Aller au contenu principal
STRATÈGE-BIZIAPPAccueil

Politique de confidentialité

Cette politique décrit quelles données BiziApp traite, pourquoi, sur quelle base légale, combien de temps, avec quels sous-traitants et comment elles sont protégées. Pour exercer vos droits (accès, suppression, portabilité…), consultez la page dédiée Vos droits RGPD.

Version 2.1 — dernière mise à jour : 8 juillet 2026.

1. Responsable du traitement

BiziApp (voir mentions légales) est responsable des traitements réalisés via le service, accessible aux adresses stratege-biziapp.fr et stratege-biziapp.web.app. Point de contact « données personnelles » (faisant fonction de DPO) : support@stratege-biziapp.fr.

2. Données traitées, finalités & bases légales

Nous appliquons le principe de minimisation : seules les données nécessaires à chaque finalité sont collectées.

DonnéesFinalitéBase légale (art. 6 RGPD)
Compte — email, nom, photo de profil (connexion Google), identifiant techniqueCréation, sécurisation et gestion du compteExécution du contrat (6.1.b)
Profil d'entreprise — nom du projet, SIREN (si vous le fournissez), ville, secteur, niche, budget, objectifs, site web, concurrentsProduction de votre analyse stratégique personnaliséeExécution du contrat (6.1.b)
Analyses sauvegardées — rapports générésEspace « Mes analyses », reprise à la prochaine connexionExécution du contrat (6.1.b)
Données CRM — prospects, contacts et opportunités que vous saisissezFonctionnalité CRM (formules BiziUPP et Premium)Exécution du contrat (6.1.b) — voir section 3 (sous-traitance)
Facturation — identifiant client Stripe, formule, statut d'abonnement, historique de factures (chez Stripe)Gestion de l'abonnement, facturation, comptabilitéContrat (6.1.b) et obligation légale (6.1.c — conservation comptable et fiscale)
Messages de contact — nom, email, messageRépondre à vos demandesMesures précontractuelles / intérêt légitime (6.1.b / 6.1.f)
Journaux techniques — adresse IP, horodatage, requêtesSécurité, anti-abus (limitation de débit), détection de fraudeIntérêt légitime (6.1.f)

Aucune décision produisant des effets juridiques à votre égard n'est prise de façon entièrement automatisée au sens de l'article 22 RGPD : les analyses sont des recommandations consultatives que vous restez libre de suivre ou non. Le service s'adresse aux professionnels et n'est pas destiné aux mineurs.

3. Données CRM : vous êtes responsable, nous sommes sous-traitant

Lorsque vous enregistrez dans le CRM des données concernant vos propres prospects et clients, vous en êtes le responsable de traitement au sens du RGPD, et BiziApp agit comme sous-traitant (art. 28 RGPD) : nous ne traitons ces données que sur votre instruction, pour héberger et afficher votre CRM. Nous ne les utilisons pour aucune autre finalité, ne les partageons avec personne, et elles sont supprimées avec votre compte (ou à tout moment via la purge CRM). Il vous appartient d'informer vos contacts et de disposer d'une base légale pour les enregistrer.

4. Durées de conservation

DonnéesDurée
Compte, analyses, CRMTant que le compte est actif ; suppression définitive à la fermeture du compte (libre-service ou sur demande)
Comptes inactifsSuppression après 24 mois d'inactivité, dans le cadre d'une revue périodique
Messages de contact12 mois après le dernier échange
Journaux techniques de sécurité12 mois maximum
Factures et pièces comptables10 ans (obligation légale, art. L.123-22 C. com.) — conservées même après suppression du compte

5. Cookies & stockage local

Conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL, nous n'utilisons que des traceurs strictement nécessaires, exemptés de consentement :

  • Session d'authentification (Firebase) — vous garder connecté · durée : la session.
  • Stockage local du navigateur — préférences d'affichage et brouillon de profil (nom du projet, activité) pour pré-remplir le formulaire · conservé sur votre appareil uniquement, jamais transmis à des tiers.

Aucun cookie publicitaire, aucun traceur tiers, aucune mesure d'audience commerciale, aucune revente de données.

6. Destinataires & sous-traitants

Vos données ne sont ni vendues ni louées. Elles ne sont accessibles qu'à l'éditeur et aux sous-traitants suivants, liés par des accords de protection des données (art. 28 RGPD) :

Sous-traitantRôleLocalisation
Google Cloud / Firebase (Google Ireland Ltd.)Hébergement, authentification, base de donnéesUE — europe-west1 (Belgique)
Stripe Payments EuropePaiement des abonnements, facturation. Les données de carte sont saisies directement chez Stripe — nous ne les voyons ni ne les stockons jamaisUE (Irlande) ; transferts encadrés vers Stripe Inc. (États-Unis) — voir section 7
Google (PageSpeed Insights ; API Gemini si l'assistant est activé)Audit technique de votre site web ; génération de réponses — seul le contenu strictement nécessaire est transmisUE / États-Unis — voir section 7
OVH SASNom de domaine et acheminement des e-mails adressés au support (support@stratege-biziapp.fr)France (UE)

Les APIs publiques interrogées pour enrichir les analyses (recherche-entreprises.api.gouv.fr, INSEE/SIRENE, Eurostat, Banque mondiale, data.gouv.fr, Wikipédia) ne reçoivent aucune donnée personnelle vous concernant autre que, le cas échéant, des identifiants d'entreprise publics (SIREN, dénomination) — qui peuvent constituer des données personnelles lorsqu'ils désignent un entrepreneur individuel. Les analyses peuvent par ailleurs traiter des données publiques relatives à des entreprises tierces (concurrents) issues de ces mêmes registres officiels ; elles ne sont ni enrichies d'autres sources ni utilisées à d'autres fins que la production de votre rapport (art. 14.5.b RGPD).

7. Transferts hors Union européenne

Vos données sont stockées dans l'UE (Google Cloud, Belgique). Certains sous-traitants (Stripe, Google) peuvent réaliser des traitements depuis les États-Unis ; ces transferts sont encadrés par le cadre de protection des données UE–États-Unis (Data Privacy Framework) auquel Google LLC et Stripe Inc. sont certifiés, complété par les clauses contractuelles types de la Commission européenne.

8. Sécurité

Mesures techniques et organisationnelles conformes à l'état de l'art :

  • Chiffrement en transit (TLS) et en-tête HSTS (HTTPS forcé) ; chiffrement au repos assuré par Google Cloud.
  • Base de données inaccessible directement : Firestore refuse tout accès client — les données ne sont lisibles que par notre backend, après vérification de votre jeton d'authentification.
  • Cloisonnement par utilisateur (token-gated) : chacun n'accède qu'à ses propres données.
  • Anti-abus : limitation de débit (rate-limiting), protection anti-DoS, limitation de taille des requêtes, assainissement des entrées, dispositif anti-robots (App Check) mobilisable.
  • En-têtes de sécurité : CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, isolation d'origine.
  • Secrets (clés d'API, paiement) stockés dans un coffre dédié (Google Secret Manager), jamais dans le code.
  • Authentification Firebase, politique de mot de passe renforcée, anti-énumération d'emails, journalisation des accès.

En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons la CNIL sous 72 heures et, si le risque est élevé, les personnes concernées (art. 33 et 34 RGPD).

9. Vos droits

Vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition, de limitation, du droit de retirer votre consentement et du droit de définir des directives post-mortem. La page Vos droits RGPD détaille, droit par droit, comment les exercer — la plupart en libre-service depuis vos paramètres. Vous pouvez également introduire une réclamation auprès de la CNIL.

10. Évolution de cette politique

Toute modification substantielle sera signalée sur cette page (numéro de version et date) et, si elle affecte vos droits, notifiée par email ou bannière dans l'application.

Version 2.18 juillet 2026.