Refurio
Politique de confidentialité

Politique de confidentialité

Dernière mise à jour : juin 2026

1. Responsable du traitement

Guillaume BESSI, Auto-entrepreneur — Diag Invoice (éditeur de Refurio)

Email : contact@refurio.fr

2. Données collectées

a) Données d'inscription

  • Nom, prénom, email, mot de passe (hashé)
  • Nom de l'entreprise, SIRET, code NAF
  • Type d'activité (atelier, boutique, revendeur B2B, vendeur marketplace)

b) Données de facturation et d'appareils

  • Factures émises : vendeur, acheteur, montants, TVA, dates, références
  • Appareils : modèle, IMEI, origine d'achat, régime de TVA appliqué
  • Registre de TVA sur marge (achat, revente, marge, TVA)

c) Données de navigation

  • Adresse IP, type de navigateur, pages visitées, durée de session
  • Cookies techniques

d) Données de paiement

  • Gérées intégralement par Stripe Inc. (certifié PCI DSS Level 1)
  • Refurio ne stocke jamais vos numéros de carte bancaire

3. Finalités du traitement

  • Fournir le service Refurio (émission Factur-X, détermination de la TVA, registre de marge, traçabilité IMEI)
  • Transmettre vos factures via votre plateforme agréée
  • Améliorer la précision du moteur de détermination de la TVA (données agrégées et anonymisées)
  • Vous contacter pour le support et les alertes réglementaires
  • Facturer les abonnements via Stripe

4. Base légale

Exécution du contrat (Art. 6.1.b RGPD) : fourniture du service

Consentement (Art. 6.1.a RGPD) : cookies non essentiels et communications marketing

Obligation légale (Art. 6.1.c RGPD) : conservation comptable des factures

Intérêt légitime (Art. 6.1.f RGPD) : amélioration du service et sécurité

5. Destinataires des données

Stripe Inc. (Paiements) : Certifié PCI DSS, basé aux USA, conforme au EU-US Data Privacy Framework

Vercel Inc. (Hébergement frontend) : Basé aux USA, serveurs Europe (Frankfurt)

Railway Corp. (Hébergement backend) : Basé aux USA, serveurs Europe

Neon Inc. (Base de données PostgreSQL) : Basé aux USA, serveurs Europe (Frankfurt)

Cloudflare Inc. (CDN, DNS, protection DDoS) : Basé aux USA

Google Cloud (OCR et IA pour l'extraction des factures fournisseurs) : Basé aux USA, serveurs Europe

Resend (Envoi d'emails transactionnels) : Basé aux USA

Tous nos sous-traitants sont conformes au RGPD et/ou au EU-US Data Privacy Framework. Aucune donnée n'est vendue à des tiers.

6. Durée de conservation

Données de compte : Durée de l'abonnement + 3 ans (prescription légale)

Factures et registre de marge : 10 ans (obligation légale de conservation comptable)

Données de navigation : 13 mois maximum

7. Vos droits (RGPD)

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit d'effacement : demander la suppression de vos données
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit d'opposition : vous opposer au traitement de vos données
  • Droit de limitation : restreindre le traitement de vos données

Pour exercer vos droits : contact@refurio.fr

Délai de réponse : 30 jours maximum.

En cas de litige, vous pouvez saisir la CNIL : www.cnil.fr

8. Transferts hors UE

Les données sont hébergées sur des serveurs situés en Europe (Frankfurt, Allemagne) chez l'ensemble de nos prestataires (Vercel, Railway, Neon, Google Cloud). Les sociétés éditrices de ces services sont basées aux États-Unis mais les données restent stockées et traitées sur le sol européen. Les transferts éventuels sont encadrés par le EU-US Data Privacy Framework et/ou des clauses contractuelles types approuvées par la Commission européenne.

9. Sécurité

  • Mots de passe hashés (bcrypt)
  • Communications chiffrées (HTTPS/TLS)
  • Accès restreints et audités
  • Sauvegardes chiffrées quotidiennes
  • Hébergement certifié SOC 2

10. Modification de la politique

Cette politique peut être modifiée à tout moment. La date de dernière mise à jour est indiquée en haut de cette page. Nous vous informerons de tout changement significatif par email.