Version du 20/06/2026 — Conforme au RGPD (Règlement UE 2016/679) et à la loi n°78-17 modifiée (Informatique et Libertés)
Enzo SAHBI — Entrepreneur individuel
SIREN 103 581 252 — SIRET 10358125200014
30 rue Sainte-Beuve, apt 3, 80000 Amiens, France
Email : contact@gestox.fr
Téléphone : +33 6 15 26 53 45
En tant que micro-entreprise traitant moins de 5 000 personnes par an et ne réalisant aucun traitement à grande échelle de données sensibles, GestoX n'est pas soumis à l'obligation de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Toute question relative à vos données peut être adressée directement à contact@gestox.fr.
| Données | Finalité | Base légale (RGPD art. 6) | Durée |
|---|---|---|---|
| Email, nom, prénom, mot de passe haché (bcrypt) | Création et gestion du compte, authentification | Exécution du contrat (art. 6.1.b) | Durée du compte + 30 jours |
| Raison sociale, SIRET, adresse, téléphone | Génération de documents légaux (devis, factures) | Exécution du contrat (art. 6.1.b) | Durée du compte + 10 ans (obligation comptable) |
| Données clients/fournisseurs saisies par l'Utilisateur | Permettre à l'Utilisateur de gérer son activité | Intérêt légitime de l'Utilisateur (art. 6.1.f) — l'Utilisateur est responsable de cette collecte vis-à-vis de ses propres contacts | Selon décision de l'Utilisateur (export/suppression) |
| Devis, factures, écritures comptables | Cœur du service | Exécution du contrat (art. 6.1.b) | 10 ans (art. L123-22 Code de commerce) |
| Chiffre d'affaires total facturé via la plateforme (montant agrégé) | Détermination du palier tarifaire — l'abonnement étant indexé sur le volume d'activité — et facturation du Service | Exécution du contrat (art. 6.1.b) | Durée du compte + 10 ans (obligation comptable) |
| Logs de connexion, adresse IP, User-Agent | Sécurité, prévention de fraude, débogage | Intérêt légitime (art. 6.1.f) | 12 mois |
| Email de support | Réponse aux demandes | Exécution du contrat / Intérêt légitime | 3 ans après dernier échange |
| Données de paiement (futur) | Facturation | Exécution du contrat (art. 6.1.b) | Traitées par Stripe — voir leur politique |
L'offre GestoX étant tarifée selon le volume d'activité, l'Éditeur consulte le montant total facturé via la plateforme (donnée agrégée, sans accès au détail des clients de l'Utilisateur) afin de déterminer le palier d'abonnement applicable. Cette consultation est strictement limitée aux besoins de la facturation du Service.
En cas de défaut de paiement de l'abonnement, l'Éditeur peut suspendre l'accès au compte jusqu'à régularisation. La suspension n'entraîne aucune suppression de données : l'Utilisateur conserve ses droits d'accès, d'export et de portabilité (art. 20 RGPD), et les pièces comptables restent conservées selon les durées légales applicables.
Lorsque l'Utilisateur saisit dans GestoX les données de ses propres clients, prospects, fournisseurs ou salariés, c'est l'Utilisateur qui en est le responsable de traitement au sens du RGPD. GestoX agit alors en qualité de sous-traitant (art. 28 RGPD) et s'engage à traiter ces données uniquement selon les instructions de l'Utilisateur. L'Utilisateur est seul responsable d'avoir une base légale pour collecter ces données et d'informer ses propres contacts de ce traitement.
Vos données sont accessibles :
GestoX ne vend, ne loue, ne commercialise jamais vos données à des tiers.
GestoX recourt aux sous-traitants suivants, choisis pour leur conformité RGPD et leurs garanties de sécurité :
| Sous-traitant | Rôle | Localisation | Encadrement |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL, authentification, stockage | AWS Francfort (UE) | DPA signé, hébergement UE |
| Netlify, Inc. | Hébergement frontend, CDN | Francfort (UE) — siège USA | DPA, Clauses Contractuelles Types UE (Décision 2021/914) |
| Resend Inc. | Envoi d'emails transactionnels | USA | DPA, Clauses Contractuelles Types UE |
| Anthropic PBC | IA générative (Claude) pour devis et OCR | USA | DPA, Clauses Contractuelles Types UE, données non utilisées pour entraînement |
| Stripe Payments Europe | Paiements (futur) | Irlande (UE) | Conforme PCI-DSS niveau 1 |
Certaines opérations techniques peuvent impliquer un transfert de données vers les États-Unis (Netlify, Resend, Anthropic, certains services Stripe). Ces transferts sont encadrés par les Clauses Contractuelles Types approuvées par la Commission européenne (Décision 2021/914 du 4 juin 2021), garantissant un niveau de protection équivalent à celui du RGPD.
Lorsque le sous-traitant est certifié au Data Privacy Framework UE-USA, cette adéquation s'ajoute aux CCT.
GestoX utilise l'IA générative Claude (Anthropic) pour deux usages :
Dans les deux cas, le contenu généré est une proposition que l'Utilisateur peut librement modifier, accepter ou rejeter avant validation. Aucune décision juridique automatisée n'est prise par GestoX au sens de l'article 22 du RGPD.
GestoX utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service :
Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies ne nécessitent pas de consentement préalable. Aucun cookie publicitaire, de tracking, d'analytics tiers ou de profilage n'est utilisé.
L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes :
Malgré ces mesures, le risque zéro n'existe pas. En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes, l'Éditeur notifiera la CNIL dans les 72 heures (art. 33 RGPD) et, le cas échéant, informera les personnes concernées dans les meilleurs délais (art. 34 RGPD).
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
Pour exercer ces droits : contact@gestox.fr. Une réponse vous sera apportée dans un délai maximal d'un mois (prolongeable de 2 mois supplémentaires si la demande est complexe).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Les durées de conservation sont précisées dans le tableau de l'article 2. Une fois ces durées écoulées, les données sont soit supprimées de manière irréversible, soit archivées en base de sauvegarde isolée (archive froide) si une obligation légale l'impose (notamment 10 ans pour les pièces comptables — art. L123-22 du Code de commerce).
Le Service GestoX est destiné aux professionnels majeurs exerçant une activité économique. L'inscription par un mineur, même autorisé à exercer une activité, requiert l'accord de son représentant légal. GestoX ne collecte pas sciemment de données de mineurs en dehors de ce cadre.
La présente politique peut évoluer pour refléter des changements légaux, réglementaires ou techniques. Toute modification substantielle sera notifiée par email avec un préavis raisonnable. La version en vigueur est toujours disponible sur cette page.
Pour toute question relative à la protection de vos données :
📧 contact@gestox.fr
📮 Enzo SAHBI — 30 rue Sainte-Beuve, apt 3, 80000 Amiens