1. Responsable du traitement
AP FRANCE — SASU, SIREN 802 005 108, 49 bd du Lycée, 92170 Vanves.
Contact DPO : contact@assistantprive.io
2. Données collectées
Nous collectons uniquement les données nécessaires aux finalités décrites ci-dessous :
- Compte & authentification: adresse e-mail (chiffrée au repos avec AWS KMS), clés passkey WebAuthn. Base légale: exécution du contrat.
- Facturation: nom, prénom, adresse postale, pays, et le cas échéant numéro de TVA et SIREN. Base légale: exécution du contrat & obligation légale (conservation 10 ans — Art. L123-22 C. com.).
- Documents transmis: pièces et justificatifs que vous téléversez ou nous confiez pour la réalisation de vos démarches administratives (titre de séjour, visa, état civil, etc.). Base légale: exécution du contrat. Ces documents ne sont utilisés que pour les démarches que vous nous confiez.
- Suivi des dossiers: projets, tâches, échéances et échanges liés à vos démarches. Base légale: exécution du contrat.
- Consentements: date et version des CGV acceptées, renonciation au droit de rétractation, adresse IP. Base légale: obligation légale.
- Données techniques: logs de requêtes (IP, user-agent, horodatage). Base légale: intérêt légitime (sécurité, débogage). Conservation: 90 jours.
3. Destinataires des données
Vos données peuvent être transmises aux sous-traitants suivants, dans la limite stricte des finalités décrites :
- Neon Inc. (base de données PostgreSQL) — hébergement EU disponible.
- Vercel Inc. (hébergement applicatif) — certifié SOC 2.
- AWS KMS (chiffrement des données sensibles) — région eu-west-1.
- Cloudflare Inc. (stockage des documents — R2) — données hébergées dans l'Union européenne.
- Stripe Payments Europe Ltd. (paiement par carte bancaire) — établissement de paiement agréé ; nous ne stockons aucune donnée bancaire.
- Resend Inc. (envoi d'e-mails transactionnels).
- Upstash Inc. (cache Redis) — région EU disponible.
- PostHog Inc. (mesure d'audience, analytics produit et suivi des erreurs techniques applicatives) — données hébergées en région UE (
eu.i.posthog.com). Le suivi des erreurs ne collecte que des données techniques (message d'erreur, trace), sans donnée personnelle. Utilisées exclusivement pour améliorer et fiabiliser le service ; aucun partage à des tiers à des fins publicitaires.
Vos documents et données peuvent également être communiqués aux administrations françaises compétentes (préfecture, OFII, URSSAF, CAF, etc.), uniquement dans le cadre des démarches que vous nous avez expressément confiées.
Aucune donnée n'est vendue à des tiers. Aucune donnée n'est utilisée à des fins publicitaires ou de profilage commercial.
4. Durées de conservation
- Données de compte actif : durée de la relation contractuelle.
- Documents transmis : durée de la relation contractuelle ; suppression sur demande à tout moment.
- Données de compte supprimé : anonymisation immédiate, sauf données de facturation conservées 10 ans.
- Logs techniques : 90 jours.
- Consentements CGV : 5 ans à compter de la date d'acceptation.
5. Vos droits (RGPD Art. 15–22)
Vous disposez d'un droit d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation du traitement de vos données.
Pour exercer ces droits, contactez-nous à contact@assistantprive.io. Nous répondrons dans un délai de 30 jours. En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL.
6. Cookies
Consultez notre Politique de cookies pour le détail des traceurs utilisés.
7. Sécurité
Les données sensibles (adresse e-mail) sont chiffrées au repos via AWS KMS. L'authentification repose sur des passkeys WebAuthn — aucun mot de passe n'est stocké. L'accès à vos documents est strictement cloisonné par compte. Les communications sont chiffrées en transit (TLS 1.3).
8. Transferts hors UE
Certains sous-traitants (Vercel, Resend, Upstash) sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne ou par le cadre EU-US Data Privacy Framework.