Politique de confidentialité

La présente Politique de confidentialité décrit la manière dont Serenko collecte, utilise et protège les données personnelles de ses utilisateurs, conformément au Règlement Général sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés.

1. Responsable de traitement

2. Données collectées

2.1 Données d'identification

• Nom, prénom
• Adresse email
• Numéro de téléphone (optionnel)
• Adresse postale professionnelle
• SIRET, forme juridique, régime fiscal

2.2 Données d'activité professionnelle

• Devis émis (clients, objets, montants, statuts)
• Factures émises et reçues
• Coordonnées de vos clients (nom, email, SIRET, adresse)
• Objectifs de chiffre d'affaires, charges, simulations
• Commentaires et notes internes

2.3 Données bancaires (si connexion activée)

• Libellés et montants des transactions bancaires
• IBAN (non stocké en clair — transit via prestataire agréé DSP2)
• Le mot de passe bancaire n'est jamais transmis à Serenko (OAuth DSP2)

2.4 Données techniques

• Adresse IP, navigateur, système d'exploitation
• Pages consultées, dates et durées de visite
• Logs de connexion et d'actions (pour la sécurité et l'audit)

3. Finalités et bases légales

4. Durée de conservation

• Compte actif : pendant toute la durée de l'abonnement
• Données d'usage et de pilotage + documents générés : 30 jours après la résiliation, puis suppression
• Factures et données comptables : conservées tant que votre compte est actif. L'obligation de conservation de vos factures pendant 10 ans après émission (art. L.123-22 Code de commerce) vous incombe en tant qu'auto-entrepreneur : Serenko met à votre disposition un export comptable complet pour vous permettre de la respecter.
• Suppression de votre compte : à votre demande, après vous avoir invité à télécharger votre export comptable, l'ensemble de vos données (factures incluses) est définitivement effacé de Serenko (droit à l'effacement, art. 17 RGPD)
• Données de paiement (Stripe) : 13 mois
• Données de connexion (logs) : 12 mois
• Preuves de consentement : 5 ans
• Données bancaires (connexion Bridge) : suppression immédiate en cas de déconnexion bancaire ou de résiliation
• Communications commerciales : 3 ans à compter du dernier contact
• Statistiques sectorielles anonymisées (Baromètre) : conservation illimitée (données anonymisées, ne permettant plus de vous identifier)

5. Destinataires des données

Vos données sont strictement confidentielles et ne sont accessibles qu'aux :

• Équipe Serenko (personnel autorisé pour le support et la maintenance)
• Sous-traitants techniques (tous soumis à un accord de sous-traitance conforme RGPD) :
  • Hébergement applicatif, base de données et stockage de fichiers : OVH SAS (Roubaix, France) — données hébergées en France
  • Email transactionnel : Brevo (Union européenne)
  • Paiements : Stripe Payments Europe (Irlande, EEE) — d'éventuels transferts vers Stripe Inc. (États-Unis) sont encadrés par le Data Privacy Framework et les clauses contractuelles types de la Commission européenne
  • Surveillance des erreurs (monitoring) : Sentry — données stockées dans l'Union européenne ; un traitement par des sous-traitants hors UE reste possible, encadré par le Data Privacy Framework et les clauses contractuelles types. Filtrage automatique des données personnelles (aucune donnée sensible transmise), aucun cookie déposé
  • Mesure d'audience : PostHog (Cloud Union européenne) — activée uniquement après votre consentement (cf politique cookies)
  • Intelligence artificielle : Anthropic Claude via Google Cloud Vertex AI (Union européenne) — sous-traitant au sens de l'art. 28 RGPD, encadré par un accord de traitement des données. Voir section 11.
• Connexion bancaire (DSP2) : Bridge (Perspecteev, France — établissement de paiement agréé ACPR n°16918). Pour le service d'agrégation de comptes, Bridge agit en qualité de responsable de traitement distinct (et non de sous-traitant de Serenko). Vos données personnelles y sont stockées au sein de l'Espace économique européen (EEE).
• E-facturation : Iopole (Plateforme Agréée DGFiP, France) — activation au plus tôt en septembre 2026, lors de l'entrée en vigueur de la réforme française de la facturation électronique.
• Autorités légales sur réquisition judiciaire uniquement

Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales.

6. Transferts hors UE et résidence des données

La résidence des données dans l'Union européenne est un principe directeur de Serenko.L'hébergement applicatif, la base de données et le stockage des fichiers sont opérés par OVH SASsur le territoire français. Vos données bancaires agrégées via Bridge sont stockées au sein de l'Espace économique européen (EEE).

Le prestataire de paiement Stripe est contracté via Stripe Payments Europe(Irlande, EEE) ; d'éventuels transferts vers les États-Unis sont encadrés par le Data Privacy Framework et les clauses contractuelles types de la Commission européenne. De même, l'outil de surveillance des erreurs Sentrystocke les données dans l'UE mais peut faire intervenir des sous-traitants hors UE, encadrés par les mêmes garanties (DPF + clauses contractuelles types). Les fonctionnalités d'intelligence artificielle sont opérées via des points d'accès régionaux européens garantissant la résidence des données dans l'Union européenne (cf section 11).

7. Sécurité

Serenko met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• chiffrement de vos données sensibles ;
• contrôles d'accès stricts ;
• protection contre les accès automatisés et les tentatives d'intrusion.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie
• Droit de rectification : corriger vos données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données (sauf obligation légale)
• Droit à la limitation : restreindre temporairement le traitement
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible (CSV pour les données, PDF pour les documents générés)
• Droit d'opposition : vous opposer au traitement de vos données (notamment pour prospection)
• Droit de retirer votre consentement à tout moment (sans effet rétroactif)

Pour exercer vos droits, contactez-nous à privacy@serenko.fr. Nous répondons dans un délai maximum de 30 jours.

9. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr.

10. Cookies

Les cookies sont détaillés dans notre Politique relative aux cookies.

11. Traitement par intelligence artificielle

Le service Serenko intègre des fonctionnalités d'intelligence artificielle générative pour vous assister (insights personnalisés, suggestions de relance client, aide à la déclaration fiscale, génération de business plan, assistant d'aide, etc.). Ces fonctionnalités font partie intégrante du service et sont encadrées par sept garde-fous techniques et juridiques.

11.1 Base légale et information

• Le traitement par intelligence artificielle relève de l'exécution du contrat (art. 6-1-b RGPD) : ces fonctionnalités font partie intégrante du service Serenko, décrit dans la présente politique et dans les CGU/CGV que vous acceptez avant votre souscription.
• Le service conserve des calculs déterministes locauxqui prennent le relais si un service d'IA est temporairement indisponible (continuité de service). Les sorties d'IA restent indicatives et soumises à votre validation (voir 11.4).

11.2 Fournisseur et résidence des données

• Anthropic Claude via Google Cloud Vertex AI, avec des points d'accès régionaux européens (europe-west1). Données traitées dans l'Union européenne.
• Ce prestataire agit en qualité de sous-traitantau sens de l'art. 28 RGPD et est encadré par unaccord de traitement des données (DPA).

11.3 Garde-fous techniques

1. Anonymisation/pseudonymisation systématiquedes prompts avant envoi : nom, prénom, email, adresse, SIRET, IBAN, montants individuels nominatifs sont remplacés par des jetons (tokens) avant tout appel IA. La table de correspondance reste sur nos serveurs en France et n'est jamais transmise au fournisseur IA.
2. Minimisation des données: pour chaque cas d'usage IA, seuls les champs strictement nécessaires sont envoyés. Une matrice « cas d'usage / champs autorisés / justification » est documentée et auditable.
3. Zero Data Retention (ZDR)activé chez les fournisseurs IA : aucune donnée envoyée n'est conservée ni utilisée à des fins d'entraînement.
4. Logs masqués : les logs applicatifs filtrent automatiquement les champs sensibles. Logs hébergés en France.
5. Chiffrement bout en bout en transit (TLS 1.3). Les caches éventuels sont chiffrés et expirent en moins de 5 minutes.
6. Droit à l'oubli effectif : la suppression de votre compte purge les caches et logs IA associés.
7. Audit régulier du chemin complet des données et de la conformité du pipeline IA.

11.4 Décisions automatisées

Aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise sur la base d'un traitement IA seul. Toute suggestion ou analyse IA reste indicative et soumise à votre validation.

12. Statistiques sectorielles anonymisées

Serenko produit des statistiques agrégées et anonymisées par secteur d'activité (par exemple des moyennes de prix ou de charges par type de métier) afin d'enrichir le service et d'offrir des repères utiles à l'ensemble des utilisateurs.

• Les données sont anonymisées avant agrégation : les statistiques ne permettent jamais de vous identifier.
• Aucune statistique n'est produite pour un groupe d'utilisateurs trop restreint, afin d'empêcher toute ré-identification.
• Base légale : intérêt légitime.
• Droit d'opposition : vous pouvez vous opposer à tout moment à ce traitement en écrivant à privacy@serenko.fr.

13. Modifications

La présente politique peut être modifiée pour refléter des évolutions légales ou techniques. Toute modification substantielle sera notifiée par email aux utilisateurs avec un préavis de 30 jours.