Politique de
confidentialité

Dernière mise à jour : 10 mars 2026

Préambule

La présente Politique de confidentialité et de protection des données à caractère personnel (ci-après « la Politique ») a pour objet d'informer les utilisateurs du site numerin.com et de la plateforme Numerin (ci-après « la Plateforme ») des modalités de collecte, de traitement et de protection de leurs données à caractère personnel.

Elle est établie conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD »), notamment ses articles 12 à 14 relatifs à l'obligation d'information, ainsi qu'à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après « loi Informatique et Libertés »), la directive 2002/58/CE du 12 juillet 2002 (directive ePrivacy) et la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN).

La présente Politique s'inscrit dans une démarche de privacy by design et de privacy by default conformément à l'article 25 du RGPD. Elle s'applique à l'ensemble des traitements de données à caractère personnel réalisés dans le cadre de l'utilisation de la Plateforme.

Article 1 - Responsable du traitement

Le responsable du traitement des données à caractère personnel, au sens de l'article 4.7 du RGPD, est :

Raison socialeROSEBERY CONSULTING
Nom commercialNumerin
Forme juridiqueSociété par actions simplifiée unipersonnelle (SASU)
Capital social1 000,00 €
SIREN934 656 596
RCSParis
Siège social34 rue Laugier, 75017 Paris, France
Email généralcontact@numerin.com
Délégué à la protection des données (DPO)dpo@numerin.com

Le Délégué à la Protection des Données peut être contacté pour toute question relative au traitement des données personnelles ou pour l'exercice des droits décrits à l'article 8 de la présente Politique, à l'adresse électronique dpo@numerin.com ou par courrier postal à l'adresse du siège social mentionnée ci-dessus, à l'attention du Délégué à la Protection des Données.

Article 2 - Données collectées

Dans le cadre de l'utilisation de la Plateforme, ROSEBERY CONSULTING collecte et traite les catégories de données à caractère personnel suivantes, selon le principe de minimisation des données (article 5.1.c du RGPD) :

2.1 - Données d'identification

  • Nom et prénom
  • Adresse de courrier électronique
  • Numéro de téléphone (le cas échéant)

2.2 - Données professionnelles

  • Raison sociale et dénomination commerciale
  • Numéros SIREN et SIRET
  • Adresse du siège social
  • Forme juridique
  • Code APE / NAF
  • Numéro de TVA intracommunautaire

2.3 - Données comptables et financières

  • Factures émises et reçues, devis et avoirs
  • Écritures comptables et journaux
  • Relevés bancaires synchronisés via API d'agrégation bancaire (soldes, transactions)
  • Justificatifs et pièces comptables téléversés

2.4 - Données de connexion et techniques

  • Adresse IP
  • User agent (type de navigateur, système d'exploitation)
  • Logs d'accès et d'utilisation
  • Horodatage des connexions et actions

2.5 - Données de paiement

Les données de paiement (numéro de carte bancaire, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement Stripe, Inc., certifié PCI-DSS niveau 1. Ces données ne sont jamais stockées sur les serveurs de ROSEBERY CONSULTING. Seul un identifiant de transaction est conservé pour les besoins de la facturation.

Conformément à l'article 9 du RGPD, ROSEBERY CONSULTING ne collecte aucune donnée sensible (origines raciales ou ethniques, opinions politiques, convictions religieuses, données biométriques, données de santé, orientation sexuelle). Si de telles données devaient figurer incidemment dans des documents téléversés par l'Utilisateur, elles ne font l'objet d'aucun traitement spécifique.

Article 3 - Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement de données à caractère personnel repose sur une base légale déterminée :

3.1 - Exécution du contrat (article 6.1.b du RGPD)

  • Fourniture et gestion du service Numerin (création de compte, accès aux fonctionnalités)
  • Gestion des comptes utilisateurs et authentification
  • Facturation et gestion des abonnements
  • Synchronisation bancaire et traitement des données comptables
  • Support client et traitement des demandes d'assistance

3.2 - Obligation légale (article 6.1.c du RGPD)

  • Conservation des données comptables pendant dix (10) ans (article L.123-22 du Code de commerce)
  • Conservation des données fiscales pendant six (6) ans (article L.102 B du Livre des procédures fiscales)
  • Conservation des données de connexion pendant un (1) an (article 6-II de la LCEN)
  • Lutte contre le blanchiment et le financement du terrorisme
  • Réponse aux réquisitions judiciaires et administratives

3.3 - Intérêt légitime (article 6.1.f du RGPD)

  • Amélioration et optimisation de la Plateforme (analyse d'usage anonymisée)
  • Sécurisation de la Plateforme et prévention de la fraude
  • Détection et résolution des anomalies techniques
  • Gestion des contentieux et recouvrement des créances

L'intérêt légitime poursuivi a été mis en balance avec les droits et libertés des personnes concernées. Les Utilisateurs peuvent s'opposer aux traitements fondés sur l'intérêt légitime dans les conditions prévues à l'article 8 de la présente Politique.

3.4 - Consentement (article 6.1.a du RGPD)

  • Dépôt de cookies analytiques et de mesure d'audience
  • Envoi de communications commerciales et de newsletters (avec mécanisme d'opt-out à tout moment)

Le consentement peut être retiré à tout moment, conformément à l'article 7.3 du RGPD, sans que cela ne compromette la licéité du traitement fondé sur le consentement donné avant son retrait.

Article 4 - Finalités du traitement

Les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 5.1.b du RGPD) :

  • Fourniture du service : création et gestion des comptes utilisateurs, accès aux fonctionnalités de comptabilité, de facturation, de rapprochement bancaire et de déclaration de TVA
  • Gestion commerciale : gestion des abonnements, émission et suivi des factures, traitement des paiements
  • Support et relation client : traitement des demandes d'assistance, gestion des réclamations, communication relative au service
  • Amélioration du service : mesure d'audience anonymisée, analyse statistique des usages, développement de nouvelles fonctionnalités
  • Sécurité : détection et prévention des activités frauduleuses, protection contre les accès non autorisés, gestion des incidents de sécurité
  • Obligations légales et réglementaires : respect des obligations comptables, fiscales et réglementaires, réponse aux réquisitions des autorités compétentes
  • Prospection commerciale : envoi de communications marketing et de newsletters, sous réserve du consentement préalable de l'Utilisateur

Article 5 - Destinataires des données

Les données à caractère personnel collectées sont susceptibles d'être communiquées aux catégories de destinataires suivantes, dans la stricte limite de ce qui est nécessaire à l'accomplissement des finalités décrites à l'article 4 :

5.1 - Personnel habilité

Les données sont accessibles au personnel dûment habilité de ROSEBERY CONSULTING, dans la limite de leurs attributions respectives (principe du moindre privilège).

5.2 - Sous-traitants techniques

ROSEBERY CONSULTING fait appel à des sous-traitants techniques, liés par des clauses contractuelles conformes à l'article 28 du RGPD, garantissant un niveau de protection adéquat des données :

Hébergement applicatifVercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis)
Base de donnéesServeurs situés au sein de l'Union européenne
Paiement en ligneStripe, Inc. (510 Townsend Street, San Francisco, CA 94103, États-Unis) - certifié PCI-DSS niveau 1
Agrégation bancaireFournisseur d'agrégation bancaire agréé, conforme à la directive DSP2

Chaque sous-traitant est contractuellement tenu de traiter les données uniquement sur instruction documentée de ROSEBERY CONSULTING, de garantir la confidentialité des données, de mettre en œuvre les mesures de sécurité appropriées (article 32 du RGPD) et de supprimer ou restituer les données au terme de la prestation.

5.3 - Autorités compétentes

Les données peuvent être communiquées, sur réquisition légale, aux autorités administratives ou judiciaires habilitées, notamment :

  • L'administration fiscale (Direction générale des finances publiques)
  • La Commission Nationale de l'Informatique et des Libertés (CNIL)
  • Les autorités judiciaires (tribunaux, parquet, officiers de police judiciaire)

Article 6 - Transferts internationaux de données

Les données applicatives (base de données, fichiers, sauvegardes) sont hébergées sur des serveurs situés au sein de l'Union européenne.

Certains sous-traitants techniques étant établis aux États-Unis, des transferts de données en dehors de l'Espace Économique Européen (EEE) sont susceptibles d'intervenir. Ces transferts sont encadrés conformément aux articles 44 à 49 du RGPD par les mécanismes suivants :

Vercel Inc.EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) et clauses contractuelles types adoptées par la Commission européenne (article 46.2.c du RGPD)
Stripe, Inc.EU-US Data Privacy Framework (certifié) et clauses contractuelles types adoptées par la Commission européenne (article 46.2.c du RGPD)

ROSEBERY CONSULTING s'assure, pour chaque transfert, que le destinataire offre des garanties adéquates de protection des données conformément aux exigences du RGPD. Une copie des clauses contractuelles types peut être obtenue sur demande auprès du DPO.

Article 7 - Durée de conservation

Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les durées de conservation appliquées sont les suivantes :

Données de compte utilisateurDurée du contrat + 3 ans après la clôture du compte (prescription civile de droit commun - article 2224 du Code civil)
Données comptables10 ans à compter de la clôture de l'exercice (article L.123-22 du Code de commerce)
Données fiscales6 ans à compter de la dernière opération (article L.102 B du Livre des procédures fiscales)
Données de paiement (identifiant de transaction)13 mois à compter de la transaction (délai de contestation) puis archivage intermédiaire 15 mois supplémentaires
Logs de connexion1 an (article 6-II de la loi n° 2004-575 du 21 juin 2004 - LCEN)
Données de prospection commerciale3 ans à compter du dernier contact actif (recommandation CNIL)

À l'issue de ces délais, les données sont supprimées de manière sécurisée et irréversible, ou font l'objet d'une anonymisation rendant impossible toute réidentification de la personne concernée. Les données soumises à une obligation légale de conservation font l'objet d'un archivage intermédiaire à accès restreint, distinct de la base de données active.

Article 8 - Droits des personnes concernées

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données à caractère personnel :

8.1 - Droit d'accès (article 15 du RGPD)

Vous avez le droit d'obtenir la confirmation que vos données sont ou ne sont pas traitées et, lorsqu'elles le sont, d'accéder auxdites données et aux informations prévues à l'article 15 du RGPD (finalités, catégories de données, destinataires, durée de conservation, droits).

8.2 - Droit de rectification (article 16 du RGPD)

Vous pouvez obtenir la rectification de données inexactes ou le complément de données incomplètes vous concernant.

8.3 - Droit à l'effacement (article 17 du RGPD)

Vous pouvez demander l'effacement de vos données lorsque l'un des motifs prévus à l'article 17 du RGPD s'applique. Ce droit ne s'exerce pas lorsque le traitement est nécessaire au respect d'une obligation légale (notamment les obligations comptables et fiscales), à l'exercice ou à la défense de droits en justice, ou pour des motifs d'intérêt public.

8.4 - Droit à la limitation du traitement (article 18 du RGPD)

Vous pouvez demander la limitation du traitement de vos données dans les cas prévus à l'article 18 du RGPD, notamment en cas de contestation de l'exactitude des données ou lorsque vous vous êtes opposé(e) au traitement.

8.5 - Droit à la portabilité (article 20 du RGPD)

Vous avez le droit de recevoir les données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement, lorsque le traitement est fondé sur le consentement ou sur l'exécution d'un contrat et qu'il est effectué à l'aide de procédés automatisés.

8.6 - Droit d'opposition (article 21 du RGPD)

Vous pouvez vous opposer à tout moment, pour des motifs tenant à votre situation particulière, au traitement de vos données fondé sur l'intérêt légitime. En matière de prospection commerciale, vous pouvez vous opposer à tout moment et sans motif.

8.7 - Droit de retrait du consentement (article 7.3 du RGPD)

Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

8.8 - Droit de définir des directives post-mortem

Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès. Ces directives peuvent être générales (enregistrées auprès d'un tiers de confiance numérique certifié) ou particulières (communiquées à ROSEBERY CONSULTING).

8.9 - Modalités d'exercice

Pour exercer l'un de ces droits, vous pouvez adresser votre demande :

  • Par courrier électronique : dpo@numerin.com
  • Par courrier postal : ROSEBERY CONSULTING - À l'attention du DPO - 34 rue Laugier, 75017 Paris

Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur. ROSEBERY CONSULTING s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande. Ce délai peut être prolongé de deux (2) mois supplémentaires, eu égard à la complexité et au nombre de demandes, conformément à l'article 12.3 du RGPD. L'Utilisateur en sera informé dans le délai initial d'un mois.

8.10 - Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données constitue une violation du RGPD ou de la loi Informatique et Libertés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

AutoritéCommission Nationale de l'Informatique et des Libertés (CNIL)
Adresse3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site webwww.cnil.fr

Article 9 - Cookies et traceurs

Conformément à l'article 82 de la loi Informatique et Libertés (transposant la directive ePrivacy 2002/58/CE), ROSEBERY CONSULTING utilise des cookies et traceurs dans les conditions suivantes :

9.1 - Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement de la Plateforme et ne nécessitent pas le recueil du consentement préalable de l'Utilisateur (article 82, alinéa 2 de la loi Informatique et Libertés). Ils comprennent :

  • Cookie d'authentification et de session utilisateur
  • Cookie de sécurité CSRF (Cross-Site Request Forgery)
  • Cookie de préférences techniques (langue, thème)

9.2 - Cookies analytiques

Des cookies de mesure d'audience peuvent être déposés, sous réserve du recueil préalable de votre consentement, afin de réaliser des statistiques anonymisées de fréquentation et d'usage de la Plateforme. Vous pouvez retirer votre consentement à tout moment.

9.3 - Absence de cookies publicitaires

La Plateforme n'utilise aucun cookie publicitaire, de profilage ou de ciblage comportemental.

9.4 - Durée de vie des cookies

Conformément aux recommandations de la CNIL, la durée de vie des cookies ne dépasse pas treize (13) mois à compter de leur premier dépôt sur le terminal de l'Utilisateur. Le consentement de l'Utilisateur est renouvelé à l'expiration de ce délai.

9.5 - Paramétrage du navigateur

Vous pouvez à tout moment configurer votre navigateur pour accepter ou refuser les cookies. Le refus des cookies strictement nécessaires est susceptible d'altérer le fonctionnement de la Plateforme. Pour plus d'informations sur la gestion des cookies, consultez la documentation de votre navigateur.

Article 10 - Sécurité des données

Conformément à l'article 32 du RGPD, ROSEBERY CONSULTING met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, eu égard à l'état des connaissances, aux coûts de mise en œuvre, à la nature, à la portée, au contexte et aux finalités du traitement :

10.1 - Mesures techniques

  • Chiffrement au repos : AES-256 pour l'ensemble des données stockées
  • Chiffrement en transit : protocole TLS 1.3 pour toutes les communications réseau
  • Hachage des mots de passe : algorithme bcrypt avec salt unique par utilisateur
  • Contrôle d'accès : modèle RBAC (Role-Based Access Control) avec principe du moindre privilège
  • Sauvegardes : sauvegardes quotidiennes chiffrées et géo-répliquées
  • Tests de sécurité : audits réguliers, tests de pénétration et revue de code

10.2 - Mesures organisationnelles

  • Sensibilisation du personnel aux enjeux de protection des données
  • Procédures internes de gestion des habilitations
  • Journalisation et surveillance des accès aux données
  • Politique de gestion des incidents de sécurité

10.3 - Notification des violations de données

En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, ROSEBERY CONSULTING s'engage à :

  • Notifier la violation à la CNIL dans un délai de 72 heures après en avoir eu connaissance, conformément à l'article 33 du RGPD, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées
  • Communiquer la violation aux personnes concernées dans les meilleurs délais lorsqu'elle est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD
  • Documenter toute violation dans un registre interne conforme à l'article 33.5 du RGPD

Article 11 - Modification de la Politique

ROSEBERY CONSULTING se réserve le droit de modifier la présente Politique à tout moment, afin de l'adapter aux évolutions législatives et réglementaires, aux recommandations de la CNIL, aux évolutions techniques de la Plateforme ou à tout changement dans les pratiques de traitement des données.

Les Utilisateurs disposant d'un compte seront informés de toute modification substantielle par notification dans leur espace personnel ou par courrier électronique, au moins trente (30) jours avant l'entrée en vigueur de la nouvelle version.

La version en vigueur de la Politique est celle accessible sur la Plateforme. La date de dernière mise à jour est indiquée en haut de la présente page. Il est recommandé de consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.

Article 12 - Contact

Pour toute question relative à la présente Politique de confidentialité, au traitement de vos données personnelles ou à l'exercice de vos droits, vous pouvez contacter le Délégué à la Protection des Données :

Email DPOdpo@numerin.com
Email généralcontact@numerin.com
Adresse postaleROSEBERY CONSULTING - À l'attention du DPO - 34 rue Laugier, 75017 Paris, France

En cas de réclamation, vous pouvez également saisir l'autorité de contrôle compétente :

CNILCommission Nationale de l'Informatique et des Libertés
Adresse3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site webwww.cnil.fr

Pour consulter les autres documents légaux de la Plateforme : Mentions légales, Conditions générales d'utilisation, Conditions générales de vente.