Dernière mise à jour : 5 mai 2026.
Vos données restent en Europe (Francfort, Allemagne). Vous en êtes le propriétaire exclusif. Aucun transfert hors UE. Aucune publicité, aucune revente. Vous disposez de tous vos droits RGPD, exerçables par email à contact@iobill.online. Pour les besoins B2B, un DPA est signable depuis /legal/dpa.
1.Responsable de traitement
Le responsable de traitement au sens de l'article 4.7 du RGPD est :
- OWL'S INDUSTRY, SAS au capital de 4 000 €
- Siège : 44 Vieille Route de la Gavotte, 13170 Les Pennes-Mirabeau, France
- SIRET : 852 788 470 00018
- Email contact RGPD : contact@iobill.online
Lorsque l'Utilisateur saisit dans le Service des données personnelles relatives à ses propres clients (par exemple lorsqu'il crée une fiche client pour facturer), l'Utilisateur agit en qualité de responsable de traitement et OWL'S INDUSTRY agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Un DPA encadre cette relation : voir /legal/dpa.
2.Données collectées
2.1 Données du compte utilisateur
- Identité : nom, prénom, fonction ;
- Coordonnées : email, téléphone (optionnel), adresse postale professionnelle ;
- Données entreprise : raison sociale, SIRET, TVA intracommunautaire, code NAF, forme juridique ;
- Identifiants de connexion : email + hash bcrypt du mot de passe ;
- Méthode de paiement : numéro de carte bancaire tokenisé chez Stripe (jamais stocké en clair par OWL'S INDUSTRY) ;
- Préférences : notifications, langue, fuseau horaire.
2.2 Données métier saisies dans le Service
- Carnet clients et fournisseurs (raison sociale, SIRET, adresse, contacts) ;
- Documents émis : devis, factures, avoirs, factures d'acompte, situations ;
- Données financières : RIB, encours clients, tableau de TVA, écritures comptables ;
- Justificatifs : factures fournisseurs scannées, bons de livraison, contrats ;
- En cas de connexion bancaire DSP2 : transactions du compte bancaire professionnel (libellé, montant, date, contrepartie).
2.3 Données techniques
- Logs de connexion : adresse IP (anonymisée au-delà de 90 jours), date/heure, action effectuée ;
- Statistiques d'usage anonymes (Plausible Analytics — sans cookies, sans identifiant individuel) ;
- Logs d'erreur applicative (sans données personnelles, agrégés et purgés sous 30 jours).
3.Finalités & bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) |
| Fourniture du service (édition de factures, banque connectée, OCR…) | Exécution du contrat (art. 6.1.b) |
| Facturation et encaissement des abonnements | Exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c, conservation comptable) |
| Support technique et relation client | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude, lutte contre l'usurpation d'identité | Intérêt légitime (art. 6.1.f) |
| Statistiques d'usage anonymes pour amélioration du service | Intérêt légitime (art. 6.1.f) |
| Newsletter et communications produit (changelog) | Consentement (art. 6.1.a) — opt-in explicite, désinscription en 1 clic |
| Conservation des factures émises (obligation fiscale) | Obligation légale (art. 6.1.c, art. L. 102 B LPF) |
| Communication promotionnelle vers utilisateurs existants | Intérêt légitime + dispense article 22 RGPD pour clients existants |
4.Durées de conservation
| Type de données | Durée | Fondement |
|---|---|---|
| Compte utilisateur actif | Pendant toute la durée de l'abonnement | Exécution du contrat |
| Données du compte après résiliation | 30 jours (réversibilité), puis suppression sauf obligations légales | Article L. 102 B LPF |
| Factures émises (du Service vers Utilisateurs) | 10 ans | Article L. 123-22 Code de commerce |
| Factures saisies par l'Utilisateur dans le Service | 10 ans (sauf demande de suppression de l'Utilisateur après ses propres délais légaux) | Article L. 102 B LPF |
| Logs de connexion | 1 an (puis purge) | Article L. 34-1 CPCE + recommandation CNIL |
| Adresse IP en clair | Anonymisation à 90 jours | Recommandation CNIL |
| Emails de prospection commerciale | 3 ans après le dernier contact | Recommandation CNIL délibération 2016-264 |
| Données de paiement (token Stripe) | Pendant la durée de l'abonnement | Exécution du contrat |
| Tickets de support | 3 ans après clôture | Intérêt légitime (preuve) |
5.Destinataires & sous-traitants
OWL'S INDUSTRY recourt à des prestataires tiers pour fournir le Service. Tous nos sous-traitants sont soumis à un contrat de sous-traitance conforme à l'article 28 du RGPD, accessible sur demande.
| Sous-traitant | Rôle | Hébergement | DPA |
|---|---|---|---|
| Supabase Inc. | Hébergement de base de données + authentification + stockage de fichiers | AWS Europe (Francfort, Allemagne) | Lien |
| Vercel Inc. | Hébergement du site vitrine et de l'application web | Edge mondial, données EU pour utilisateurs EU | Lien |
| Stripe Payments Europe Ltd. | Traitement des paiements par carte bancaire et SEPA | Irlande (UE) | Lien |
| Bridge by BPCE (Bankin' SAS) | Agrégation bancaire DSP2 (PSAN ACPR n° 16798) | France | Sur demande |
| Mistral AI | OCR des factures fournisseurs | France (UE) | Lien |
| Yousign SAS | Signature électronique eIDAS | France (UE) | Lien |
| Iopole | Plateforme de Dématérialisation Partenaire (PDP) immatriculée DGFiP | France (UE) | Sur demande |
| OVH SAS | Sauvegardes secondaires & emails techniques (relais SMTP) | France (Roubaix, Strasbourg) | Lien |
| Resend Inc. | Envoi des emails transactionnels (factures, notifications, support) | Edge EU prioritaire | Lien |
| Plausible Insights OÜ | Statistiques de visite anonymes du site vitrine (sans cookies) | Estonie (UE) | Lien |
OWL'S INDUSTRY ne vend, ne loue, ne partage les données personnelles avec aucun autre tiers. En particulier, aucune donnée n'est partagée avec :
- Des régies publicitaires ;
- Des courtiers en données (data brokers) ;
- Des organismes de notation ou d'évaluation tiers ;
- Des services de profilage marketing tiers.
6.Transferts hors UE
Aucun transfert de données personnelles n'est effectué en dehors de l'Union Européenne ou de l'Espace Économique Européen pour le compte des Utilisateurs IO BILL.
L'ensemble des sous-traitants listés ci-dessus traite les données dans l'UE/EEE. Les sous-traitants ayant un siège social hors UE (Supabase, Vercel, Stripe, Resend) garantissent contractuellement le maintien des données dans des centres de données européens pour les utilisateurs européens, et sont signataires des Clauses Contractuelles Types (CCT) de la Commission Européenne (décision 2021/914) au cas où un transfert exceptionnel devait avoir lieu (par exemple support utilisateur exceptionnel).
7.Sécurité
OWL'S INDUSTRY met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement : TLS 1.3 en transit, AES-256 au repos ;
- Authentification forte : 2FA optionnel sur tous les comptes (TOTP), obligatoire sur le plan Cabinet ;
- Mots de passe : hash bcrypt avec coût 12, jamais stockés en clair, jamais transmis ;
- Sauvegardes : quotidiennes, conservées 30 jours, chiffrées, restoration testée mensuellement ;
- Cloisonnement : isolation logique stricte entre comptes (Row-Level Security côté base de données) ;
- Logs d'audit : toutes les actions sensibles (export, suppression, changement de plan) sont tracées et conservées 1 an ;
- Pen tests : tests d'intrusion annuels par un prestataire externe (rapport disponible sur demande pour les comptes Cabinet et Pro) ;
- Politique de divulgation responsable : security@iobill.online pour signaler une vulnérabilité.
8.Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir copie des données personnelles vous concernant ;
- Droit de rectification (art. 16) : faire rectifier des données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
- Droit à la limitation du traitement (art. 18) ;
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré (FEC, JSON, CSV) ;
- Droit d'opposition (art. 21), notamment au traitement à des fins de prospection commerciale ;
- Droit de retirer son consentement à tout moment lorsque le traitement repose sur celui-ci ;
- Droit de définir des directives post-mortem sur le sort de vos données après votre décès (article 85 loi Informatique et Libertés).
Pour exercer ces droits, contactez-nous à : contact@iobill.online avec un justificatif d'identité. Réponse garantie sous 30 jours conformément au RGPD.
9.Délégué à la protection des données (DPO)
OWL'S INDUSTRY n'est pas légalement tenue de désigner un DPO au sens de l'article 37 du RGPD. Néanmoins, un référent RGPD est désigné en interne et joignable à l'adresse contact@iobill.online.
Pour les besoins B2B (clients Pro et Cabinet) requérant un interlocuteur formel sur les questions RGPD, un DPA peut être signé et un point de contact dédié peut être fourni : voir /legal/dpa.
10.Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez la faculté d'introduire une réclamation auprès de l'autorité de contrôle française :
- Commission Nationale de l'Informatique et des Libertés (CNIL)
- 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
- www.cnil.fr/fr/plaintes
11.Cookies
L'utilisation de cookies sur iobill.online est limitée au strict nécessaire au fonctionnement du Service. Détail complet sur la page Politique de cookies.
12.Mineurs
IO BILL est un service strictement professionnel. Il n'est pas destiné aux mineurs et ne collecte volontairement aucune donnée concernant des mineurs. Si vous estimez qu'un mineur nous a transmis des données personnelles, contactez-nous immédiatement à contact@iobill.online pour suppression.
13.Modifications
OWL'S INDUSTRY se réserve le droit de modifier la présente politique de confidentialité. Toute modification substantielle sera notifiée aux Utilisateurs par email. La date de dernière mise à jour figure en haut de cette page.