transmise) | Autriche (Union européenne) | Aucune donnée personnelle conservée (seul un hash anonyme est transmis) | Pas de transfert hors EEE |
| Google Analytics | Mesure d'audience du site (chargé uniquement après votre consentement explicite) | États-Unis (Google LLC) | 14 mois | CCT Commission européenne — Google DPA |
Transferts hors de l'Espace Économique Européen :les sous-traitants situés hors de l'EEE (Stripe, Apple, Google, Sentry) impliquent un transfert de données. Ces transferts sont encadrés par les clauses contractuelles types (CCT)adoptées par la Commission européenne (décision d'exécution 2021/914), conformément aux articles 44 à 49 du RGPD. Pour FreeTSA, seule une empreinte cryptographique non réversible est transmise (aucune donnée personnelle).
Mise à jour de la liste :tout ajout, retrait ou changement de zone d'un sous-traitant est publié ici avec une date de mise à jour. Pour les partenaires B2B (section 11), un préavis de 30 jours est notifié par e-mail avant tout changement de sous-traitant ultérieur, leur permettant de s'y opposer.
7. Sécurité des données
Nous mettons en place des mesures de sécurité appropriées :
- Chiffrement des données en transit (TLS 1.3)
- Authentification par mot de passe hashé (bcrypt)
- Hébergement sécurisé sur infrastructure dédiée en France
- Sauvegardes régulières et plan de continuité
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données personnelles
- Droit de rectification des données inexactes
- Droit à l'effacement (droit à l'oubli)
- Droit à la portabilité de vos données
- Droit d'opposition et de limitation du traitement
- Droit de retirer votre consentement à tout moment
Pour exercer ces droits, contactez-nous à : dpo@itick.fr
Vous pouvez également adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés).
9. Intelligence artificielle et OCR
ITICK utilise un service d'OCR (reconnaissance optique de caractères) pour extraire automatiquement les données de vos factures. Le traitement est identique sur tous les plans : Mistral AI(société française, données traitées dans l'Union européenne) assure l'extraction. Si ce service est momentanément indisponible, le scan est simplement reporté : aucune donnée n'est confiée à un autre prestataire.
- Aucune décision automatisée n'est prise sur la base de ces données
- Aucun profilage n'est effectué
- Vos données ne sont pas utilisées pour entraîner des modèles d'IA
- L'utilisateur reste responsable de la vérification des données extraites
10. Cookies et traceurs
Pour plus de détails sur les cookies utilisés, consultez notre Politique de Cookies.
11. Accord de traitement des données (DPA) — Partenaires B2B
Lorsqu'un partenaire (commerçant, POS, e-commerce) utilise l'API ITICK pour transmettre des données de leurs clients, ITICK agit en qualité de sous-traitant (article 28 du RGPD) et le partenaire en qualité de responsable du traitement.
Engagements d'ITICK en tant que sous-traitant :
- Traiter les données personnelles uniquement sur instruction documentée du responsable du traitement
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles décrites à la section 7
- Ne pas faire appel à un autre sous-traitant sans autorisation écrite préalable
- Assister le responsable du traitement pour répondre aux demandes d'exercice des droits des personnes concernées
- Assister le responsable du traitement pour ses obligations de notification de violation (sections 11 et 12)
- Supprimer ou restituer les données personnelles au terme de la prestation, au choix du responsable du traitement
- Mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ces obligations
Sous-traitants ultérieurs :
- OVHcloud (hébergement applicatif + stockage S3) — France
- Mistral AI (OCR des factures, tous plans) — France / Union européenne
- Brevo (e-mails transactionnels) — France
- Stripe Payments Europe (paiements) — Irlande / États-Unis, CCT Commission européenne
- Sentry (suivi des erreurs) — région UE (Francfort), CCT Commission européenne
- Apple Push Notification service (APNs) (notifications iOS) — États-Unis, CCT Commission européenne
- Firebase Cloud Messaging (FCM) (notifications Android) — États-Unis (Google), CCT Commission européenne
- FreeTSA (horodatage RFC 3161) — Autriche (UE), seul un hash anonyme est transmis
La liste complète et à jour, avec finalité, zone de traitement et durée de conservation, est détaillée dans le tableau de la section 6.
Tout changement de sous-traitant ultérieur sera notifié aux partenaires avec un préavis de 30 jours, leur permettant de s'opposer.
Durée de conservation des données partenaires :
- Environnement sandbox : 30 jours
- Environnement production : selon la politique de rétention de l'utilisateur final, avec un minimum de 10 ans pour les données fiscales
Le droit à l'effacement peut être exercé via l'endpoint API DELETE /partner/data/:userId ou par demande écrite à dpo@itick.fr.
Pour obtenir un DPA signé au format PDF, contactez dpo@itick.fr. Les conditions d'utilisation de l'API sont détaillées dans nos Conditions d'Utilisation de l'API Partenaire.
12. Notification de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, ITICK SAS s'engage à notifier la CNIL dans un délai de 72 heures (RGPD art. 33) et à vous informer dans les meilleurs délais si le risque est élevé (RGPD art. 34).
13. Contact DPO
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données :
Email : dpo@itick.fr
