La présente politique décrit comment ADL Labs SAS traite les données à caractère personnel dans le cadre du service SendPay, conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.
1. Responsable du traitement
Le responsable du traitement est ADL Labs SAS, SASU au capital de 1 000 €, immatriculée au RCS d'Arras sous le numéro 105 557 813, dont le siège social est situé 35 rue Neuve, 62173 Ransart, France.
Pour toute question relative à vos données, vous pouvez nous écrire à contact@sendpay.fr.
2. Responsable de traitement et sous-traitant
SendPay intervient dans deux rôles distincts selon les données concernées :
- Responsable de traitement pour les données liées aux comptes émetteurs, au fonctionnement du service, au suivi des paiements et à la sécurité.
- Sous-traitant (au sens de l'article 28 du RGPD) pour les données personnelles contenues dans les factures et devis que l'émetteur nous confie et qui concernent ses propres clients. L'émetteur en reste responsable de traitement ; SendPay les traite uniquement pour exécuter le service, selon ses instructions. Cette sous-traitance est encadrée par l'accord de traitement des données (DPA).
3. Données que nous traitons
Données relatives à l'émetteur
- Identification et connexion : adresse email, nom, photo de profil le cas échéant.
- Informations professionnelles : dénomination, email et téléphone de contact affichés au payeur.
- Données liées au compte de paiement Stripe : identifiant et statut du compte. Les pièces d'identité et coordonnées bancaires nécessaires à la vérification (KYC) sont collectées et conservées directement par Stripe.
- Données techniques : sessions de connexion, jetons d'authentification, journaux applicatifs et rapports d'erreurs (supervision technique).
Données relatives au payeur
- Identité : nom, adresse email et numéro de téléphone le cas échéant.
- Canal de relance préféré (email ou SMS).
- Contenu des factures et devis importés par l'émetteur, qui peut comporter des données personnelles (nom, coordonnées, montants).
- Données de paiement : traitées par Stripe. Nous conservons le statut, le mode et le montant du paiement ainsi que les horodatages associés, mais jamais les données complètes de carte bancaire.
- Suivi de l'activité du lien : ouverture du lien, démarrage du paiement, événements de paiement, avec leur horodatage.
Nous n'enregistrons ni adresse IP, ni identifiant de navigateur lors de la consultation d'un lien de paiement, et nous n'y déposons aucun cookie ni pixel de pistage.
4. Finalités et bases légales
- Fournir le service (génération des liens, encaissement, tableau de bord) : exécution du contrat conclu avec l'émetteur.
- Traiter les paiements et reverser les fonds : exécution du contrat et respect d'obligations légales (lutte contre le blanchiment, via Stripe).
- Reconnaissance automatique des factures et devis importés : exécution du contrat et intérêt légitime à faciliter la création du lien de paiement à partir du document. Les résultats sont proposés à titre indicatif et restent modifiables : aucune décision produisant des effets juridiques n'est prise de manière automatisée.
- Envoyer les emails et SMS de service et de relance : exécution du contrat et intérêt légitime au recouvrement des sommes dues.
- Suivre l'activité des liens pour informer l'émetteur : intérêt légitime.
- Mesurer l'audience de notre site de manière anonyme et agrégée : intérêt légitime.
- Assurer la sécurité et superviser le bon fonctionnement du service (journaux techniques, détection d'erreurs) : intérêt légitime.
- Respecter nos obligations comptables et fiscales : obligation légale.
5. Destinataires et sous-traitants
Nous ne vendons jamais vos données. Elles sont partagées uniquement avec les prestataires nécessaires au fonctionnement du service :
- Stripe Payments Europe, Limited (Irlande) — traitement des paiements, encaissement et vérification d'identité des émetteurs.
- Brevo SAS (France) — envoi des emails et SMS (liens de connexion, notifications, relances).
- Mistral AI SAS (France) — reconnaissance automatique du contenu des factures et devis.
- OVH SAS (France) — hébergement de l'infrastructure et de la base de données.
- Crisp IM SAS (France) — messagerie de support sur le tableau de bord émetteur, le cas échéant.
- Functional Software, Inc. (Sentry) (États-Unis) — supervision technique et détection d'erreurs, le cas échéant.
- Google et Microsoft — authentification, si l'émetteur choisit de se connecter via l'un de ces services.
6. Transferts hors de l'Union européenne
Nos principaux prestataires (Stripe, Brevo, Mistral AI, OVH, Crisp) traitent et hébergent les données au sein de l'Union européenne. Lorsqu'un transfert hors UE est susceptible d'intervenir (notamment Sentry, Google ou Microsoft), il est encadré par les garanties appropriées prévues par le RGPD : clauses contractuelles types de la Commission européenne ou adhésion au cadre de protection des données UE–États-Unis (Data Privacy Framework).
7. Durées de conservation
- Compte émetteur : pendant toute la durée de la relation, puis suppression à la clôture du compte, sous réserve des obligations légales ci-dessous.
- Documents importés (factures et devis) : conservés pendant toute la durée de vie du compte émetteur et supprimés de nos systèmes à la clôture du compte. Ces documents restent sous la responsabilité de l'émetteur, qui demeure libre de les conserver dans son propre système.
- Données du payeur (coordonnées, statut de paiement, canal de relance) : conservées pendant la durée de vie du compte émetteur, supprimées à la clôture du compte.
- Journaux de relance et événements de suivi : conservés pendant la durée de vie du compte émetteur, supprimés à la clôture du compte.
- Données de paiement et pièces comptables (transactions, commissions) : détenues par notre prestataire de paiement Stripe, qui les conserve au titre de ses obligations légales et réglementaires. SendPay y conserve l'accès pour satisfaire ses propres obligations comptables (10 ans, article L123-22 du Code de commerce). Ces enregistrements ne sont pas supprimés par la clôture de votre compte SendPay.
- Sessions de connexion : 30 jours.
- Données de support et de supervision technique : durée limitée, strictement nécessaire à leur finalité.
8. Cookies et mesure d'audience
Le site vitrine (sendpay.fr) ne dépose aucun cookie. Nous y mesurons l'audience à l'aide d'Umami, une solution que nous hébergeons nous-mêmes sur notre infrastructure : sans cookie ni traceur, elle ne produit que des statistiques agrégées et anonymes (pages vues, provenance, type d'appareil), sans stocker votre adresse IP, sans vous identifier ni vous suivre sur d'autres sites. Conforme aux recommandations de la CNIL relatives à la mesure d'audience, elle ne requiert pas votre consentement : aucun bandeau cookies n'est donc nécessaire.
Le tableau de bord émetteur utilise un cookie de session strictement nécessaire à la connexion. La messagerie de support (Crisp) ne dépose aucun cookie tant que vous ne l'ouvrez pas : lorsque vous démarrez une conversation, un cookie strictement nécessaire est alors déposé pour conserver le fil de votre échange. Posé à votre demande expresse et limité à cette fonction, il ne requiert pas votre consentement. La page de paiement ne dépose aucun cookie de pistage.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des échanges (HTTPS), hébergement au sein de l'Union européenne, accès restreint aux données, hachage des mots de passe et recours à Stripe (certifié PCI-DSS) pour le traitement des paiements.
10. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation et d'opposition au traitement, de portabilité de vos données, ainsi que du droit de définir des directives relatives à leur sort après votre décès.
Le droit d'effacement s'exerce dans les limites prévues par la loi : les données de paiement et pièces comptables (transactions, commissions) sont conservées par Stripe et par SendPay pendant les durées légales applicables (notamment comptables et réglementaires), même après la clôture de votre compte.
Pour exercer ces droits, écrivez-nous à contact@sendpay.fr. Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
Lorsque les données concernent un client de l'émetteur, les demandes sont à adresser en priorité à l'émetteur, responsable de ce traitement ; nous l'assistons dans le traitement de votre demande.
11. Modifications
Nous pouvons faire évoluer la présente politique pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en haut de cette page.