Politique de protection des données (RGPD)
Dernière mise à jour : 30 mai 2026 · Conformément au Règlement UE 2016/679 et à la loi n°78-17 du 6 janvier 1978
1. Responsable du traitement
2. Données collectées
Dans le cadre de son activité, VisioBizz collecte uniquement les données nécessaires au service :
Données d'identité
- Nom, prénom
- Adresse email
- Photo de profil (optionnelle)
Données de compte
- Mot de passe (haché — jamais accessible en clair)
- Rôle sur la plateforme
- Date de création du compte
Données professionnelles (experts uniquement)
- Biographie, spécialités, domaines d'expertise
- Ville d'exercice, pays de résidence fiscale
- Tarifs de consultation
- Identifiant Stripe Connect
- Numéro d'identification fiscale (NIF / SIREN) — requis par la directive DAC7
- Date et résultat de la vérification visuelle (si effectuée) — aucun document physique stocké
Données de réservation
- Historique des consultations
- Statuts et montants des paiements
- Notes / avis déposés
Données de navigation
- Adresse IP
- Type de navigateur et système d'exploitation
- Pages consultées, horodatage
- Cookies de session Supabase
Données de communication
- Messages échangés via la messagerie interne
- Contenu des emails transactionnels (confirmation, rappel)
3. Bases légales et finalités du traitement
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) |
| Mise en relation client-expert | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements via Stripe | Exécution du contrat (art. 6.1.b) |
| Envoi d'emails transactionnels (confirmation, rappel) | Exécution du contrat (art. 6.1.b) |
| Génération de reçus et archivage comptable | Obligation légale (art. 6.1.c) |
| Déclaration DAC7 à la DGFiP (revenus experts) | Obligation légale (art. 6.1.c) — Directive UE 2021/514, loi finances 2022 art. 134 |
| Prévention de la fraude et sécurité | Intérêt légitime (art. 6.1.f) |
| Amélioration et analyse de la plateforme | Intérêt légitime (art. 6.1.f) |
| Gestion des avis et de la réputation | Intérêt légitime (art. 6.1.f) |
| Communications marketing et promotionnelles | Consentement (art. 6.1.a) |
4. Durées de conservation
- Données de compte actif : durée de la relation contractuelle.
- Données de transaction / factures : 10 ans (obligation comptable, art. L.123-22 Code de commerce).
- Logs de connexion : 12 mois maximum (obligation LCEN art. 6-II).
- Cookies de session : durée de la session ou 7 jours (refresh token).
- Messages / communications : supprimés à la clôture du compte.
- Données candidates / candidatures experts : 2 ans si refusées.
- Consentement marketing : 3 ans à compter du dernier contact (preuve de consentement).
- Données NIF / déclaration DAC7 : 6 ans à compter de la déclaration (délai de prescription fiscale, art. L.169 LPF).
4-bis. Suppression de compte et droit à l'effacement (Art. 17 RGPD)
Conformément à l'article 17 du RGPD, vous pouvez demander la suppression de votre compte et de vos données personnelles à tout moment depuis Paramètres → Compte → Supprimer mon compte.
| Donnée | Action | Délai |
|---|---|---|
| Profil (nom, photo, bio) | Supprimé définitivement | Immédiat |
| Messages et notifications | Supprimés définitivement | Immédiat |
| Consentements et tokens | Supprimés définitivement | Immédiat |
| Historique transactions (montants, dates, expert) | Anonymisé — lien avec votre compte coupé | Immédiat (données conservées 10 ans) |
| Factures émises (nom, montant, TVA) | Conservées intégralement — snapshot légal obligatoire | 10 ans (art. L.123-22 Code de commerce) |
| Logs de connexion | Supprimés | 12 mois (obligation LCEN) |
| Données anonymisées restantes | Purgées automatiquement | 10 ans après la demande |
Limitation légale du droit à l'effacement (art. 17.3.b RGPD) : le droit à l'effacement ne s'applique pas aux données dont la conservation est rendue obligatoire par la loi. Conformément à l'article L.123-22 du Code de commerce, les factures commerciales doivent être conservées 10 ans avec leurs mentions légales complètes — y compris le nom du client au moment de l'émission. Ce nom fait partie du document comptable lui-même et ne peut être effacé sans rendre la facture non conforme. Cette conservation est limitée aux seules factures et ne s'étend pas aux autres données personnelles.
Accès à vos factures après suppression du compte : si vous avez supprimé votre compte et avez besoin de récupérer une ancienne facture (jusqu'à 10 ans après son émission), contactez-nous à info@visiobizz.com en précisant la date approximative et le montant de la prestation. VisioBizz vous transmettra le document dans un délai de 5 jours ouvrés.
Un email de confirmation vous est envoyé dès la prise en compte de la demande de suppression.
4-ter. Suppression automatique après inactivité (Art. 5.1.e RGPD)
Conformément au principe de limitation de la conservation (Art. 5.1.e RGPD) et à la recommandation de la CNIL, VisioBizz supprime automatiquement les comptes inactifs depuis 3 ans, même sans demande de l'utilisateur.
Pour éviter la suppression automatique : il suffit de vous connecter à votre compte VisioBizz. Toute connexion réinitialise le compteur d'inactivité.
Les comptes administrateurs et les comptes ayant des obligations légales en cours (litiges, procédures) ne sont pas soumis à cette suppression automatique.
4-quater. Cookies et traceurs
Conformément à la recommandation de la CNIL du 17 septembre 2020 et à la directive ePrivacy, VisioBizz recueille votre consentement avant tout dépôt de cookies non essentiels via un bandeau de consentement affiché à votre première visite.
| Cookie / Traceur | Finalité | Base légale | Durée |
|---|---|---|---|
| sb-* (Supabase) | Authentification — maintien de la session utilisateur | Nécessaire au contrat — pas de consentement requis | 7 jours (refresh token) |
| Stripe (cookies tiers) | Prévention de la fraude lors du paiement | Intérêt légitime — pas de consentement requis | Session |
| vbz_cookie_consent (localStorage) | Mémorisation de votre choix de consentement | Obligatoire (art. 5 directive ePrivacy) | 13 mois |
VisioBizz n'utilise aucun cookie de tracking publicitaire ni de profilage commercial. Le bouton « Refuser tout » du bandeau est présenté avec la même visibilité que le bouton « Accepter tout », conformément aux exigences de la CNIL (délibération n°2020-091). Votre choix est mémorisé pendant 13 mois maximum (durée légale maximale) dans le stockage local de votre navigateur (clé vbz_cookie_consent). Vous pouvez retirer votre consentement à tout moment en effaçant les données de votre navigateur ou en visitant notre politique de cookies.
5. Mesures de sécurité techniques et organisationnelles (Art. 32 RGPD)
VisioBizz met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, divulgation, altération ou destruction, conformément à l'article 32 du RGPD.
Chiffrement des communications (HTTPS / HSTS)
Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS. Le protocole HSTS force HTTPS pendant 2 ans, y compris sur les sous-domaines, et protège contre les attaques de type interception (MitM).
Protection contre les injections et scripts malveillants (CSP)
Une politique de sécurité du contenu (Content Security Policy) restreint les scripts, styles et connexions aux seuls domaines autorisés. Les iframes de tiers non autorisés sont bloquées.
Anti-clickjacking
Les en-têtes X-Frame-Options et frame-ancestors empêchent visiobizz.com d'être intégré dans une iframe sur un site tiers, protégeant contre les attaques de détournement de clic.
Limitation des accès API (rate limiting)
Les routes sensibles (connexion, inscription, paiement, réinitialisation de mot de passe) sont protégées contre les attaques par force brute grâce à une limitation automatique du nombre de requêtes par adresse IP.
Contrôle d'accès aux données (RLS Supabase)
Chaque utilisateur n'accède qu'à ses propres données via les politiques de sécurité au niveau des lignes (Row Level Security). Les administrateurs disposent d'un accès distinct contrôlé.
Paiements sécurisés (Stripe PCI-DSS niveau 1)
Aucune donnée bancaire ne transite par nos serveurs. Le traitement est délégué à Stripe, certifié PCI-DSS niveau 1 (plus haut niveau de certification du secteur).
Surveillance des erreurs (Highlight.io — auto-hébergé)
Les erreurs applicatives sont collectées via Highlight.io, hébergé sur nos serveurs OVH en France, pour détecter rapidement toute anomalie de sécurité ou de fonctionnement. Aucune donnée ne quitte nos infrastructures françaises.
5-bis. Violations de données — Procédure et registre (Art. 33-34 RGPD)
En cas de violation de données à caractère personnel, VisioBizz applique la procédure suivante, conformément aux articles 33 et 34 du RGPD :
Registre interne : Toute violation de données, qu'elle fasse ou non l'objet d'une notification à la CNIL, est consignée dans un registre interne horodaté conformément à l'article 33 §5 du RGPD. Ce registre constitue la preuve de conformité lors d'un contrôle de la CNIL et est conservé pendant au moins 5 ans.
Comment nous signaler une faille : Si vous avez connaissance d'une violation ou d'une vulnérabilité affectant la plateforme, contactez-nous immédiatement à securite@visiobizz.com. Nous accusons réception sous 24h et traitons chaque signalement avec la plus haute priorité.
5-ter. Vérification des justificatifs experts
VisioBizz applique le principe de minimisation des données (art. 5.1.c RGPD) pour la vérification des qualifications professionnelles des experts. Aucun document (diplôme, certification, pièce d'identité) n'est téléchargé ni stocké sur les serveurs de VisioBizz.
La vérification peut être réalisée par l'un des moyens suivants, selon la nature de la profession :
- Vérification visuelle par visioconférence — l'expert présente ses documents devant la caméra lors d'un appel avec l'équipe VisioBizz. Seul le résultat (date, nature du document vérifié, identité de l'agent) est enregistré en base de données. Aucune image ni capture n'est conservée.
- Consultation du registre officiel — pour les professions réglementées (ORIAS, Ordre des architectes, Ordre des experts-comptables…), VisioBizz consulte directement le registre public de l'ordre compétent. Aucune donnée personnelle supplémentaire n'est collectée.
- Tiers de confiance (à venir) — VisioBizz se réserve la possibilité de déléguer à l'avenir la vérification d'identité et de qualifications à un prestataire certifié eIDAS (ex. : vérification d'identité par IA avec liveness check). Ce prestataire sera ajouté à la liste des sous-traitants et les utilisateurs en seront informés conformément à l'art. 13 RGPD.
Ce que VisioBizz ne fait pas : VisioBizz ne collecte pas, ne stocke pas et ne traite pas de copies numériques de pièces d'identité, diplômes ou certifications. Cette approche réduit les risques en cas de violation de données et respecte le principe de minimisation du RGPD.
6. Destinataires et sous-traitants
VisioBizz ne vend ni ne loue aucune donnée personnelle à des tiers. Les données sont partagées avec les sous-traitants techniques suivants, dans le strict cadre de l'exécution du service :
Hébergement cloud, base de données, auth, stockage, visioconférence, monitoring (logiciels open source auto-hébergés)
DPA signé — 100 % données en France
IA (Claude) — analyse des recherches, score de compatibilité, message de bienvenue
DPA + CCT (clauses contractuelles types UE-USA)
7. Transferts hors Union européenne
L'infrastructure principale de VisioBizz est hébergée à 100 % en France (OVH SAS). Le seul transfert hors UE concerne les fonctionnalités d'intelligence artificielle : certaines requêtes sont transmises à Anthropic PBC (USA) pour analyse. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT)approuvées par la Commission européenne (décision 2021/914), conformément à l'article 46 du RGPD.
7-bis. Intelligence artificielle — données transmises à Anthropic
VisioBizz utilise l'API Claude d'Anthropic PBC (USA) pour trois fonctionnalités. Voici précisément les données transmises et les garanties associées :
Analyse de recherche
Données transmises : Le texte libre saisi par l'utilisateur dans la barre de recherche (ex : "je cherche un avocat pour mon divorce"). Ce texte peut contenir des informations personnelles selon ce que l'utilisateur choisit d'écrire.
Non conservé par VisioBizz ni par Anthropic au-delà du traitement
Score de compatibilité
Données transmises : Données comportementales anonymisées : catégories préférées, budget indicatif, note moyenne historique, spécialités des experts précédemment consultés. Aucun identifiant (nom, email, ID) n'est transmis.
Non conservé — données pseudonymisées sans identification possible
Message de bienvenue
Données transmises : Prénom de l'utilisateur connecté, statut (client/expert), moment de la journée.
Non conservé par VisioBizz ni par Anthropic au-delà du traitement
Garanties Anthropic (API)
- ✓ Les données transmises via l'API ne sont pas utilisées pour entraîner les modèles d'Anthropic (contrairement à l'interface chat grand public).
- ✓ Transfert encadré par des CCT signées conformes à l'article 46 du RGPD.
- ✓ Selon le DPA Anthropic, les données de l'API ne sont pas conservées au-delà du traitement de la requête.
VisioBizz ne sauvegarde ni ne traite les données transmises à Anthropic en dehors du résultat retourné (score, message, critères de recherche). Aucun contenu de requête n'est stocké dans nos bases de données.
8. Vos droits
Conformément au RGPD (art. 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
Droit d'accès (art. 15)
Obtenir une copie de toutes les données vous concernant.
Droit de rectification (art. 16)
Corriger des données inexactes ou incomplètes.
Droit à l'effacement (art. 17)
Demander la suppression de vos données, sous conditions légales.
Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré et interopérable.
Droit d'opposition (art. 21)
Vous opposer aux traitements fondés sur l'intérêt légitime ou le marketing.
Droit de limitation (art. 18)
Limiter temporairement le traitement de vos données.
Retrait du consentement
Retirer votre consentement à tout moment sans effet rétroactif.
Directives post-mortem
Définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, contactez-nous à info@visiobizz.com en précisant votre nom, prénom et la nature de votre demande. Nous répondons dans un délai maximum de 30 jours.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) — 3 Place de Fontenoy, 75007 Paris.
8. Sécurité des données
- Transmission des données chiffrée via HTTPS (TLS 1.3).
- Mots de passe hachés par Supabase Auth (bcrypt) — jamais stockés en clair.
- Accès aux données restreint au personnel habilité selon le principe du moindre privilège.
- Sauvegardes régulières chiffrées hébergées en France (Scaleway).
- Authentification sécurisée via JSON Web Tokens (JWT) à durée limitée.
La procédure complète de gestion des violations de données (délais, registre, notification CNIL et utilisateurs) est décrite en section 5-bis.
9. Données des mineurs
La plateforme VisioBizz est réservée aux personnes majeures (18 ans ou plus). Nous ne collectons pas sciemment de données relatives à des personnes mineures. Si vous pensez qu'un mineur a créé un compte, contactez-nous immédiatement à info@visiobizz.com.
10. Modifications de la politique RGPD
Cette politique peut être modifiée pour refléter des évolutions légales ou techniques. Toute modification substantielle sera notifiée par email avec un préavis de 30 jours. La version en vigueur est celle publiée sur cette page.
Contact RGPD
Marouane Ben Kridis Agrebi — VisioBizz
Email : info@visiobizz.com
Délai de réponse : 30 jours maximum
VisioBizz · SIREN 879 240 208 · Mis à jour le 30 mai 2026
← Retour aux informations légales