GestoX GestoX
← Retour à l'accueil

Politique de confidentialité

Version du 20/06/2026 — Conforme au RGPD (Règlement UE 2016/679) et à la loi n°78-17 modifiée (Informatique et Libertés)

📋 En résumé : GestoX collecte uniquement les données strictement nécessaires à la fourniture du service. Vos données sont hébergées dans l'Union européenne (Francfort), ne sont jamais vendues à des tiers, et vous gardez le contrôle total via vos droits RGPD.

1. Responsable du traitement

Enzo SAHBI — Entrepreneur individuel

SIREN 103 581 252 — SIRET 10358125200014

30 rue Sainte-Beuve, apt 3, 80000 Amiens, France

Email : contact@gestox.fr

Téléphone : +33 6 15 26 53 45

En tant que micro-entreprise traitant moins de 5 000 personnes par an et ne réalisant aucun traitement à grande échelle de données sensibles, GestoX n'est pas soumis à l'obligation de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Toute question relative à vos données peut être adressée directement à contact@gestox.fr.

2. Données collectées, finalités et bases légales

DonnéesFinalitéBase légale (RGPD art. 6)Durée
Email, nom, prénom, mot de passe haché (bcrypt)Création et gestion du compte, authentificationExécution du contrat (art. 6.1.b)Durée du compte + 30 jours
Raison sociale, SIRET, adresse, téléphoneGénération de documents légaux (devis, factures)Exécution du contrat (art. 6.1.b)Durée du compte + 10 ans (obligation comptable)
Données clients/fournisseurs saisies par l'UtilisateurPermettre à l'Utilisateur de gérer son activitéIntérêt légitime de l'Utilisateur (art. 6.1.f) — l'Utilisateur est responsable de cette collecte vis-à-vis de ses propres contactsSelon décision de l'Utilisateur (export/suppression)
Devis, factures, écritures comptablesCœur du serviceExécution du contrat (art. 6.1.b)10 ans (art. L123-22 Code de commerce)
Chiffre d'affaires total facturé via la plateforme (montant agrégé)Détermination du palier tarifaire — l'abonnement étant indexé sur le volume d'activité — et facturation du ServiceExécution du contrat (art. 6.1.b)Durée du compte + 10 ans (obligation comptable)
Logs de connexion, adresse IP, User-AgentSécurité, prévention de fraude, débogageIntérêt légitime (art. 6.1.f)12 mois
Email de supportRéponse aux demandesExécution du contrat / Intérêt légitime3 ans après dernier échange
Données de paiement (futur)FacturationExécution du contrat (art. 6.1.b)Traitées par Stripe — voir leur politique
💶 Tarification indexée & accès au Service :

L'offre GestoX étant tarifée selon le volume d'activité, l'Éditeur consulte le montant total facturé via la plateforme (donnée agrégée, sans accès au détail des clients de l'Utilisateur) afin de déterminer le palier d'abonnement applicable. Cette consultation est strictement limitée aux besoins de la facturation du Service.

En cas de défaut de paiement de l'abonnement, l'Éditeur peut suspendre l'accès au compte jusqu'à régularisation. La suspension n'entraîne aucune suppression de données : l'Utilisateur conserve ses droits d'accès, d'export et de portabilité (art. 20 RGPD), et les pièces comptables restent conservées selon les durées légales applicables.

⚠️ Données des contacts/clients de l'Utilisateur :

Lorsque l'Utilisateur saisit dans GestoX les données de ses propres clients, prospects, fournisseurs ou salariés, c'est l'Utilisateur qui en est le responsable de traitement au sens du RGPD. GestoX agit alors en qualité de sous-traitant (art. 28 RGPD) et s'engage à traiter ces données uniquement selon les instructions de l'Utilisateur. L'Utilisateur est seul responsable d'avoir une base légale pour collecter ces données et d'informer ses propres contacts de ce traitement.

3. Destinataires des données

Vos données sont accessibles :

GestoX ne vend, ne loue, ne commercialise jamais vos données à des tiers.

4. Sous-traitants (art. 28 RGPD)

GestoX recourt aux sous-traitants suivants, choisis pour leur conformité RGPD et leurs garanties de sécurité :

Sous-traitantRôleLocalisationEncadrement
Supabase Inc.Base de données PostgreSQL, authentification, stockageAWS Francfort (UE)DPA signé, hébergement UE
Netlify, Inc.Hébergement frontend, CDNFrancfort (UE) — siège USADPA, Clauses Contractuelles Types UE (Décision 2021/914)
Resend Inc.Envoi d'emails transactionnelsUSADPA, Clauses Contractuelles Types UE
Anthropic PBCIA générative (Claude) pour devis et OCRUSADPA, Clauses Contractuelles Types UE, données non utilisées pour entraînement
Stripe Payments EuropePaiements (futur)Irlande (UE)Conforme PCI-DSS niveau 1

5. Transferts hors UE

Certaines opérations techniques peuvent impliquer un transfert de données vers les États-Unis (Netlify, Resend, Anthropic, certains services Stripe). Ces transferts sont encadrés par les Clauses Contractuelles Types approuvées par la Commission européenne (Décision 2021/914 du 4 juin 2021), garantissant un niveau de protection équivalent à celui du RGPD.

Lorsque le sous-traitant est certifié au Data Privacy Framework UE-USA, cette adéquation s'ajoute aux CCT.

6. Décisions automatisées et intelligence artificielle

🤖 Information IA — Art. 22 RGPD :

GestoX utilise l'IA générative Claude (Anthropic) pour deux usages :

Dans les deux cas, le contenu généré est une proposition que l'Utilisateur peut librement modifier, accepter ou rejeter avant validation. Aucune décision juridique automatisée n'est prise par GestoX au sens de l'article 22 du RGPD.

Minimisation des données (art. 5.1.c RGPD)

7. Cookies et technologies similaires

GestoX utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service :

Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies ne nécessitent pas de consentement préalable. Aucun cookie publicitaire, de tracking, d'analytics tiers ou de profilage n'est utilisé.

8. Sécurité des données

L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes :

⚠️ Aucun système n'est invulnérable :

Malgré ces mesures, le risque zéro n'existe pas. En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes, l'Éditeur notifiera la CNIL dans les 72 heures (art. 33 RGPD) et, le cas échéant, informera les personnes concernées dans les meilleurs délais (art. 34 RGPD).

9. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

Pour exercer ces droits : contact@gestox.fr. Une réponse vous sera apportée dans un délai maximal d'un mois (prolongeable de 2 mois supplémentaires si la demande est complexe).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

10. Durée de conservation

Les durées de conservation sont précisées dans le tableau de l'article 2. Une fois ces durées écoulées, les données sont soit supprimées de manière irréversible, soit archivées en base de sauvegarde isolée (archive froide) si une obligation légale l'impose (notamment 10 ans pour les pièces comptables — art. L123-22 du Code de commerce).

11. Mineurs

Le Service GestoX est destiné aux professionnels majeurs exerçant une activité économique. L'inscription par un mineur, même autorisé à exercer une activité, requiert l'accord de son représentant légal. GestoX ne collecte pas sciemment de données de mineurs en dehors de ce cadre.

12. Modification de la politique

La présente politique peut évoluer pour refléter des changements légaux, réglementaires ou techniques. Toute modification substantielle sera notifiée par email avec un préavis raisonnable. La version en vigueur est toujours disponible sur cette page.

13. Contact

Pour toute question relative à la protection de vos données :

📧 contact@gestox.fr
📮 Enzo SAHBI — 30 rue Sainte-Beuve, apt 3, 80000 Amiens