Politique de confidentialité

1 Responsable de traitement

Le responsable du traitement de vos données personnelles est Ca.Sa srl, société à responsabilité limitée (SRL) de droit belge, inscrite à la Banque-Carrefour des Entreprises sous le numéro BE 0784.675.956, dont le siège social est situé au Rue Jean-Baptiste Colyns 112 boîte 1, 1050 Ixelles, Belgique, éditrice du service Verigopay accessible à l'adresse verigopay.com. Fiche officielle : consultable sur le site de la BCE.

Pour toute question relative à la présente politique ou à l'exercice de vos droits, vous pouvez nous contacter à :

info@verigopay.com

Vous pouvez également consulter nos mentions légales pour les informations complètes sur l'éditeur du service.

2 Données collectées.

Verigopay collecte uniquement les données strictement nécessaires à la fourniture du service de vérification de risque légal. Concrètement :

Adresse e-mail professionnelle — pour créer votre compte et vous envoyer les alertes.
Mot de passe — stocké uniquement sous forme hashée (algorithme bcrypt via Supabase Auth). Verigopay ne peut pas lire votre mot de passe en clair.
Nom de votre entreprise — pour personnaliser votre espace et vos exports.
Jetons d'accès OAuth (Qonto, Odoo) — délivrés par ces plateformes lorsque vous autorisez la connexion. Ils sont chiffrés au repos dans notre base et permettent uniquement de lire la liste de vos partenaires commerciaux.
Liste de partenaires (fournisseurs et clients) — synchronisée depuis Qonto et Odoo : raison sociale, numéro d'identification (SIREN, TVA, BCE), pays.
Résultats des vérifications légales — score de risque, statut juridique, alertes générées par Verigopay. Ces données sont issues des registres publics officiels des pays couverts : BODACC et INSEE/Sirene (France), BCE/KBO et Moniteur belge (Belgique), CVR (Danemark), PRH (Finlande), KRS (Pologne), e-Äriregister (Estonie) et ARES (Tchéquie). De nouveaux registres officiels sont ajoutés au fur et à mesure du déploiement européen.

3 Données que nous ne collectons jamais.

Verigopay est conçu pour la vérification de risque légal, pas pour lire votre comptabilité ni vos paiements. Nous ne collectons jamais :

Vos transactions bancaires ou mouvements de compte.
Vos soldes ou flux de trésorerie.
Vos données de carte bancaire ou IBAN au-delà de l'identification des contreparties.
Le contenu détaillé de vos factures (lignes, montants, prix unitaires).
Les données personnelles de vos salariés ou clients particuliers.

Principe directeur : Verigopay applique strictement le principe de minimisation prévu par l'article 5.1.c du RGPD. Nous demandons à Qonto et Odoo le périmètre OAuth le plus restreint possible pour fonctionner.

4 Finalités du traitement

Les données collectées sont utilisées exclusivement pour les finalités suivantes :

Vérification du risque légal des partenaires avant paiement (interrogation des registres officiels en temps réel).
Alertes proactives en cas de procédure collective, redressement, liquidation ou changement de dirigeant détecté chez l'un de vos partenaires.
Dashboard de suivi : affichage de l'historique des vérifications, signaux actifs, état de santé de votre portefeuille de partenaires.
Communication contractuelle : envoi des informations liées à votre compte (facturation, sécurité, évolutions du service).

Verigopay n'utilise jamais vos données à des fins publicitaires, ne les revend pas, et ne les exploite pas pour entraîner des modèles d'intelligence artificielle.

5 Base légale du traitement

La base légale du traitement est l'exécution contractuelle (Article 6.1.b du Règlement Général sur la Protection des Données — RGPD).

Lorsque vous souscrivez à Verigopay et connectez vos outils (Qonto, Odoo), vous concluez un contrat avec nous. Le traitement des données décrit ci-dessus est nécessaire à l'exécution de ce contrat : sans ces données, le service ne peut pas fonctionner.

6 Destinataires et sous-traitants.

Aucune donnée n'est partagée avec des tiers à des fins commerciales. Verigopay ne vend, n'échange et ne loue jamais vos données.

Pour faire fonctionner le service, nous nous appuyons sur les sous-traitants techniques suivants, tous engagés contractuellement à respecter le RGPD :

Sous-traitant

Finalité

Hébergement

Supabase

Hébergement de la base de données, authentification

UE (Francfort)

Vercel

Hébergement du site et de l'application web

UE/US — SCC

Resend

Envoi des e-mails transactionnels et alertes

Les jetons OAuth Qonto et Odoo sont utilisés pour interagir avec ces plateformes, dans le strict respect des autorisations que vous avez accordées. Verigopay est Qonto Partner agréé et respecte la charte de confidentialité des partenaires Qonto.

7 Durée de conservation

Vos données sont conservées pendant toute la durée du contrat, ainsi que 30 jours après la résiliation pour permettre une réactivation simple si vous changez d'avis.

Au terme de ce délai de 30 jours, toutes vos données sont effacées de manière irréversible de nos systèmes de production. Les sauvegardes chiffrées sont purgées dans un délai maximal de 90 jours supplémentaires.

Les seules données conservées au-delà sont les éléments comptables obligatoires (factures émises) pendant 10 ans, conformément à nos obligations légales fiscales (article L123-22 du Code de commerce).

8 Vos droits RGPD.

Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données :

Droit d'accès — obtenir une copie de toutes les données vous concernant.
Droit de rectification — corriger une donnée inexacte ou incomplète.
Droit à l'effacement (droit à l'oubli) — supprimer définitivement votre compte et toutes les données associées.
Droit à la portabilité — récupérer vos données dans un format structuré et lisible par machine (JSON ou CSV).
Droit d'opposition — refuser tout traitement qui ne serait pas strictement nécessaire à l'exécution du contrat.
Droit à la limitation — geler temporairement le traitement le temps d'examiner une demande.

Pour exercer l'un de ces droits, écrivez-nous à l'adresse ci-dessous. Nous vous répondrons dans un délai maximal de 30 jours.

info@verigopay.com

9 Cookies

Verigopay n'utilise aucun cookie de tracking, ni cookie publicitaire, ni cookie tiers d'analyse comportementale.

Nous utilisons uniquement des cookies techniques de session, strictement nécessaires au fonctionnement du service (gestion de votre session d'authentification via Supabase Auth). Ces cookies sont exemptés de recueil de consentement selon les recommandations de la CNIL (article 82 de la loi Informatique et Libertés).

Pas de bandeau cookies chez Verigopay, parce qu'il n'y a rien qui le rende nécessaire. C'est volontaire.

10 Sécurité

Verigopay met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

Chiffrement au repos — les jetons OAuth Qonto et Odoo sont chiffrés avant stockage en base.
Chiffrement en transit — toutes les communications utilisent TLS 1.3.
Isolation multi-tenant — les données de chaque client sont isolées via les politiques Row Level Security (RLS) de Supabase. Aucun client ne peut accéder aux données d'un autre.
Hébergement européen — la base de données est hébergée dans l'Union Européenne (Francfort).
Authentification forte — mots de passe hashés (bcrypt), sessions à expiration courte, possibilité de 2FA.
Sauvegardes — sauvegardes chiffrées automatiques quotidiennes, conservées 30 jours.
Journalisation — chaque accès aux données sensibles est journalisé.

11 Transferts hors UE

Les données métier de nos utilisateurs (jetons OAuth, listes de partenaires, résultats de vérifications) restent stockées dans l'Union Européenne, sur l'infrastructure Supabase (Francfort, Allemagne).

Notre hébergeur de site web Vercel dispose d'une infrastructure mondiale incluant des serveurs aux États-Unis pour des raisons de performance (CDN). Lorsque des données techniques transitent ponctuellement par ces serveurs, ce transfert est encadré par les Clauses Contractuelles Types (Standard Contractual Clauses) adoptées par la Commission européenne le 4 juin 2021, garantissant un niveau de protection équivalent à celui du RGPD.

À noter : aucun jeton OAuth, aucune donnée partenaire, et aucun résultat de vérification ne transite par les serveurs US. Seules les pages HTML et assets statiques peuvent être servis depuis le CDN mondial Vercel.

12 Droit de réclamation

Si vous estimez que le traitement de vos données personnelles par Verigopay constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

En France

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr

En Belgique

APD — Autorité de Protection des Données
Rue de la Presse 35 — 1000 Bruxelles
www.autoriteprotectiondonnees.be

Avant toute saisine, nous vous encourageons à nous contacter directement à info@verigopay.com — nous nous engageons à examiner toute préoccupation dans les plus brefs délais.