Version 1.4 – en vigueur le 3 mars 2026 · KontoCSV – https://kontocsv.de
Cet avis vous informe conformément à l'art. 12 à 14 RGPD et § 25 TDDDG sur le type, l'étendue et la finalité du traitement des données personnelles lors de l'utilisation de KontoCSV.
1 organisme responsable
Tom Abraham
Riemekestraße 118 · 33102 Paderborn · Allemagne
E-mail support@kontocsv.de
(Actuellement, moins de 20 personnes traitent régulièrement des données personnelles - conformément à l'article 38 BDSG, aucun délégué à la protection des données n'est tenu d'être nommé. Si vous avez des questions, veuillez contacter directement la personne responsable.)
2 définitions
Les définitions de l'article 4 DSGVO s'appliquent (par exemple « traitement », « données personnelles »).
3 Hébergement et infrastructure
| services | Emplacement | Objectif | Base juridique | Contrat / assurance |
|---|---|---|---|---|
| Google Cloud Run (Google Ireland Ltd.) | Région Europe-Ouest3 (Francfort-sur-le-Main) | Exploitation & livraison du site internet / API | Art. 6 al. 1f | Addendum sur le traitement des données dans le cloud (CDPA) incl. SCC, accepté le 10 · 06 · 2025 |
| Supabase (Supabase Inc.) | eu-central-1 (Francfort) | Authentification, base de données, stockage d'objets | Art. 6 al. 1 b | Contrat AV + SCC |
| Supabase | eu-west3 / eu-west1 (Supabase / Stockage) | Base de données en temps réel, stockage, authentification, notifications push | Art. 6 al. 1 b et art. 6 al. 1f | Supabase Conditions de traitement des données + SCC, acceptées le 10 · 06 · 2025 |
| Google Vertex AI / Gemini (Google Ireland Ltd.) | Région Europe-Ouest3 (Francfort-sur-le-Main) | Analyse basée sur l'IA de documents PDF | Art. 6 al. 1 b | Addendum sur le traitement des données dans le cloud (CDPA) incl. SCC |
| Render (Render Inc.) | Francfort (FRA) | Fonctionnement du backend Python et traitement des documents | Art. 6 al. 1f | Accord de traitement des données (DPA) + SCC |
| Stripe (Stripe Paiements Europe Ltd.) | Irlande | Traitement des paiements | Art. 6 al. 1 b | Un service responsable |
| Vercel Inc. | Francfort, eu-central-1 / fra1 | Hébergement frontend, CDN, fonctions sans serveur | Art. 6 al. 1f | DPA + SCC + EU-US DPF |
| Resend Inc. | Irlande (eu-west-1) | E-mails transactionnels (inscription, réinitialisation du mot de passe) | Art. 6 al. 1 b | DPA + SCC |
| PostHog Inc. | UE (Francfort, AWS eu-central-1) | Analyse Web, pages vues, clics | Art. 6 al. 1f | DPA + SCC |
| Sentry (Logiciel fonctionnel Inc.) | UE (Francfort) | Journalisation des erreurs et analyse de la stabilité technique de la plateforme | Art. 6 al. 1 f DSGVO | Accord de traitement des données (DPA) + Clauses contractuelles types (SCC) |
L'analyse Web est sans cookies, sans cookies ni stockage local (PostHog cookieless_mode). Aucun cookie d'analyse n'est défini, aucune bannière de consentement n'est requise.
4 Finalités du traitement et bases juridiques
| Traitement | Données | Objectif | Base juridique |
|---|---|---|---|
| Accéder au site Web | Adresse IP, agent utilisateur, heure, référent | Journaux de déploiement technique et de sécurité | Art. 6 al. 1f |
| Inscription/Connexion | E-mail, hachage de mot de passe, jeton de session | Exécution du contrat | Art. 6 al. 1 b |
| PDF téléchargement et analyse IA | Contenu PDF, métadonnées | Conversion en CSV | Art. 6 al. 1 b |
| Paiement | Nom, email, détails de la carte | Exécution du contrat | Art. 6 al. 1 b |
| Synchronisation / Authentification en temps réel (Supabase) | Jeton d'appareil, ID d'application, données d'événement | Statut en direct et notifications push | Art. 6 al. 1f |
| Contact d'assistance | Courriel, message | Traitement de votre demande | Art. 6 al. 1f |
| Analyse Web (PostHog, sans cookie) | Hachage d'utilisateur anonymisé, pages vues, clics | Amélioration du produit et optimisation des conversions | Art. 6 al. 1f |
| Journaux d'erreurs (Sentry) | données d'erreur technique, type de navigateur, IP anonymisée | Stabilité, analyse des erreurs et amélioration technique de la plateforme | Art. 6 al. 1 f DSGVO |
| Cookies/Stockage local | Jetons de session et CSRF | Persistance de connexion | § 25, paragraphe 2, n° 2 TDDDG i. V. avec l'art. 6 al. 1f |
Sentry est utilisé exclusivement pour l'analyse des erreurs techniques. Les données personnelles ne sont pas activement transmises.
La surveillance des erreurs ne sauvegarde pas le contenu des documents téléchargés. Les données financières, le contenu PDF et les données de transaction ne sont jamais transmises aux services de surveillance des erreurs. Seules les métadonnées d’erreurs techniques sont traitées.
Aucun cookie d'analyse ou de marketing n'est défini. L'analyse Web est sans cookie (PostHog cookieless_mode) sans cookies ni stockage local ; une bannière de consentement n’est donc pas nécessaire.
5 Traitements assistés par l'IA et transferts vers des pays tiers
Les pages PDF téléchargées sont transmises cryptées aux services d'IA afin d'extraire automatiquement le texte et la structure du document.
- Google Gemini / Vertex AI (primaire) : Traitement dans la région europe-ouest3 (Francfort-sur-le-Main) au sein de l'infrastructure Google Cloud. La base est l'Google Cloud Addendum sur le traitement des données (CDPA) comprenant les clauses contractuelles types (SCC).
- OpenAI (repli facultatif) : n'est utilisé que dans des cas techniques exceptionnels ; Traitement en Irlande/USA avec DPA 07 · 06 · 2025 incl. SCC & EU-US DPF.
Ce qui suit s'applique à tous les services d'IA :
- Période de stockage : maximum. 30 jours (conservation de API).
- Formation : Les données API ne sont pas utilisées pour la formation du modèle.
- Décisions automatisées : aucune décision je. S.v. Article 22 DSGVO, extraction basée sur des règles uniquement.
Supabase est exploité dans les centres de données de l'UE. Le traitement est effectué de manière entièrement conforme à DSGVO avec des mesures techniques supplémentaires (TLS 1.3, contrôle d'accès).
6 périodes de stockage
| Type de données | Suppression/conservation |
|---|---|
| Journaux du serveur | 30 jours |
| PDF fichiers et résultats intermédiaires | suppression matérielle automatique ≤ 7 jours |
| Données de contrat et de facturation | 10 ans (HGB, AO) |
| E-mails d'assistance | ≤ 1 an après l'obtention du diplôme |
| Jetons de session | Suppression lors de la suppression du compte ou de la désinscription |
7 Mesures techniques et organisationnelles (TOM)
•TLS 1.3 De bout en bout · AES-256 au repos
•Cryptage CMEK facultatif dans Cloud Run et Supabase
•Concept de rôles et de droits, MFA pour les comptes administrateur
•Traitement en mémoire + routine de suppression de 7 jours
•Tests de stylet et analyses de vulnérabilités au moins une fois par an
•Surveillance des sous-traitants (préavis de 15 jours)
8 Vos droits (Art. 15 – 22 DSGVO)
Vous pouvez à tout moment demander des informations, une rectification, une suppression, une restriction, la portabilité des données ou une objection.
Libre-service dans le tableau de bord :
- Exporter des données (Art. 20) : Sous Paramètres → « Exporter mes données », vous pouvez télécharger toutes vos données sous forme de fichier JSON.
- Supprimer le compte (article 17) : Vous pouvez supprimer irrévocablement votre compte et toutes les données associées sous Paramètres → « Supprimer le compte ».
Alternativement, vous pouvez nous joindre par email : support@kontocsv.de
Vous avez également le droit de déposer une plainte auprès d'une autorité de contrôle de la protection des données (par exemple BayLDA, Promenade 27, 91522 Ansbach).
9 Révocation du consentement
Vous pouvez à tout moment révoquer de manière informelle le traitement basé sur votre consentement. La licéité du traitement antérieur reste inchangée.
10 Obligation de fournir des données
L'e-mail, le mot de passe et les informations de paiement sont requis pour l'inscription, le téléchargement PDF et le paiement. Sans ces informations, il n'est pas possible d'utiliser les services payants.
11 Modifications apportées à cette déclaration
Nous mettrons à jour cette déclaration de protection des données dès que les procédures, les prestataires de services ou les situations juridiques changeront. Version actuelle : https://kontocsv.de/fr/confidentialite · Version 1.4 – valable à partir du 3 mars 2026.