1. Préambule
La présente politique décrit la manière dont S2M Consulting SAS (ci-après « S2M » ou « nous ») traite les données à caractère personnel dans le cadre du service Comptao : plateforme SaaS d’assistance par intelligence artificielle dédiée aux cabinets d’expertise comptable (relances clients, briefings quotidiens, tri de pièces, suivi de dossiers).
Nous appliquons les principes de protection des données dès la conception et par défaut (Privacy by Design & by Default) et nous nous engageons à une minimisation stricte des données collectées.
Elle s’applique à :
- Les utilisateurs du cabinet abonné (experts-comptables, collaborateurs, stagiaires) ;
- Les clients des cabinets (personnes physiques ou dirigeants de personnes morales) dont les données transitent par Comptao ;
- Les visiteurs du site comptao.eu et de ses sous-domaines.
Cette politique est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
2. Responsable de traitement et rôles
Pour les traitements que nous réalisons pour notre propre compte (site vitrine, prospects, facturation, support, statistiques agrégées) :
S2M Consulting SAS est Responsable de traitement.
Pour les données des clients des cabinets qui transitent par Comptao :
Le cabinet abonné est Responsable de traitement et S2M Consulting agit en qualité de sous-traitant (art. 28 RGPD). Les rôles sont formalisés dans l’avenant de traitement des données (DPA) joint aux Conditions générales de vente.
Point de contact RGPD : rgpd@comptao.eu
(S2M n’est pas tenue de désigner un DPO au sens de l’art. 37 RGPD).
3. Données collectées
Nous collectons uniquement les données strictement nécessaires (principe de minimisation).
3.1 Données relatives au cabinet abonné et à ses utilisateurs
- Identification du cabinet (raison sociale, SIREN, adresse, téléphone) ;
- Identification des utilisateurs (nom, prénom, email professionnel, rôle) ;
- Données d’authentification (mot de passe haché bcrypt, jetons de session) ;
- Données de facturation et paiement ;
- Numéro WhatsApp/Telegram professionnel (optionnel).
3.2 Données relatives aux clients du cabinet
Saisies ou importées par le cabinet :
- Nom, prénom, raison sociale, email, téléphone ;
- Informations fiscales et comptables (SIREN, régime, exercice) ;
- Pièces comptables et historique des échanges de relance ;
- État d’avancement des dossiers.
Secret professionnel : Ces données relèvent du secret professionnel de l’expert-comptable. Nous nous y engageons contractuellement au même titre que le cabinet.
3.3 Données techniques et de navigation
- Logs (IP, navigateur, horodatage, actions) ;
- Logs d’audit pour traçabilité.
3.4 Données des prospects
Nom, prénom, email, nom du cabinet, message de contact.
Aucune donnée sensible (santé, opinions politiques, religieuses, vie sexuelle) n’est collectée ni traitée.
4. Finalités et bases légales
| Finalité | Base légale | Données concernées |
|---|---|---|
| Fourniture du service Comptao (IA incluse) | Exécution du contrat (6.1.b) | Cabinet, utilisateurs, clients |
| Facturation et recouvrement | Obligation légale (6.1.c) | Facturation, paiement |
| Support et assistance | Exécution du contrat (6.1.b) | Identifiants, tickets, logs |
| Sécurité, lutte contre la fraude, audit | Intérêt légitime (6.1.f) | Logs techniques et d’audit |
| Amélioration du service (statistiques agrégées anonymisées) | Intérêt légitime (6.1.f) | Données agrégées |
| Prospection commerciale B2B | Intérêt légitime (6.1.f) | Prospects professionnels |
| Newsletter et webinars | Consentement (6.1.a) | Email, nom |
Intelligence Artificielle : Les données saisies dans Comptao ne sont jamais utilisées pour entraîner des modèles d’IA (ni les nôtres, ni ceux de nos sous-traitants). Les interactions avec l’IA sont traitées de manière éphémère, sans stockage à long terme à des fins d’entraînement (engagement contractuel avec Anthropic, Groq, etc. conforme aux recommandations CNIL de janvier 2026). Comptao n’effectue aucune décision automatisée produisant des effets juridiques ou affectant significativement les personnes (art. 22 RGPD).
5. Durées de conservation
| Catégorie | Durée active | Archivage / Suppression définitive |
|---|---|---|
| Données opérationnelles (dossiers, relances) | Durée du contrat | 30 jours après résiliation |
| Factures et pièces comptables | Durée du contrat | 10 ans (art. L.123-22 C. com.) |
| Logs techniques | 90 jours | Suppression glissante |
| Logs d’audit (traçabilité) | 1 an | 5 ans (prescription) |
| Prospects commerciaux | 3 ans depuis dernier contact | Effacement sur demande |
| Newsletter | Jusqu’au retrait du consentement | Désinscription immédiate |
Le cabinet peut demander à tout moment l’export complet (CSV/JSON) ou la suppression anticipée à rgpd@comptao.eu.
6. Sous-traitants
Tous nos sous-traitants sont liés par un contrat conforme à l’art. 28 RGPD. Liste à jour publiée en annexe 2 du DPA.
| Sous-traitant | Finalité | Localisation | Mesures de transfert |
|---|---|---|---|
| S2M Consulting (infra propre) | Hébergement, base de données, sauvegardes | France (Paris) | - |
| Anthropic PBC | Modèle IA Claude | États-Unis | CCT + DPF |
| Groq Inc. (optionnel) | Modèle IA rapide | États-Unis | CCT |
| Stripe Payments Europe | Paiements | Irlande / États-Unis | CCT + DPF |
| Brevo (Sendinblue) | Emails transactionnels et relances | France | - |
| Meta Platforms Ireland | WhatsApp Business (optionnel) | Irlande / États-Unis | CCT |
| Telegram FZ-LLC (optionnel) | Telegram Bot | Émirats | CCT |
| ElevenLabs Inc. | Voix de synthèse pour la vidéo de démonstration marketing (aucune donnée client) | États-Unis | CCT + DPF |
| Hostinger | Noms de domaine & emails S2M | UE | - |
Engagement « no training » : contractualisé avec tous les fournisseurs d’IA.
Toute évolution significative de la liste est notifiée avec 30 jours de préavis (droit d’opposition et résiliation sans pénalité).
7. Transferts hors Union européenne
Encadrés par :
- Clauses contractuelles types (CCT) 2021 ;
- Data Privacy Framework (lorsque certifié) ;
- Analyse d’impact des transferts (TIA) disponible sur demande.
8. Sécurité
Mesures techniques et organisationnelles (conformes au guide CNIL 2024) :
- Chiffrement en transit (TLS 1.3) et au repos (AES-256) ;
- Mots de passe hachés bcrypt ;
- Principe du moindre privilège et journalisation exhaustive ;
- Pare-feu, durcissement serveur, sauvegardes chiffrées multi-sites ;
- Veille sécurité et correctifs critiques < 72 h ;
- Notification des violations : CNIL sous 72 h et cabinet concerné sans délai indu.
Détail complet dans le DPA.
9. Vos droits (RGPD)
Vous disposez des droits suivants :
- Accès, rectification, effacement, limitation, portabilité, opposition ;
- Retrait du consentement ;
- Directives post-mortem ;
- Absence de décision automatisée (art. 22).
Exercice des droits :
- Pour les données traitées pour notre propre compte → rgpd@comptao.eu
- Pour les données des clients du cabinet → adressez-vous en priorité à votre cabinet (nous transmettons toute demande reçue directement).
Réponse sous 30 jours (prolongeable de 2 mois pour demandes complexes).
10. Cookies
Seuls des cookies strictement nécessaires au fonctionnement du service sont utilisés (pas de cookies publicitaires ni de tracking tiers).
| Cookie | Finalité | Durée |
|---|---|---|
comptao_session | Authentification | 24 heures |
csrf_token | Protection CSRF | Session |
cookie_preferences | Mémorisation des préférences | 6 mois |
11. Modifications de la politique
Toute modification substantielle est notifiée par email et bannière dans l’application au moins 30 jours avant entrée en vigueur.
La version applicable est celle publiée sur comptao.eu/legal/confidentialite.
12. Contact et réclamation
S2M Consulting — Référent RGPD
Email : rgpd@comptao.eu
Adresse : 10 rue des Rambervilliers, 75012 Paris
Réclamation possible auprès de la CNIL : www.cnil.fr
Documents complémentaires :
- Conditions générales de vente
- Conditions générales d’utilisation
- Avenant de traitement des données (DPA)
- Mentions légales