Politique de confidentialité

Dernière mise à jour : 30 avril 2026

La présente Politique de confidentialité décrit comment THETA-BYTECH SAS, éditrice de l'application Pavvo, collecte, traite et protège vos données personnelles, conformément au Règlement (UE) 2016/679 relatif à la protection des données (RGPD) et à la loi Informatique et Libertés modifiée.

Cette politique s'applique à l'ensemble des services Pavvo : application mobile Android (Google Play), site web pavvo.app et services associés. Une distribution iOS sera couverte par une mise à jour de cette politique lors du lancement sur l'App Store.

1. Responsable du traitement

Société : THETA-BYTECH SAS

SIREN : 912 040 276

Siège social : 2 Avenue de Bretigny, 91700 Sainte-Geneviève-des-Bois, France

Représentant légal : Merzouk HAMRANI, Président

Contact données personnelles : [email protected]

Référent Données : Merzouk HAMRANI ([email protected]). THETA-BYTECH n'est pas soumise à l'obligation de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 RGPD, compte tenu de la taille de la structure et de la nature des traitements effectués.

2. Données personnelles collectées

2.1 Données de compte

  • Adresse email (identifiant de connexion)
  • Mot de passe (haché — non accessible en clair, même par THETA-BYTECH)
  • Nom et prénom (si renseigné par l'utilisateur)
  • Date et heure de création du compte

2.2 Données professionnelles de l'utilisateur

Ces données sont saisies volontairement par l'utilisateur pour configurer son profil professionnel et ses documents :

  • Raison sociale, nom commercial
  • Adresse professionnelle
  • Numéro SIREN/SIRET
  • Numéro de TVA intracommunautaire
  • Coordonnées bancaires (IBAN, BIC) pour mentions légales sur factures et/ou paiements Stripe Connect
  • Logo professionnel (image)

2.3 Données commerciales (contenu utilisateur)

Ces données sont créées par l'utilisateur dans le cadre de son activité commerciale. Elles contiennent fréquemment des données personnelles de tiers (les clients de l'utilisateur) :

  • Noms, raisons sociales, adresses et emails des clients
  • Factures, devis et avoirs (montants, descriptions de prestations, dates)
  • Photos de reçus et documents scannés (si fonctionnalité OCR activée)
  • Fichiers Factur-X (PDF/A-3 + XML CII) générés côté serveur à partir des données de facturation

La génération des fichiers Factur-X est effectuée exclusivement côté serveur (Cloud Functions Google), en utilisant les données déjà stockées dans Firestore comme source de vérité. Aucune donnée XML n'est fournie par le client mobile. Les fichiers Factur-X générés sont conservés conformément aux obligations de conservation des données de facturation (art. L102 B LPF — 10 ans).

2.4 Données de paiement (abonnement Premium)

  • Identifiant client Stripe (stripe_customer_id) — référence technique, non des données de carte
  • Identifiant de compte Stripe Connect (stripe_account_id) — si activation du paiement en ligne
  • Historique des transactions (date, montant, statut) — nécessaire à la facturation et au support

THETA-BYTECH ne stocke jamais les numéros de carte bancaire ni les données de sécurité associées. Ces données sont traitées exclusivement par Stripe, certifié PCI-DSS.

2.5 Données techniques et de navigation

  • Adresse IP (pseudonymisée pour l'analytics, non stockée pour l'app)
  • Logs techniques (connexions, erreurs, versions de l'app)
  • Métadonnées d'usage (horodatages des actions principales)
  • Notifications push : token d'appareil (si notifications activées)

2.6 Données audio et images (fonctionnalités IA, Premium)

  • Photos de reçus et factures uploadées pour numérisation OCR (transmises temporairement à un prestataire IA — voir article 6)
  • Extraits audio pour dictée vocale (transmis temporairement à un prestataire de transcription — voir article 6)

Ces données ne sont pas stockées au-delà du traitement immédiat. Elles ne sont pas conservées par les prestataires IA en mode API.

3. Finalités de traitement et bases légales

Chaque traitement repose sur une base légale au sens de l'article 6 du RGPD, rappelée ci-dessous.

Finalité Données concernées Base légale (art. 6 RGPD)
Gestion du compte et authentification Email, mot de passe haché, profil Exécution du contrat (art. 6.1.b)
Fourniture du service de facturation et stockage cloud Factures, clients, données professionnelles Exécution du contrat (art. 6.1.b)
Traitement des paiements et gestion de l'abonnement Identifiants Stripe, historique transactions Exécution du contrat (art. 6.1.b)
Conservation des données de facturation (obligation légale) Factures, transactions, IBAN/BIC Obligation légale — art. L102 B LPF (art. 6.1.c)
Fonctionnalités IA (OCR, dictée vocale) Images, extraits audio (temporaires) Consentement (art. 6.1.a) — recueilli à l'activation
Analytics du site marketing (Plausible) IP pseudonymisée, user-agent, pays Intérêt légitime — données anonymisées, exempté CNIL (art. 6.1.f)
Sécurité, prévention des abus et de la fraude Logs techniques, métadonnées connexion Intérêt légitime (art. 6.1.f)
Génération des factures électroniques Factur-X (PDF/A-3 + XML CII) Données de facturation (client, montants, TVA, SIREN) Obligation légale — réforme e-facturation (art. 6.1.c) + exécution du contrat (art. 6.1.b)
Transmission e-factures au réseau DGFiP via SuperPDP (fonctionnalité e-facturation) Refresh token OAuth chiffré, access token, peppolId, companyId Exécution du contrat (art. 6.1.b) — le traitement est nécessaire à la prestation e-facturation
Communications liées au service (alertes, facturation, changements CGV) Email Exécution du contrat + obligation légale (art. 6.1.b/c)

4. Durées de conservation

Catégorie de données Durée de conservation
Données de compte (email, profil) Durée de l'abonnement actif + 3 ans après résiliation ou suppression du compte
Données de facturation (factures, clients, montants, IBAN/BIC) 10 ans à compter de leur émission — obligation fiscale (art. L102 B du Livre des Procédures Fiscales)
Données de paiement Stripe (historique transactions) 5 ans (prescription en matière contractuelle, art. 2224 Code civil)
Logs techniques (connexions, erreurs) 1 an
Analytics anonymisés (Plausible) 2 ans (données agrégées, non nominatives)
Fichiers Factur-X générés (PDF/A-3 + XML CII) 10 ans — même durée que les données de facturation (art. L102 B LPF)
Tokens OAuth SuperPDP (refresh token chiffré, access token) Durée de vie du compte + suppression immédiate sur révocation par l'utilisateur (bouton « Déconnecter SuperPDP » dans Paramètres) ou suppression du compte
Images et audio (fonctionnalités IA) Durée du traitement uniquement — aucune conservation après extraction

À l'expiration de ces délais, les données sont supprimées ou anonymisées. Certaines données peuvent être archivées sous forme anonymisée à des fins statistiques sans limitation de durée.

5. Destinataires et sous-traitants

THETA-BYTECH ne vend pas vos données personnelles à des tiers. Les données peuvent être partagées uniquement avec les sous-traitants suivants, dans le cadre strict de la fourniture du service :

Sous-traitant Rôle Données traitées Localisation
Google LLC / Firebase Hébergement (Firestore, Auth, Storage, Hosting, Cloud Functions) Toutes données utilisateurs europe-west1 (Belgique, UE)
Stripe Payments Europe Ltd Traitement paiements abonnement + Stripe Connect Données de paiement, identifiants Stripe Irlande (UE)
Google LLC / ML Kit OCR scan de reçus papier — traitement 100% local, sur l'appareil de l'utilisateur Aucune donnée transmise (traitement entièrement sur device) Sur l'appareil de l'utilisateur (aucun transfert)
Anthropic PBC Extraction IA de données depuis images de factures multi-pages et RIB (features Pro avancées uniquement) Images uploadées pour ces features (temporaire — non conservées) USA — encadré par CCT (voir art. 6)
OpenAI LLC Transcription vocale (API Whisper) Extraits audio (temporaire — non conservés) USA — encadré par CCT (voir art. 6)
Google LLC / Play Store Distribution application Android Email compte Google, infos d'achat (géré par Google) USA/Global — Transfert encadré par les Clauses Contractuelles Types (CCT) 2021/914 et le Data Privacy Framework US/UE (2023) pour les services concernés.
Apple Inc. Distribution App Store + Apple Pay — sous-traitant prévu lors du futur lancement iOS, non actif actuellement Apple ID, infos d'achat (géré par Apple) — non transmis à ce stade USA — Transfert encadré par Clauses Contractuelles Types (CCT) de la Commission européenne 2021/914.
Plausible Insights OÜ Analytics site marketing pavvo.app (anonyme, sans cookies) IP pseudonymisée, user-agent, pays (agrégés) Estonie (UE)
IONOS SE Registrar domaines (pavvo.app, pavvo.fr) Données administratives WHOIS Allemagne (UE)

5.2 Responsable de traitement indépendant — SuperPDP

SuperPDP SAS agit en qualité de responsable de traitement indépendant au sens de l'article 4(7) RGPD, soumise à ses propres obligations légales en vertu de l'Ordonnance n° 2021-1190 du 15 septembre 2021 et du cahier des charges DGFiP des Plateformes de Dématérialisation Partenaires (PDP).

À ce titre, SuperPDP n'agit pas sur instructions de THETA-BYTECH mais en mission de service régulée (transmission des factures électroniques au portail public de facturation DGFiP). Aucun accord de sous-traitance au sens de l'article 28 RGPD n'est applicable à cette relation. Les coordonnées et la politique de confidentialité de SuperPDP sont disponibles sur superpdp.tech.

THETA-BYTECH transmet à SuperPDP les données de facturation électronique strictement nécessaires à la mission régalienne de routage e-facturation (émetteur, destinataire, montants, données fiscales). La base légale de cette transmission est l'exécution du contrat (art. 6.1.b RGPD) côté Pavvo, et l'obligation légale (art. 6.1.c RGPD) côté SuperPDP.

6. Transferts de données hors Union européenne

Certains sous-traitants impliqués dans les fonctionnalités d'intelligence artificielle de Pavvo sont établis aux États-Unis. Ces transferts concernent exclusivement les utilisateurs ayant activé les fonctionnalités Premium correspondantes (OCR, dictée vocale).

Anthropic PBC (États-Unis) — OCR / extraction de données

Données transférées : images de factures et reçus uploadées par l'utilisateur. Traitement : extraction de données textuelles. Aucune conservation après traitement. Garanties : Clauses Contractuelles Types de la Commission européenne (décision 2021/914).

OpenAI LLC (États-Unis) — Transcription vocale

Données transférées : extraits audio dictés par l'utilisateur. Traitement : transcription textuelle. Aucune conservation après traitement. Garanties : Clauses Contractuelles Types de la Commission européenne (décision 2021/914).

THETA-BYTECH s'assure que ces transferts respectent les exigences du RGPD (chapitre V) et ne transmettent que les données strictement nécessaires au traitement demandé. En cas de modification des conditions de transfert, cette politique sera mise à jour.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

Droit d'accès (art. 15 RGPD) : obtenir une copie des données personnelles que nous détenons vous concernant.

Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou incomplètes.

Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données, dans les limites des obligations légales de conservation (notamment les données de facturation conservées 10 ans — art. L102 B LPF). Les données de transaction traitées par Stripe ou Apple (futur iOS) sont conservées par ces opérateurs conformément à leurs propres obligations fiscales (UE et US) ; THETA-BYTECH ne peut pas les supprimer pour votre compte.

Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV). Ce droit s'applique aux données que vous nous avez fournies sur la base de l'exécution d'un contrat.

Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur notre intérêt légitime.

Droit à la limitation (art. 18 RGPD) : demander la suspension temporaire du traitement de vos données.

Droit de retrait du consentement : retirer à tout moment un consentement préalablement donné (ex. : désactivation des fonctionnalités IA), sans affecter la licéité des traitements effectués avant ce retrait.

Droit d'opposition au traitement SuperPDP : vous pouvez révoquer l'autorisation accordée à Pavvo d'utiliser SuperPDP pour la transmission de vos factures électroniques à tout moment, directement via le bouton « Déconnecter SuperPDP » dans les Paramètres de l'application. Cette révocation entraîne la suppression du refresh token et l'arrêt de tout transfert vers le réseau e-facturation.

Comment exercer vos droits

Pour exercer l'un de ces droits, contactez-nous à : [email protected]

Vous pouvez également supprimer votre compte directement depuis les paramètres de l'application Pavvo (rubrique « Compte » > « Supprimer mon compte »), ce qui entraîne la suppression de vos données de compte dans les délais indiqués à l'article 4, sous réserve des obligations légales de conservation. Pour les utilisateurs n'ayant plus accès à l'application, une procédure alternative par email est disponible sur la page Supprimer mon compte.

Nous nous engageons à répondre à toute demande dans un délai d'1 mois à compter de sa réception. Ce délai peut être prolongé de 2 mois supplémentaires en cas de demandes complexes ou nombreuses, avec information préalable.

Une pièce justificative d'identité peut être demandée pour traiter votre demande et prévenir toute usurpation.

Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

3 Place de Fontenoy, TSA 80715 — 75334 Paris Cedex 07

cnil.fr/fr/plaintes

8. Sécurité des données

THETA-BYTECH met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, perte, altération ou divulgation. Ces mesures incluent notamment :

  • chiffrement des données en transit via TLS/HTTPS ;
  • chiffrement des données au repos dans Firebase (AES-256) ;
  • authentification sécurisée via Firebase Authentication ;
  • règles d'accès Firestore limitant l'accès de chaque utilisateur à ses seules données ;
  • mots de passe hachés — non accessibles en clair ;
  • chiffrement des tokens OAuth SuperPDP via Google Cloud KMS (clé dédiée, région europe-west1) — le refresh token n'est jamais stocké en clair ;
  • clés API et secrets stockés en variables d'environnement sécurisées, jamais dans le code source.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, THETA-BYTECH s'engage à notifier la CNIL dans les 72 heures et, si le risque est élevé, à vous en informer directement dans les meilleurs délais, conformément à l'article 33 du RGPD.

9. Cookies et traceurs

Le site pavvo.app utilise les outils de mesure suivants, conditionnés au recueil préalable de votre consentement via le bandeau cookie :

Plausible Analytics (Plausible Insights OÜ, Estonie — UE)

Mesure anonyme d'audience : pages vues, sources de trafic, pays de navigation. Solution sans cookies, exemptée de consentement obligatoire par la CNIL (délibération n° 2019-093). Aucune donnée personnelle transmise. Base légale : intérêt légitime (art. 6.1.f RGPD) — données anonymisées dès la collecte.

Google Ads Conversion Tracking (Google LLC, USA)

Nous utilisons le service Google Ads Conversion Tracking pour mesurer les installations de l'application générées par nos annonces publicitaires. Ce service dépose des cookies tiers (_gcl_au, ar_debug) à des fins de mesure de performance publicitaire uniquement. Aucune audience de remarketing n'est constituée. Les données sont traitées par Google LLC (États-Unis) ; le transfert hors UE est encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et le Data Privacy Framework US/UE (2023). Base légale : consentement (art. 6.1.a RGPD). Politique de confidentialité Google : policies.google.com/privacy .

Pour le détail complet des cookies et du fonctionnement du bandeau de consentement, consultez notre Politique des cookies.

10. Modifications de la politique de confidentialité

La présente politique peut être mise à jour pour refléter les évolutions du service, de la réglementation ou de nos pratiques. En cas de modification substantielle, vous en serez informé par email et/ou par une notification dans l'application, au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.

La version en vigueur est toujours accessible à l'adresse pavvo.app/legal/privacy. La date de dernière mise à jour figure en tête de ce document.