Politique de confidentialité
Dernière mise à jour : 12 juillet 2026
La présente politique décrit la manière dont Quitto traite les données personnelles collectées via son site et son service, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés ».
1. Qui traite vos données ?
Le service est édité par Ilias Aloui, entrepreneur individuel exerçant sous le nom commercial Quitto, [adresse], SIREN [n° SIREN] (voir les mentions légales).
Quitto intervient à deux titres distincts :
- Responsable de traitement pour les données collectées via le site (formulaire d'audit, prise de contact) et pour la gestion des comptes clients ;
- Sous-traitant (article 28 du RGPD) pour les données que chaque cabinet utilisateur importe et traite dans le service — notamment les données de ses clients débiteurs. Pour ces données, le cabinet demeure responsable de traitement ; Quitto ne les traite que sur son instruction et pour l'exécution du service, dans le cadre de l'accord de sous-traitance conclu avec lui.
Pour toute question relative à vos données : [email de contact RGPD].
2. Données traitées
- Formulaire d'audit / prise de contact : nom du cabinet, email professionnel, téléphone, secteur d'activité et informations de qualification (volume d'impayés, taille du cabinet, outils utilisés, budget, disponibilité).
- Compte client : email, mot de passe (stocké sous forme hachée, jamais en clair), rôle, cabinet de rattachement.
- Données des dossiers du cabinet (traitées en qualité de sous-traitant) : identité et coordonnées des clients débiteurs du cabinet, factures et montants, historique des relances et des échanges emails s'y rapportant.
- Connexion de messagerie : adresse de la boîte connectée et jetons d'accès OAuth, stockés chiffrés. Quitto n'accède qu'aux messages nécessaires au service (envoi des relances validées, lecture des réponses des débiteurs concernés) et jamais au reste de la boîte.
- Données techniques : journaux de connexion et d'utilisation nécessaires à la sécurité et au bon fonctionnement du service.
Aucune donnée bancaire n'est collectée via le site. Le site n'utilise ni cookies publicitaires ni traceurs tiers — uniquement des éléments de stockage local strictement nécessaires (progression de formulaire, session authentifiée).
3. Finalités et bases légales
- Répondre à une demande d'audit, de démonstration ou d'information — base légale : mesures précontractuelles prises à votre demande et consentement.
- Fournir le service, gérer les comptes et la relation client — base légale : exécution du contrat.
- Assurer la sécurité du service, prévenir les abus (dont la limitation du volume de soumissions) et améliorer le produit — base légale : intérêt légitime.
- Pour les données des débiteurs : traitement opéré pour le compte et sur instruction du cabinet, qui en détermine les finalités (gestion et recouvrement amiable de ses propres créances).
4. Destinataires et sous-traitants ultérieurs
Les données sont accessibles aux seules personnes habilitées. Elles sont traitées par des prestataires techniques agissant comme sous-traitants, chacun lié par un accord de protection des données :
- Supabase — base de données et authentification ; hébergement dans l'Union européenne (région AWS Paris, France).
- Vercel — hébergement du site (États-Unis ; transfert encadré par les clauses contractuelles types de la Commission européenne).
- Anthropic — modèles d'intelligence artificielle utilisés pour la préparation des projets de relances et l'analyse des réponses (États-Unis ; transfert encadré par les clauses contractuelles types). Conformément à ses conditions commerciales, les données soumises via l'API ne sont pas utilisées pour entraîner les modèles.
- Google / Microsoft — uniquement si le cabinet connecte sa messagerie : l'envoi et la lecture des emails transitent par le fournisseur de messagerie choisi et autorisé par le cabinet.
- Notion — suivi des prises de contact commerciales (États-Unis ; clauses contractuelles types).
Aucune donnée n'est vendue ni transmise à des tiers à des fins publicitaires.
5. Durées de conservation
- Prospection : 3 ans à compter du dernier contact.
- Compte client et données de dossiers : pendant la durée de la relation contractuelle. À la fin du contrat, les données du cabinet sont restituées puis supprimées, sous réserve des archivages imposés par la loi (notamment comptables).
- Jetons de messagerie : jusqu'à révocation de la connexion par le cabinet ou fin du contrat.
- Journaux techniques : 12 mois au plus.
6. Vos droits
Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de vos données, ainsi que du droit de retirer votre consentement à tout moment. Pour les exercer, écrivez à [email de contact RGPD]. Une réponse vous sera apportée dans un délai d'un mois.
Si vous êtes débiteur d'un cabinet utilisant Quitto : le responsable du traitement de vos données est le cabinet qui gère votre dossier — vos droits s'exercent directement auprès de lui. Quitto, en qualité de sous-traitant, l'assiste dans le traitement de votre demande.
Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
7. Sécurité
- Chiffrement TLS de tous les échanges ;
- Mots de passe stockés sous forme hachée, jamais en clair ;
- Jetons de messagerie chiffrés au repos ;
- Cloisonnement strict des données par cabinet : chaque cabinet n'accède qu'à ses propres données, et aucun accès direct à la base n'est ouvert depuis le navigateur ;
- Principe de moindre privilège pour les accès techniques.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Quitto notifiera la CNIL et, le cas échéant, les personnes et cabinets concernés, dans les conditions prévues aux articles 33 et 34 du RGPD.
8. Mise à jour de la politique
La présente politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. La version applicable est celle publiée sur cette page, identifiée par sa date de mise à jour.