Politique de confidentialité
Dernière mise à jour : mai 2026
1. Qui collecte vos données
Qyrvo (ci-après « nous ») édite la plateforme accessible sur www.qyrvo.com. Pour toute question : contact@qyrvo.com.
Concrètement, il y a 2 types de données :
- Vos données personnelles (compte, paiement) : nous en sommes responsables.
- Les données de vos clients (factures, contacts, paiements) : vous en restez propriétaire et responsable. Nous agissons comme sous-traitant au sens du RGPD (article 28) — nous traitons ces données sur vos instructions, uniquement pour vous fournir le service.
2. Ce qu'on collecte (et pourquoi)
Pour faire fonctionner votre compte
- Identité : nom, prénom, email, mot de passe (hashé)
- Organisation : nom, adresse, devise, paramètres
- Paiement : géré par Stripe — nous ne stockons jamais votre numéro de carte, seulement un identifiant client Stripe
Pour automatiser votre recouvrement
- Factures importées depuis votre logiciel comptable (numéro, montant, dates, statut)
- Contacts clients que vous synchronisez (nom, email, téléphone, entreprise)
- Emails envoyés et reçus dans le cadre des relances (contenu, dates, classification par IA)
- Tokens d'intégration (Gmail, Outlook, Odoo, Stripe, Xero…) — stockés chiffrés en base, jamais exposés
Pour mesurer et améliorer le service
- Analytics via PostHog : pages visitées, fonctionnalités utilisées (anonymisé via l'identifiant utilisateur)
- Logs techniques : adresse IP, navigateur, erreurs (conservés 30 jours pour debug)
- Cookies : authentification, anti-bot Cloudflare, mesure d'audience
3. Comment l'IA est utilisée
Qyrvo utilise l'API Anthropic Claude pour générer des relances et classifier les réponses email. Concrètement :
- Nous envoyons à Claude le minimum nécessaire (numéro de facture, montant, contact, contexte de relance)
- Anthropic ne conserve pas ces données pour entraîner ses modèles (engagement contractuel)
- Les données transitent uniquement de manière chiffrée (TLS)
Si vous activez la connexion MCP (Model Context Protocol) avec Claude / ChatGPT / Cursor, ces IA peuvent interroger vos données Qyrvo en lecture seule via une clé que vousgénérez et révoquez. Aucune donnée n'est envoyée à ces IA sans votre action explicite.
4. Avec qui ces données sont partagées
Aucune donnée n'est jamais vendue à des tiers. Nous partageons uniquement avec les prestataires nécessaires au fonctionnement du service :
| Prestataire | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données + auth | UE (Allemagne) |
| Vercel | Hébergement | UE / US |
| Stripe | Paiements | UE / US |
| Anthropic | IA Claude (génération + classification) | US |
| Resend | Envoi d'emails transactionnels | UE |
| PostHog | Analytics produit | UE |
| Cloudflare | Anti-bot (signup) | Global |
Tous ces prestataires sont contractuellement engagés à protéger vos données conformément au RGPD. Pour les transferts hors UE (Anthropic, Vercel, Stripe), des clauses contractuelles types de la Commission européenne sont en place.
5. Combien de temps on garde vos données
- Données de compte : tant que votre compte est actif, puis 30 jours après suppression
- Factures et clients importés : tant que vous n'utilisez pas la fonction « Supprimer » dans Settings → Données
- Logs techniques : 30 jours
- Documents comptables (factures) : 10 ans (obligation légale)
- Données de paiement Stripe : selon la politique Stripe
6. Vos droits (RGPD)
Vous avez le droit de :
- Accéder à vos données : tout est consultable dans votre espace Qyrvo
- Exporter vos données : Settings → Données → « Exporter mes données »
- Rectifier : modifiable directement dans votre profil
- Supprimer votre compte et toutes vos données : Settings → Données → « Supprimer mon compte »
- Limiter ou vous opposer à un traitement : écrivez-nous
- Réclamer auprès de la CNIL si vous pensez qu'on n'a pas respecté vos droits
Pour exercer un droit qui n'est pas dans l'app : contact@qyrvo.com. Nous répondons sous 30 jours maximum.
7. Comment vos données sont protégées
- Toutes les communications sont chiffrées en TLS 1.2+
- Les tokens d'intégration (Gmail, Stripe, Odoo, etc.) sont chiffrés en base avec AES-256
- Les mots de passe sont hashés via bcrypt par Supabase Auth
- L'accès à la base est strictement limité aux développeurs Qyrvo, journalisé
- Aucune sauvegarde n'est exposée publiquement (chiffrement at-rest)
- En cas de violation de données, vous serez informé sous 72 heures (article 33 RGPD)
8. Cookies
Nous utilisons 3 catégories de cookies :
- Essentiels (auth Supabase, anti-bot Cloudflare) : indispensables, pas de consentement requis
- Analytics (PostHog) : mesure d'audience anonymisée — vous pouvez les désactiver
- Pas de publicité : aucun cookie publicitaire ou de tracking tiers
9. Contact
Question, remarque ou demande RGPD : contact@qyrvo.com. Nous répondons généralement sous 48h.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL :cnil.fr/fr/plaintes.
10. Modifications de cette politique
Nous pouvons mettre à jour cette politique pour refléter de nouveaux services ou évolutions légales. En cas de modification importante, nous vous préviendrons par email au moins 15 jours avant qu'elle prenne effet. La date en haut indique la dernière mise à jour.