Politique de confidentialité
Applicable au site facturxapi.com et à l'API api.facturxapi.com. Dernière mise à jour : 22 avril 2026.
Responsable du traitement
EUPHYRA (EURL), 514 Avenue du Colonel Fabien, 77190 Dammarie-les-Lys, France.
Contact : contact@facturxapi.com.
Catégories de données collectées
- Email — fourni volontairement lors de la création d'une clé API, de l'inscription à la newsletter, du formulaire de contact, ou pour recevoir un résumé de scan.
- Contenu des fichiers soumis à validation — PDF ou XML envoyés à l'API. Traités en mémoire ; non conservés sauf cas explicite décrit ci-dessous (debug consent).
- Métadonnées techniques de scan — verdict, codes erreur Schematron, type d'input et champs métier manquants. Conservées de manière agrégée pour observabilité produit ; si vous demandez le résumé par email, un rapport temporaire sans PDF, XML, email, nom de fichier ni contenu de facture peut être conservé jusqu'à 14 jours pour ouvrir le lien reçu.
- Données de paiement — gérées exclusivement par Stripe. Aucune donnée de carte ne transite ni n'est stockée par facturxapi.com.
- Mesure d'audience anonyme — Plausible Analytics (sans cookie, sans identifiant personnel).
Finalités et bases légales
- Fourniture du service de validation/conversion Factur-X — exécution du contrat (art. 6.1.b RGPD).
- Envoi et consultation du résumé de scan demandé — consentement (art. 6.1.a), avec rapport temporaire limité aux métadonnées utiles au diagnostic.
- Newsletter et communications produit — consentement (art. 6.1.a). Désinscription en un clic.
- Mesure d'audience anonyme via Plausible — intérêt légitime (art. 6.1.f), pas de cookie, pas d'identifiant personnel.
- Gestion des paiements Stripe — exécution du contrat + obligations légales.
- Conservation temporaire 72 h des fichiers en cas d'échec de conversion — consentement explicite et opt-in (art. 6.1.a).
Sous-traitants
Les sous-traitants suivants traitent des données pour notre compte. La liste reflète l'état actuel de la production ; toute évolution sera publiée sur cette page.
| Sous-traitant | Finalité | Pays | Hors UE ? |
|---|---|---|---|
| Cloudflare, Inc. — DPA | Hébergement web (Pages), CDN, KV pour rate limiting et compteurs | États-Unis | Oui |
| Sendinblue SAS (Brevo) — DPA | Email transactionnel, gestion de la liste de contacts (newsletter, leads scan, demandes commerciales) | France | Non |
| Plausible Insights OÜ — DPA | Mesure d'audience anonyme (sans cookie) | Estonie | Non |
| Stripe Payments Europe Limited — DPA | Traitement des paiements (abonnements, packs de factures traitées) | Irlande (entité européenne) ; transferts vers Stripe, Inc. (États-Unis) possibles | Oui |
| Railway Corporation — DPA | Hébergement de l'API back-end (FastAPI, base éphémère) | États-Unis | Oui |
| Resend, Inc. — DPA | Email transactionnel API (magic link, alertes quota) | États-Unis | Oui |
| Sentry (Functional Software, Inc.) — DPA | Détection d'erreurs et observabilité côté API | États-Unis | Oui |
| Mistral AI — DPA | OCR de secours pour documents scannés (uniquement appelé en fallback) | France | Non |
| callas software gmbh | Génération PDF/A-3 (pdfToolbox) | Allemagne | Non |
Transferts hors Union européenne
Certains sous-traitants ci-dessus sont établis hors UE et peuvent traiter des données depuis ces pays :
- Cloudflare, Inc. — États-Unis.
- Stripe Payments Europe Limited — Irlande (entité européenne) ; transferts vers Stripe, Inc. (États-Unis) possibles.
- Railway Corporation — États-Unis.
- Resend, Inc. — États-Unis.
- Sentry (Functional Software, Inc.) — États-Unis.
Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne lorsque les sous-traitants concernés y adhèrent. Vous pouvez consulter les engagements de chaque sous-traitant via les liens DPA du tableau ci-dessus.
Conservation temporaire de fichiers en cas d'échec de conversion
Lorsque vous activez l'option « autoriser la conservation temporaire en cas d'échec de conversion » et que la conversion échoue, le fichier soumis est conservé 72 heures à des fins de diagnostic technique. Sans activation explicite, le fichier est supprimé immédiatement, qu'il y ait succès ou échec.
- Le fichier est conservé uniquement si l'option a été activée AVANT la requête ET que la conversion a échoué.
- En cas de succès, le fichier est supprimé immédiatement, même si l'option est cochée.
- Durée maximale de conservation : 72 heures, après quoi la suppression est automatique.
- Aucune donnée personnelle ou métier n'est extraite ni indexée à partir du fichier conservé.
- Vous pouvez demander la suppression anticipée en écrivant à contact@facturxapi.com.
Cookies et consentement
La gestion du consentement utilise Tarteaucitron (open-source, exécuté côté client, sans serveur tiers). Vos préférences sont stockées dans un cookie local navigateur uniquement, sans serveur tiers.
Aucun cookie publicitaire n'est déposé. Plausible Analytics fonctionne sans cookie. Un bandeau de consentement n'est affiché que si un service tiers nécessitant un accord préalable est effectivement activé.
Mesure d'audience sans consentement
Nous utilisons Plausible Analytics, dans une instance open-source auto-hébergée sur une infrastructure que nous contrôlons en Union européenne, pour mesurer l'audience du site. Cette mesure relève de l'exemption de consentement reconnue par la CNIL pour certains outils de mesure d'audience, car notre configuration respecte cumulativement les conditions suivantes :
- Aucun cookie ni identifiant persistant n'est déposé sur votre terminal.
- Les données exploitées sont agrégées et ne visent pas votre ré-identification.
- Aucune donnée n'est réutilisée pour le compte d'un tiers : l'instance est exploitée pour notre seul compte.
- Aucun suivi cross-site n'est réalisé : cette instance mesure uniquement l'activité liée à facturxapi.com.
Quelles données sont collectées ?
- Pages vues, provenance de la visite et durée de session, sous forme agrégée.
- Type de navigateur, système d'exploitation et résolution d'écran, sous forme agrégée.
- Pays de provenance dérivé de l'adresse IP, sans stockage de l'IP complète.
- Événements personnalisés liés au parcours produit (scanner utilisé, clics CTA, création de clé API, usage des outils), sans email, identifiant de compte, clé API, nom de fichier ni contenu de facture.
Durées de conservation
- Données d'audience conservées 25 mois maximum.
- Aucun traceur persistant n'étant déposé sur votre terminal, il n'y a rien à conserver côté navigateur pour cette mesure.
Vos droits
Même lorsqu'aucun consentement préalable n'est requis, vous pouvez activer le signal Global Privacy Control ou Do Not Track dans votre navigateur pour demander l'absence de mesure d'audience. Vous pouvez également demander la suppression d'éventuelles données d'audience nous concernant en écrivant à contact@facturxapi.com.
À ce jour, aucun autre outil tiers de mesure d'audience n'est actif sur le site. Si un service nécessitant un consentement préalable était activé à l'avenir, un bandeau de gestion des cookies réapparaîtrait automatiquement pour recueillir votre choix.
Signal Global Privacy Control (GPC)
Le site détecte le signal Global Privacy Control envoyé par votre navigateur. Si GPC est actif, tous les scripts d'analyse sont automatiquement bloqués, indépendamment de votre choix dans le bandeau de consentement.
Comment activer GPC dans votre navigateur
- Firefox : Paramètres → Vie privée → cocher "Indiquer aux sites web de ne pas me pister".
- Brave, DuckDuckGo Browser : GPC actif par défaut.
- Chrome / Edge : installer l'extension OptMeowt.
- Safari : extension compatible GPC requise.
Plus d'informations : globalprivacycontrol.org
Vos droits
Conformément au RGPD, vous disposez des droits d'accès, rectification, effacement, limitation, opposition et portabilité de vos données. Pour exercer un droit, écrivez à contact@facturxapi.com. Une réponse vous sera apportée dans le délai légal d'un mois (extensible à trois mois pour demandes complexes, avec information préalable).
Vous avez également le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).
Sécurité
Les flux entre votre navigateur et nos services sont chiffrés en TLS. Les API keys sont hashées en base. Les fichiers transmis à l'API sont traités en mémoire et supprimés immédiatement, sauf opt-in explicite décrit ci-dessus. Les secrets de production ne sont accessibles qu'au personnel autorisé.
Note de transparence : nous n'affirmons pas une localisation géographique stricte des données dans l'UE tant que les contrats correspondants (Cloudflare Regional Services, R2 jurisdiction EU, Brevo Data Residency) ne sont pas en place et vérifiables.