Politique de confidentialité
Dernière mise à jour : 26 mai 2026
1. Préambule et responsable de traitement
La présente Politique de confidentialité décrit la manière dont les données à caractère personnel des utilisateurs du service BOFiP API (ci-après le « Service ») sont collectées, traitées et protégées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi Informatique et Libertés modifiée.
Le Service est une API REST B2B exposant la doctrine fiscale française du BOFiP au format JSON. Il est exclusivement destiné à des professionnels (éditeurs legaltech, fintech, logiciels comptables, cabinets d'expertise).
Le responsable de traitement au sens de l'article 4.7 du RGPD est :
- Raison sociale : CYBERSCALING
- Nom commercial : WIKLOUD
- Forme juridique : SARL
- SIREN : 751 638 446
- Capital social : [À COMPLÉTER]
- Siège social : 99 Boulevard de la Reine, 78000 Versailles, France
- Contact RGPD / DPO : [email protected]
- Délégué à la protection des données : [À COMPLÉTER — désignation non obligatoire au sens de l'article 37 du RGPD, à confirmer après analyse]
2. Données collectées, finalités, bases légales et durées de conservation
Le tableau ci-dessous récapitule l'ensemble des traitements mis en œuvre dans le cadre du Service. Aucune autre catégorie de données n'est collectée.
| Catégorie | Donnée collectée | Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|---|---|
| Identification | Email professionnel, empreinte du mot de passe (argon2id, jamais en clair) | Création et gestion du compte, authentification, communications de service | Exécution du contrat (art. 6.1.b) | Durée de vie du compte + 3 ans à compter du dernier contact actif |
| Paiement | Identifiant client Stripe (stripe_customer_id). Aucune donnée de carte bancaire n'est stockée par CYBERSCALING. | Facturation, gestion des abonnements, lutte contre la fraude | Obligation légale comptable (art. 6.1.c) — articles L.123-22 du Code de commerce et 102 du LPF | 10 ans à compter de la clôture de l'exercice |
| Usage de l'API | Empreinte SHA-256 de la clé API + compteurs agrégés (usage_daily) : requêtes/jour, endpoints, statuts HTTP | Facturation à l'usage, prévention des abus, application des quotas et du rate-limit | Intérêt légitime (art. 6.1.f) : sécurité du Service et facturation | 13 mois glissants |
| Logs techniques | Adresse IP, user-agent, endpoint appelé, code HTTP, durée de la requête (exportés vers Axiom) | Sécurité, détection d'intrusion, débogage, performance | Intérêt légitime (art. 6.1.f) | 30 jours |
| Cookie de session | bofip_session (httpOnly, Secure, SameSite=Lax) | Authentification utilisateur dans le tableau de bord | Exécution du contrat (art. 6.1.b) | 30 jours (renouvelé à chaque session active) |
Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions politiques, données de santé, etc.) n'est collectée. Aucun profilage à des fins publicitaires ni décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD n'est mis en œuvre.
3. Destinataires et sous-traitants
CYBERSCALING fait appel à des sous-traitants au sens de l'article 28 du RGPD, sélectionnés pour leur niveau de garantie en matière de sécurité et de protection des données. Chacun fait l'objet d'un accord de traitement des données (Data Processing Agreement / DPA).
| Sous-traitant | Rôle | Localisation | Données concernées | DPA |
|---|---|---|---|---|
| Cloudflare, Inc. | Hébergement (Workers, D1, R2, KV, Vectorize, Queues), DNS, Pages | USA + edges UE. Base de données D1 localisée région WEUR (Europe de l'Ouest) | Ensemble des données du Service (email, hash mot de passe, stripe_customer_id, compteurs d'usage, logs) | DPA Cloudflare |
| Stripe, Inc. | Paiement, Customer Portal, facturation, lutte contre la fraude | USA (avec Stripe Payments Europe Ltd, Irlande, pour l'UE) | Email, identifiant client, données de paiement (CB, IBAN) collectées et stockées directement par Stripe — jamais par CYBERSCALING | DPA Stripe |
| Resend, Inc. | Envoi des emails transactionnels (bienvenue, création de clé API, échec de paiement) | USA | Email du destinataire, contenu de l'email transactionnel | DPA Resend |
| Mistral AI SAS | Génération d'embeddings sémantiques de la doctrine fiscale publique | France (UE) | Aucune donnée à caractère personnel n'est transmise à Mistral AI. Seuls les textes publics du BOFiP (côté ingestion) et les requêtes de recherche sémantique soumises via /v1/search/semantic (côté usage) sont envoyés — en mode embedding, sans stockage côté Mistral selon ses conditions d'utilisation API. | CGU Mistral AI |
| Axiom, Inc. | Collecte et analyse des logs techniques | USA | Logs JSON (IP, user-agent, endpoint, statut, durée). Les clés API n'apparaissent que sous forme de hash SHA-256. | DPA Axiom |
Point d'attention IA : contrairement à de nombreux services reposant sur des sous-traitants IA américains, le composant IA du Service (Mistral AI) est européen et ne reçoit aucune donnée à caractère personnel :
- Lors de l'ingestion (build), seuls les textes publics du BOFiP sont vectorisés.
- Lors d'une requête utilisateur
/v1/search/semantic, seule la requête textuelle est transmise à Mistral pour générer son embedding ; aucune donnée d'identification de l'utilisateur (email, clé API, IP) n'est jointe. - Mistral AI ne stocke pas les requêtes utilisées en mode embedding selon ses conditions d'utilisation API en vigueur.
4. Transferts de données hors Union européenne
Certains sous-traitants sont établis aux États-Unis (Cloudflare, Stripe, Resend, Axiom). Les transferts sont encadrés conformément au chapitre V du RGPD :
- Clauses Contractuelles Types (CCT) de la Commission européenne (décision d'exécution 2021/914) signées dans le cadre des DPA de chaque sous-traitant ;
- Le cas échéant, EU-U.S. Data Privacy Framework pour les sous-traitants certifiés (Cloudflare, Stripe, Axiom) ;
- Mesures techniques complémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, minimisation des données et pseudonymisation (hash SHA-256 des clés API dans les logs).
À retenir :
- Les données de paiement (numéro de CB, IBAN) ne transitent ni ne sont stockées par CYBERSCALING : elles restent dans l'environnement PCI-DSS Stripe.
- Les données applicatives du Service (compte, clés API, usage) sont stockées en région WEUR (Europe de l'Ouest) de Cloudflare D1.
- Les logs techniques (Axiom) sont anonymisés (hash de la clé) et purgés au bout de 30 jours.
5. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès (art. 15) — vous pouvez demander une copie
des données vous concernant à [email protected]. Un endpoint
GET /v1/accountpermettant l'accès direct est en cours de déploiement. - Droit de rectification (art. 16) — vous pouvez mettre à jour votre email ou votre mot de passe depuis votre tableau de bord.
- Droit à l'effacement (« droit à l'oubli ») (art. 17) —
la suppression de votre compte est immédiate via
votre tableau de bord
(action
POST /app/account/delete). Sont alors supprimés : email, hash du mot de passe, clés API, compteurs d'usage et cookie de session. Les données conservées pour obligation légale comptable (factures,stripe_customer_id) sont anonymisées dans la mesure du possible et conservées 10 ans. - Droit à la limitation du traitement (art. 18) — sur demande à [email protected].
- Droit à la portabilité (art. 20) — vous pouvez demander un export JSON structuré de vos données à [email protected]. L'export est fourni sous 30 jours maximum à compter de la demande.
- Droit d'opposition (art. 21) — vous pouvez vous opposer à tout moment, pour des raisons tenant à votre situation particulière, aux traitements fondés sur notre intérêt légitime (logs techniques, compteurs d'usage).
- Droit de définir des directives post-mortem (art. 85 de la loi Informatique et Libertés) — vous pouvez nous adresser des directives concernant la conservation, l'effacement et la communication de vos données après votre décès.
- Droit de réclamation auprès de l'autorité de contrôle — si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Les demandes sont traitées dans un délai d'un mois (prorogeable de deux mois en cas de complexité), conformément à l'article 12.3 du RGPD. Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.
6. Cookies et traceurs
Le Service utilise un unique cookie strictement nécessaire au fonctionnement de l'authentification :
- Nom :
bofip_session - Finalité : maintenir la session authentifiée dans le
tableau de bord
/app - Attributs :
HttpOnly,Secure,SameSite=Lax - Durée : 30 jours
- Base légale : exempté du consentement au titre de l'article 82 de la loi Informatique et Libertés (cookie strictement nécessaire à la fourniture d'un service explicitement demandé)
Aucun cookie tiers, aucun pixel publicitaire, aucun outil d'analytics (Google Analytics, Meta, etc.) ni aucun traceur de mesure d'audience n'est déployé sur le Service. Aucun bandeau de consentement n'est donc requis.
Si CYBERSCALING décide à l'avenir d'intégrer un outil de mesure d'audience respectueux de la vie privée (par exemple Plausible ou PostHog en mode cookieless), la présente politique sera mise à jour avant déploiement, et un mécanisme de consentement sera mis en place si requis.
7. Sécurité
CYBERSCALING met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD :
- Mots de passe hachés avec
argon2idselon les paramètres recommandés par l'OWASP (memory cost, time cost, parallelism). Aucun mot de passe n'est stocké ou journalisé en clair. - Clés API stockées exclusivement sous forme d'empreinte
SHA-256. La valeur en clair n'est affichée qu'une seule fois, au moment de la création, et n'est jamais re-consultable. - Transport chiffré obligatoire : HTTPS / TLS 1.2 ou supérieur ; HSTS activé.
- Cookie de session protégé par
HttpOnly,Secure,SameSite=Lax, signé avec un secret rotatif. - Anonymisation des logs : la clé API n'apparaît dans les logs Axiom que sous forme de hash SHA-256.
- Localisation prioritaire UE : la base D1 du Service est localisée en région WEUR (Europe de l'Ouest) de Cloudflare.
- Cloisonnement et moindre privilège sur les accès administrateurs ; rotation régulière des secrets ; surveillance des connexions anormales.
- Sauvegardes chiffrées et restauration testée.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, CYBERSCALING s'engage à notifier la CNIL dans un délai de 72 heures (art. 33 RGPD) et à informer les personnes concernées sans délai injustifié si le risque est élevé (art. 34 RGPD).
8. Mineurs
Le Service est exclusivement destiné à des professionnels (B2B) et n'est pas conçu pour, ni adressé à, des personnes de moins de 18 ans. Aucune collecte n'est sciemment effectuée auprès de mineurs. Si vous constatez qu'un compte a été créé par un mineur, merci d'en informer [email protected] : le compte sera supprimé immédiatement.
9. Modifications de la politique
La présente politique peut être modifiée à tout moment pour refléter une évolution du Service, de la réglementation ou des sous-traitants utilisés. En cas de modification substantielle (ajout d'une finalité, nouveau sous-traitant, changement de durée de conservation), les utilisateurs en compte seront informés par email au moins 30 jours avant l'entrée en vigueur des modifications. Les versions précédentes de la politique sont archivées et peuvent être communiquées sur demande à [email protected].
10. Contact
Pour toute question relative à la présente politique ou à l'exercice de vos droits :
- Email : [email protected]
- Courrier : CYBERSCALING — Service RGPD, 99 Boulevard de la Reine, 78000 Versailles, France