Politique de Confidentialité

En vigueur au 23 mars 2026 — Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n°78-17 du 6 janvier 1978 modifiée

Article 1 — Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées sur le site tonfiscaliste.fr (ci-après « le Site ») est :

Yannick JADOUL (Société par actions simplifiée)
40 RUE MADELEINE MICHELIS, 92200 NEUILLY-SUR-SEINE
Adresse de courrier électronique : contact@tonfiscaliste.fr

Le responsable du traitement détermine les finalités et les moyens du traitement des données à caractère personnel, dans le respect des dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et de la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Article 2 — Données collectées

Dans le cadre de l'utilisation du Site et du service, les catégories de données à caractère personnel suivantes sont susceptibles d'être collectées :

2.1 Données d'identification et de contact

—Nom, prénom, adresse de courrier électronique (lors de la création du compte ou de l'authentification via Google) ;

—Identifiant unique de compte.

2.2 Données d'utilisation du service

—Questions posées au chatbot fiscal et réponses générées par l'intelligence artificielle ;

—Données saisies dans le simulateur LMNP (montants de loyers, charges, amortissement) ;

—Données saisies dans le parcours de déclaration fiscale (type de location, régime fiscal, revenus et charges) ;

—Profil fiscal renseigné (type de contribuable, situation personnelle).

2.3 Données techniques et de connexion

—Adresse IP, type et version du navigateur, système d'exploitation ;

—Logs de connexion et horodatage des accès ;

—Cookies de session strictement nécessaires au fonctionnement du service.

2.4 Données de paiement

—Les données de paiement (numéro de carte bancaire, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire Stripe, Inc., certifié PCI DSS Niveau 1. L'Éditeur n'a jamais accès à ces données et ne les stocke en aucune façon.

Article 3 — Finalités et bases légales du traitement

Les données à caractère personnel sont traitées pour les finalités suivantes :

Finalité	Base légale (art. 6 RGPD)
Fourniture du service d'assistance fiscale par IA	Exécution du contrat (art. 6.1.b)
Gestion du compte utilisateur et de l'abonnement	Exécution du contrat (art. 6.1.b)
Traitement des paiements via Stripe	Exécution du contrat (art. 6.1.b)
Communication avec le Client (support, notifications)	Intérêt légitime (art. 6.1.f)
Amélioration de la qualité du service et de l'IA	Intérêt légitime (art. 6.1.f)
Sécurité du Site et prévention des fraudes	Intérêt légitime (art. 6.1.f)
Respect des obligations légales et réglementaires	Obligation légale (art. 6.1.c)
Cookies non essentiels (le cas échéant)	Consentement (art. 6.1.a)

Article 4 — Durée de conservation des données

Les données à caractère personnel sont conservées pendant une durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées :

—Données de compte :conservées pendant toute la durée d'utilisation du service, puis trois (3) ans après la dernière connexion du Client, sauf demande de suppression anticipée ;

—Conversations avec l'IA : conservées selon le plan souscrit (7 jours pour le Plan Gratuit, 1 an pour le Plan Pro, durée illimitée pour le Plan Expert), puis supprimées automatiquement ;

—Données de facturation : conservées pendant dix (10) ans conformément aux obligations comptables et fiscales (article L.123-22 du Code de commerce) ;

—Logs de connexion :conservés pendant un (1) an conformément à l'article 6-II de la LCEN et au décret n°2011-219 du 25 février 2011 ;

—Cookies de session :supprimés à la fermeture du navigateur ou à l'expiration de la session d'authentification.

Article 5 — Destinataires et sous-traitants

Les données à caractère personnel sont susceptibles d'être communiquées aux sous-traitants suivants, agissant pour le compte et selon les instructions de l'Éditeur :

—Supabase, Inc.— hébergement de la base de données et gestion de l'authentification. Serveurs situés au sein de l'Union européenne. Garanties : Data Processing Agreement (DPA) conforme au RGPD ;

—Vercel, Inc. — hébergement du Site et diffusion via CDN mondial, siège social aux États-Unis. Garanties : Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ;

—Google LLC— traitement des requêtes d'intelligence artificielle via l'API Gemini, siège social aux États-Unis. Garanties : Clauses Contractuelles Types (CCT) et Data Processing Addendum de Google Cloud ;

—Stripe, Inc. — traitement des paiements, siège social aux États-Unis. Garanties : certification PCI DSS Niveau 1, Clauses Contractuelles Types (CCT).

Les transferts de données vers des pays situés hors de l'Espace Économique Européen sont encadrés par les garanties appropriées prévues aux articles 46 et suivants du RGPD (Clauses Contractuelles Types adoptées par la Commission européenne, décisions d'adéquation, ou certifications reconnues).

Aucune donnée à caractère personnel n'est communiquée à des tiers à des fins de prospection commerciale.

Article 6 — Sécurité des données

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, et notamment :

—Chiffrement des communications par protocole TLS 1.3 ;

—Authentification sécurisée (hachage des mots de passe, protocole OAuth 2.0 PKCE) ;

—Contrôle d'accès granulaire par Row Level Security (RLS) au niveau de la base de données ;

—Séparation des environnements de développement et de production ;

—Audits réguliers de sécurité et mises à jour proactives des dépendances logicielles.

Article 7 — Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés modifiée, toute personne concernée dispose des droits suivants sur ses données à caractère personnel :

—Droit d'accès (article 15 RGPD) : obtenir la confirmation que des données la concernant sont traitées et en recevoir une copie ;

—Droit de rectification (article 16 RGPD) : demander la correction de données inexactes ou incomplètes ;

—Droit à l'effacement (article 17 RGPD) : demander la suppression des données dans les conditions prévues par le RGPD ;

—Droit à la limitation du traitement (article 18 RGPD) : demander le gel temporaire du traitement dans les cas prévus par la réglementation ;

—Droit à la portabilité (article 20 RGPD) : recevoir les données dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transmission directe à un autre responsable du traitement ;

—Droit d'opposition(article 21 RGPD) : s'opposer au traitement fondé sur l'intérêt légitime pour des raisons tenant à sa situation particulière ;

—Droit de retirer son consentement : lorsque le traitement est fondé sur le consentement, celui-ci peut être retiré à tout moment sans affecter la licéité du traitement effectué avant le retrait ;

—Droit de définir des directives post-mortem (article 85 de la loi Informatique et Libertés) : définir des directives relatives au sort de ses données après son décès.

Modalités d'exercice :Toute demande d'exercice de ces droits peut être adressée par courrier électronique à : contact@tonfiscaliste.fr. L'Éditeur s'engage à répondre dans un délai maximum d'un (1) mois à compter de la réception de la demande, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires compte tenu de la complexité et du nombre de demandes.

En cas de difficulté dans l'exercice de ses droits, la personne concernée peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française en matière de protection des données personnelles — 3, Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

Article 8 — Cookies

Le Site utilise exclusivement des cookies strictement nécessaires au fonctionnement technique du service :

—Cookies de session et d'authentification (Supabase) : indispensables à la gestion de la connexion sécurisée de l'utilisateur ;

—Cookies de préférences: sauvegarde des paramètres d'affichage et de navigation.

Ces cookies sont exemptés du recueil de consentement conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL relatives aux cookies et traceurs (délibération n°2020-091 du 17 septembre 2020).

Aucun cookie à finalité publicitaire, analytique ou de suivi comportemental n'est déposé sans le consentement préalable, libre, spécifique, éclairé et univoque de l'utilisateur.

Article 9 — Traitement des données par l'intelligence artificielle

Les questions posées par le Client au chatbot fiscal sont transmises à l'API Google Gemini pour générer des réponses contextualisées. Ces données sont :

—Transmises de manière chiffrée (TLS) à l'API Google Gemini ;

—Traitées uniquement pour générer la réponse demandée et ne sont pas utilisées par Google pour l'entraînement de ses modèles d'IA (conformément aux conditions d'utilisation de l'API Google Cloud) ;

—Conservées dans la base de données de l'Éditeur conformément aux durées prévues à l'Article 4 de la présente politique.

Le Client est informé qu'il ne doit pas communiquer de données strictement personnelles sensibles (n° fiscal, n° de sécurité sociale, coordonnées bancaires) dans ses questions au chatbot. L'Éditeur décline toute responsabilité en cas de saisie volontaire de telles données.

Article 10 — Modifications de la politique

L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. Toute modification substantielle sera notifiée aux Clients par courrier électronique ou par notification sur le Site au moins quinze (15) jours avant son entrée en vigueur.

La version en vigueur est celle accessible sur le Site. Il est recommandé au Client de consulter régulièrement la présente page.