Valoraq

Politique de Confidentialité

Dernière mise à jour : 20/04/2026

Préambule

La présente Politique de Confidentialité a pour objet d'informer l'utilisateur de Valoraq (ci-après « l'Utilisateur ») des conditions dans lesquelles ses données à caractère personnel sont collectées et traitées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via le Site est :

  • [PRÉNOM NOM] — Entrepreneur Individuel (EI), exerçant sous le nom commercial « Valoraq »
  • Adresse : [ADRESSE PROFESSIONNELLE]
  • SIREN : [SIREN]
  • Email : [EMAIL DPO / CONTACT]

En raison de la taille et de la nature de l'activité, l'Éditeur n'est pas soumis à l'obligation de désigner un Délégué à la Protection des Données (« DPO ») au sens de l'article 37 du RGPD. Les demandes relatives à la protection des données peuvent néanmoins être adressées à l'adresse ci-dessus.

2. Données collectées et finalités

Valoraq ne collecte que les données strictement nécessaires au fonctionnement du Service et à la réalisation des finalités suivantes :

2.1 Données de compte

  • Adresse email
  • Mot de passe, stocké sous forme hachée (bcrypt)
  • Date de création du compte et date de dernière connexion

Finalité : création, authentification et gestion du compte utilisateur.
Base légale : exécution du contrat (article 6.1.b du RGPD).

2.2 Données économiques déclarées

  • Données saisies sur l'entreprise de l'Utilisateur : chiffre d'affaires, marge, rentabilité, croissance, EBITDA, portefeuille clients, type de business, dépendance fondateur, revenus récurrents, etc.
  • Valorisations calculées, scores, multiples appliqués et paramètres d'ajustement.

Finalité : fourniture du Service d'estimation, historisation pour suivi, simulateur, recommandations.
Base légale : exécution du contrat (article 6.1.b du RGPD).

2.3 Données de paiement

  • Identifiant client Stripe, identifiant d'abonnement, statut de l'abonnement, dates d'échéance.
  • Les coordonnées de carte bancaire sont collectées et stockées exclusivement par Stripe Payments Europe, Ltd. L'Éditeur n'en a jamais connaissance.

Finalité : traitement du paiement, gestion de l'abonnement, facturation, lutte contre la fraude.
Base légale : exécution du contrat (article 6.1.b) et respect d'obligations légales comptables et fiscales (article 6.1.c).

2.4 Données de connexion et de sécurité

  • Adresse IP, date, heure et nature des requêtes, identifiant de session.
  • Événements de sécurité : tentatives de connexion échouées, erreurs techniques, événements de rate-limiting.

Finalité : sécurité du Service, prévention et détection de la fraude, journalisation technique, prévention du bourrage d'identifiants.
Base légale : intérêt légitime (article 6.1.f) et obligation légale de conservation (article 6.1.c — LCEN, article L.34-1 du CPCE).

2.5 Données de mesure d'audience

Le Site peut utiliser un outil d'analyse de fréquentation respectueux de la vie privée (Plausible Analytics), qui ne dépose pas de cookies et ne collecte pas de données permettant d'identifier directement une personne.
Base légale : intérêt légitime de l'Éditeur à mesurer l'audience de son Site (article 6.1.f).

3. Durées de conservation

  • Données de compte et données économiques : conservées pendant toute la durée du compte, puis supprimées dans un délai maximal de trente (30) jours après la clôture ou la suppression du compte, sauf obligation légale de conservation plus longue.
  • Données de paiement et documents comptables : conservés pendant dix (10) ans en application de l'article L.123-22 du Code de commerce.
  • Journaux de connexion et de sécurité : conservés pendant douze (12) mois au maximum, conformément à la LCEN et aux recommandations de la CNIL.
  • Données de prospection / support : conservées trois (3) ans à compter du dernier contact de l'Utilisateur.
  • Sauvegardes : conservées pour une durée maximale de trente-cinq (35) jours, selon la politique de rotation des sauvegardes techniques.

4. Destinataires et sous-traitants

Les données ne sont ni vendues, ni cédées, ni louées à des tiers à des fins commerciales. Elles peuvent être traitées par les sous-traitants techniques listés ci-dessous, agissant sur instruction du responsable de traitement et dans le cadre d'un accord de traitement (DPA) conforme à l'article 28 du RGPD :

  • Hébergement applicatif et base de données : [NOM DE L'HÉBERGEUR — ex. Vercel Inc. / OVHcloud], pour l'exécution du Site et le stockage des données.
  • Paiement : Stripe Payments Europe, Ltd. (Irlande), pour le traitement des paiements et la gestion des abonnements.
  • Envoi d'emails transactionnels : Resend, Inc., pour l'envoi des emails de vérification, de réinitialisation de mot de passe et de notifications liées au Service.
  • Supervision applicative et détection d'incidents : Functional Software, Inc. d/b/a Sentry, pour la collecte de rapports d'erreurs techniques anonymisés.
  • Mesure d'audience : Plausible Insights OÜ (Estonie, UE), solution d'analyse sans cookie et respectueuse de la vie privée.

Les données peuvent également être communiquées à toute autorité judiciaire, administrative ou de contrôle, sur réquisition légale et dans les limites fixées par la loi.

5. Transferts de données hors Union européenne

Certains sous-traitants (notamment Stripe, Sentry et, selon l'hébergeur retenu, les services d'infrastructure cloud) peuvent être amenés à traiter des données depuis des serveurs situés hors de l'Union européenne, en particulier aux États-Unis. Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne par décision d'exécution (UE) 2021/914 ;
  • le cas échéant, la certification du sous-traitant au Data Privacy Framework (DPF) UE/US ;
  • des mesures techniques et organisationnelles supplémentaires (chiffrement en transit et au repos, minimisation des données transférées).

Les documents détaillés relatifs à ces garanties sont communiqués sur simple demande à [EMAIL DPO / CONTACT].

6. Sécurité des données

L'Éditeur met en œuvre des mesures techniques et organisationnelles adaptées à la nature des données traitées et aux risques identifiés, parmi lesquelles :

  • Chiffrement des communications via TLS 1.2 ou supérieur ;
  • Hachage non réversible des mots de passe via l'algorithme bcrypt avec sel aléatoire ;
  • Limitation des tentatives de connexion (rate-limiting) ;
  • Journalisation et supervision des événements de sécurité ;
  • Restriction stricte des accès aux bases de données et rotation des secrets ;
  • Sauvegardes chiffrées et régulières.

L'Utilisateur est responsable de la confidentialité de ses identifiants et de la sécurité du terminal à partir duquel il accède au Service.

7. Violation de données personnelles

En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur notifiera la CNIL dans un délai de soixante-douze (72) heures après en avoir pris connaissance, conformément à l'article 33 du RGPD, et informera les personnes concernées dans les conditions de l'article 34 du RGPD lorsque ce risque est qualifié d'élevé.

8. Droits de l'Utilisateur

Conformément aux articles 15 à 22 du RGPD et aux articles 49 et suivants de la loi « Informatique et Libertés », l'Utilisateur dispose des droits suivants :

  • Droit d'accès à ses données ;
  • Droit de rectification des données inexactes ou incomplètes ;
  • Droit à l'effacement (« droit à l'oubli »), dans les cas prévus par le RGPD ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité des données fournies, dans un format structuré et couramment utilisé (un export JSON est accessible en libre service depuis la page « Mon Compte ») ;
  • Droit d'opposition, pour des motifs tenant à sa situation particulière, aux traitements fondés sur l'intérêt légitime ;
  • Droit de définir des directives relatives au sort de ses données après son décès ;
  • Droit de retirer son consentement à tout moment, lorsque le traitement y est fondé, sans porter atteinte à la licéité du traitement effectué antérieurement ;
  • Droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07 — cnil.fr.

Ces droits peuvent être exercés par email à [EMAIL DPO / CONTACT] ou directement depuis la page « Mon Compte » pour les actions libre-service (export, suppression). L'Éditeur répond dans un délai d'un (1) mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux mois en cas de demande complexe, l'Utilisateur étant alors informé de cette prolongation et de ses motifs.

9. Suppression du compte

L'Utilisateur peut supprimer son compte à tout moment depuis la page « Mon Compte ». Cette action entraîne la suppression irréversible des données associées (valorisations, paramètres business), sous réserve des données devant être conservées au titre d'obligations légales (facturation, comptabilité, journalisation de sécurité).

10. Cookies et traceurs

Le Site utilise uniquement les cookies strictement nécessaires à son fonctionnement :

  • Cookie de session (authentification), exempté du recueil du consentement en application de l'article 82 de la loi « Informatique et Libertés » ;
  • Cookie de sécurité pour la protection contre la falsification de requêtes (CSRF), également exempté.

Aucun cookie publicitaire, cookie de profilage ou traceur tiers à finalité marketing n'est déposé. L'outil de mesure d'audience éventuellement utilisé (Plausible) fonctionne sans cookie et sans identifiant persistant.

11. Mineurs

Le Service n'est pas destiné à être utilisé par des personnes âgées de moins de quinze (15) ans. L'Éditeur ne collecte pas sciemment de données concernant des mineurs. Si un mineur venait à créer un compte sans le consentement de ses représentants légaux, la suppression du compte et des données associées peut être demandée à [EMAIL DPO / CONTACT].

12. Modification de la présente Politique

L'Éditeur se réserve le droit de modifier la présente Politique à tout moment pour tenir compte des évolutions légales, réglementaires, jurisprudentielles ou techniques. Les modifications substantielles sont notifiées à l'Utilisateur par email ou par affichage d'un avis sur le Site.

13. Contact

Pour toute question ou demande relative à la présente Politique ou à l'exercice des droits prévus par le RGPD : [EMAIL DPO / CONTACT].