Politique de confidentialité

1. Introduction

Nexapp (accessible à l'adresse https://nexapp.nexap.fr) est une application de gestion de devis et factures éditée par Nexap. La protection de vos données personnelles est une priorité. Cette politique de confidentialité décrit les données que nous collectons, comment nous les utilisons et les mesures que nous prenons pour les protéger.

2. Données collectées

Nous collectons les données suivantes dans le cadre de l'utilisation de l'application :

• Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone
• Données professionnelles : nom de l'entreprise, numéro SIRET, adresse professionnelle, logo, mentions légales (assurance décennale, RGE, CGV)
• Données de facturation : devis, factures, factures d'acompte, factures de situation, coordonnées des clients, montants, descriptions des prestations, taux de TVA, conditions de règlement
• Données vocales (si l'assistant vocal est utilisé) : flux audio temporaire de votre dictée (jamais conservé) et texte transcrit issu de cette dictée — voir section 10 pour le détail
• Photos de chantier (optionnel) : images que vous ajoutez à un devis, une facture ou un dossier sinistre
• Données techniques : adresse IP, type de navigateur, données de connexion (via Supabase Auth), logs d'erreur

3. Finalités du traitement

Vos données sont utilisées pour :

• Créer et gérer votre compte utilisateur
• Générer, stocker et envoyer des devis, factures, factures d'acompte et factures de situation
• Générer le format Factur-X (PDF/A-3 + XML CII) requis par l'obligation légale de facturation électronique entrant en vigueur en France
• Permettre la signature électronique des devis par vos clients
• Envoyer des notifications et relances relatives à vos documents (par e-mail)
• Transcrire et structurer vos dictées vocales en lignes de devis (assistant vocal — voir section 10)
• Sauvegarder vos données pour prévenir toute perte (voir section 9)
• Améliorer les fonctionnalités et la performance de l'application

4. Base légale du traitement

Le traitement de vos données repose sur :

• L'exécution du contrat : fourniture du service Nexapp
• Le consentement : pour l'envoi d'e-mails et notifications
• L'intérêt légitime : amélioration du service et sécurité

5. Hébergement et sous-traitants

Vos données sont hébergées et traitées par les prestataires suivants, agissant en qualité de sous-traitants au sens de l'article 28 du RGPD :

• Supabase — hébergement de la base de données PostgreSQL, authentification, stockage des fichiers (logos, photos, PDF) et fonctions edge. Région : Union européenne (Francfort, Allemagne).
• Vercel — hébergement de l'application web Nexapp et de la documentation. Région : Union européenne.
• Resend — envoi d'e-mails transactionnels (relances, signature, notifications).
• OpenAI — transcription audio (Whisper) et structuration des dictées (GPT-4o), utilisé uniquement si l'assistant vocal Nexapp est activé. Voir section 10. Hébergement aux États-Unis avec clauses contractuelles types de la Commission européenne.
• Salt Edge Limited — synchronisation bancaire optionnelle (DSP2/AISP). Voir section 11. Hébergement au Royaume-Uni (décision d'adéquation).
• Google — authentification via Google OAuth (si utilisée par l'utilisateur).

Aucune donnée n'est transmise à des tiers à des fins commerciales, publicitaires ou de revente.

6. Durée de conservation

Les durées de conservation sont les suivantes :

• Données du compte utilisateur : conservées tant que votre compte est actif. Supprimées dans un délai maximum de 30 jours après suppression du compte.
• Devis non transformés en facture : conservés tant que votre compte est actif, ou pour une durée maximum de 5 ans à compter de leur émission, conformément à l'article L110-4 du Code de commerce (prescription commerciale).
• Factures, factures d'acompte et factures de situation : conservées pendant 10 ans à compter de la clôture de l'exercice comptable concerné, conformément à l'article L123-22 du Code de commerce et à l'article L102 B du Livre des procédures fiscales. Cette conservation est une obligation légale qui s'impose à Nexap en tant qu'éditeur du service hébergeant ces documents.
• Fichiers PDF Factur-X : conservés pendant 10 ans, dans leur format original (PDF/A-3 + XML CII), pour garantir leur valeur probante en cas de contrôle fiscal.
• Données vocales (audio) : non conservées — le flux audio est supprimé immédiatement après transcription. Voir section 10.
• Texte transcrit par l'assistant vocal : intégré aux lignes du devis ou de la facture concerné, donc soumis aux mêmes durées que les documents commerciaux ci-dessus.
• Logs techniques : conservés 12 mois maximum à des fins de sécurité et de diagnostic.
• Données bancaires (synchronisation optionnelle) : voir section 11.

Après la fin de la durée légale de conservation, les données sont définitivement supprimées de nos serveurs et de nos sauvegardes.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : demander la suppression de vos données
• Droit à la portabilité : récupérer vos données dans un format structuré
• Droit d'opposition : vous opposer au traitement de vos données
• Droit de limitation : restreindre le traitement de vos données

Pour exercer ces droits, contactez-nous à : support@nexap.fr

8. Cookies

Nexapp utilise des cookies techniques strictement nécessaires au fonctionnement de l'application (session d'authentification, préférences d'affichage). Aucun cookie publicitaire ou de suivi tiers n'est utilisé.

9. Sécurité et sauvegarde des données

Mesures de sécurité : nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement des communications via HTTPS/TLS 1.3
• Chiffrement au repos des données dans la base PostgreSQL Supabase (AES-256)
• Authentification par mot de passe haché (bcrypt) ou OAuth Google
• Contrôle d'accès strict par Row Level Security (RLS) : chaque utilisateur ne peut accéder qu'à ses propres données, l'isolation est garantie au niveau de la base de données
• Journalisation des accès sensibles
• Mises à jour de sécurité régulières

Sauvegarde des données : Supabase effectue automatiquement des sauvegardes quotidiennes de l'ensemble de la base de données, conservées pendant 7 jours en glissant. Des sauvegardes ponctuelles (point-in-time recovery) permettent une restauration à n'importe quel instant des dernières 24 heures. Les fichiers (logos, photos de chantier, PDF générés) sont stockés sur Supabase Storage avec réplication automatique.

Portabilité : vous pouvez exporter à tout moment l'intégralité de vos données depuis l'application (export CSV des clients, du catalogue, des devis et factures ; téléchargement individuel des PDF). Un export FEC (Fichier des Écritures Comptables) conforme à l'arrêté du 29 juillet 2013 est également proposé pour transmission à votre comptable.

Notification de violation : en cas de violation de données présentant un risque pour vos droits, vous serez notifié dans les 72 heures conformément à l'article 34 du RGPD.

10. Assistant vocal Nexapp (enregistrement et transcription audio)

Nexapp intègre un assistant vocal optionnel qui permet de dicter le contenu d'un devis ou d'une facture. Cette section décrit précisément le traitement des données vocales.

Activation : l'assistant vocal n'est utilisé que lorsque vous tapez délibérément sur l'orb microphone affiché dans l'interface. Le navigateur vous demande alors l'autorisation explicite d'accéder au micro de votre appareil. Vous pouvez révoquer cette autorisation à tout moment depuis les paramètres de votre navigateur.

Données traitées :

• Flux audio temporaire : votre voix est captée par le micro de votre appareil pendant la durée d'enregistrement, transmise de façon chiffrée (HTTPS/TLS 1.3) à nos serveurs, puis transférée à OpenAI pour transcription.
• Texte transcrit : résultat textuel de votre dictée, structuré en lignes de devis (intitulé, quantité, prix, TVA, lot).

Sous-traitant : la transcription audio est opérée par OpenAI, L.L.C. via les API Whisper (transcription) et GPT-4o (structuration), agissant en qualité de sous-traitant au sens de l'article 28 du RGPD. OpenAI est lié à Nexap par un Data Processing Addendum (DPA) prévoyant des clauses contractuelles types adoptées par la Commission européenne pour encadrer le transfert de données vers les États-Unis.

Engagements OpenAI sur les données API : conformément aux conditions API d'OpenAI, les données envoyées via les API ne sont pas utilisées pour entraîner ou améliorer les modèles d'OpenAI. OpenAI conserve les requêtes API pendant un maximum de 30 jours à des fins de surveillance des abus, puis les supprime. Aucune donnée n'est partagée avec des tiers.

Conservation par Nexapp :

• Audio : aucun fichier audio n'est conservé sur les serveurs Nexap, ni sur Supabase, ni dans vos sauvegardes. Le flux est traité en mémoire vive puis supprimé immédiatement après la transcription.
• Texte transcrit : intégré aux lignes du devis ou de la facture concerné. Il est conservé selon les durées indiquées en section 6 (5 ans pour les devis, 10 ans pour les factures).

Finalité : structurer votre dictée vocale en lignes de devis ou de facture (intitulé de la prestation, quantité, prix unitaire, taux de TVA, lot d'appartenance) afin de vous éviter une saisie manuelle.

Base légale : exécution du contrat de service Nexapp (article 6.1.b du RGPD). L'utilisation de la fonctionnalité est facultative : vous pouvez créer 100 % de vos devis et factures à la main sans recourir à l'assistant vocal.

Désactivation : vous pouvez désactiver l'accès au micro à tout moment depuis les paramètres de votre navigateur. Vous pouvez également ne jamais ouvrir l'assistant vocal — le service Nexapp reste pleinement utilisable sans cette fonctionnalité.

Personnes mineures et tiers : n'utilisez pas l'assistant vocal en présence de tiers dont vous n'avez pas le consentement à la captation audio. Vous êtes responsable du contenu que vous dictez. Ne dictez jamais d'informations sensibles (données médicales, opinions politiques, infractions, données de paiement complètes).

Confidentialité du contenu dicté : votre dictée peut contenir des informations sur vos clients (nom, adresse, montants). Ces informations sont protégées par les mêmes mesures de sécurité que le reste de l'application. OpenAI traite ces données dans le strict respect de son DPA et ne peut en aucun cas les utiliser à des fins commerciales ou les transmettre à des tiers.

11. Facturation électronique (Factur-X) et obligations de conservation fiscale

Contexte légal : la France impose progressivement la facturation électronique structurée pour les transactions entre professionnels (B2B), conformément à l'article 153 de la loi de finances pour 2020 et à ses décrets d'application. Nexapp génère ses factures au format Factur-X, norme franco-allemande conforme à la norme européenne EN 16931.

Données structurées générées :

• Identification du vendeur (vous) : nom, SIRET, adresse, numéro de TVA intracommunautaire
• Identification de l'acheteur (votre client) : nom, adresse, SIRET le cas échéant
• Lignes de facturation : description, quantité, unité, prix unitaire HT, taux et montant de TVA
• Totaux HT, TVA ventilée par taux, TTC, acompte déduit, net à payer
• Numéro séquentiel et chronologique conforme à l'article 242 nonies A de l'annexe II au Code général des impôts
• Date d'émission, date de livraison ou d'exécution, date d'échéance
• Mentions légales obligatoires (article L441-9 du Code de commerce)

Format technique : les factures sont générées au format PDF/A-3 avec un fichier XML CII (Cross Industry Invoice) embarqué, garantissant la lisibilité humaine et la lecture automatique par les systèmes comptables et le futur Portail Public de Facturation (PPF).

Valeur probante et archivage : les factures Factur-X générées par Nexapp ont valeur probante au sens de l'article 289 VII du Code général des impôts. Nexap les archive dans leur format original pendant 10 ans, en garantissant leur intégrité (non-modification après émission), leur lisibilité et leur authenticité (lien avec votre identité).

Numérotation séquentielle : Nexapp génère pour chaque type de document une numérotation séquentielle continue (DEV-AAAA-XXX pour les devis, FAC-AAAA-XXX pour les factures, ACO-AAAA-XXX pour les acomptes, SIT-AAAA-XXX-N pour les situations, CLO-AAAA-XXX pour les clôtures de marché). Cette numérotation respecte les obligations fiscales d'unicité et de chronologie.

Mentions légales automatiques : Nexapp insère automatiquement dans chaque facture les mentions obligatoires (raison sociale, SIRET, numéro de TVA intracommunautaire, conditions de paiement, taux de pénalité de retard, indemnité forfaitaire de recouvrement de 40 €, mention "TVA non applicable, art. 293 B du CGI" pour les bénéficiaires de la franchise en base, mention de l'assurance décennale et RGE le cas échéant).

Responsabilité : Nexap fournit les outils techniques garantissant la conformité technique du format Factur-X. L'utilisateur reste seul responsable de l'exactitude des informations qu'il saisit (montant, TVA applicable, mention de garantie décennale, etc.) et de leur conformité juridique au regard de son activité.

12. Synchronisation bancaire (fonctionnalité optionnelle)

Nexapp propose une fonctionnalité optionnelle de synchronisation bancaire permettant de détecter automatiquement les paiements reçus sur votre compte bancaire professionnel et de mettre à jour le statut de vos factures en conséquence.

Prestataire tiers : ce service est opéré par Salt Edge Limited, société agréée en tant que prestataire de services d'information sur les comptes (AISP — Account Information Service Provider) au titre de la directive européenne sur les services de paiement (DSP2/PSD2). Salt Edge intervient en qualité de sous-traitant au sens de l'article 28 du RGPD.

Données traitées :

• Transactions bancaires : date, montant, libellé, contrepartie, IBAN émetteur (quand disponible)
• Solde du compte connecté
• Nom et numéro IBAN du compte

Aucun identifiant bancaire (login, mot de passe) n'est collecté, stocké ou accessible par Nexapp ni par Salt Edge. L'authentification s'effectue directement entre vous et votre banque via le mécanisme d'authentification forte (SCA) imposé par la DSP2.

Finalité : rapprochement automatique entre les factures émises par l'utilisateur et les transactions créditrices détectées sur son compte bancaire, afin de basculer automatiquement le statut des factures en « réglée » et d'arrêter les relances programmées.

Base légale : consentement explicite de l'utilisateur au sens de l'article 6.1.a du RGPD, matérialisé par une case à cocher dédiée avant la connexion bancaire, et par un consentement séparé validé sur le site de votre banque. Ce consentement est révocable à tout moment depuis les paramètres Nexapp.

Durée de conservation : les données de transactions sont conservées pendant la durée active de votre abonnement Nexapp, augmentée de la durée légale de conservation comptable (10 ans, article L123-22 du Code de commerce). Le consentement DSP2 auprès de Salt Edge est limité à 90 jours glissants et doit être renouvelé périodiquement.

Destinataires : Nexap (responsable de traitement) et Salt Edge Limited (sous-traitant AISP). Aucune donnée bancaire n'est transmise à des tiers à des fins commerciales, publicitaires, de scoring ou de revente.

Transferts hors UE : Salt Edge Limited ayant son siège au Royaume-Uni, pays reconnu comme offrant un niveau de protection adéquat par décision d'adéquation de la Commission européenne, les données peuvent transiter vers le Royaume-Uni dans le cadre de cette décision. Aucun autre transfert hors UE n'est effectué.

Sécurité : chiffrement TLS 1.3 des communications entre Nexapp et Salt Edge, chiffrement au repos des données bancaires dans la base Supabase (PostgreSQL), contrôle d'accès par Row Level Security, journalisation des accès.

Révocation : vous pouvez à tout moment révoquer votre consentement à la synchronisation bancaire depuis les paramètres Nexapp. La révocation entraîne la suppression immédiate de la connexion Salt Edge et l'arrêt de la collecte de nouvelles transactions. Les transactions déjà collectées sont conservées conformément à la durée de conservation indiquée ci-dessus.

13. Délégué à la protection des données

Nexap n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD car son activité ne rentre pas dans les critères obligatoires. Nexap s'engage néanmoins à traiter toute demande RGPD dans un délai maximum d'un mois conformément à l'article 12 du RGPD. Vous pouvez également introduire une réclamation auprès de la CNIL.

14. Modifications

Nous nous réservons le droit de modifier cette politique de confidentialité, notamment pour refléter l'évolution de la réglementation (facturation électronique, RGPD) ou de nos sous-traitants. Toute modification sera publiée sur cette page avec une date de mise à jour actualisée. Les modifications substantielles vous seront notifiées par e-mail.

15. Contact

Pour toute question relative à cette politique de confidentialité :

Nexap
E-mail : support@nexap.fr
Site : https://nexapp.nexap.fr