Politique de confidentialité

🇫🇷 Données hébergées en France — OVH Strasbourg

Infrastructure hors CLOUD Act américain · RGPD natif

Dernière mise à jour : 6 juin 2026 · Version 1.5

En résumé : Nael traite le FEC importé par votre consultant uniquement pour produire vos indicateurs financiers et les comparer aux benchmarks sectoriels de votre code NAF. Vos données sont hébergées en France, isolées par client, jamais revendues. Suppression à la demande.

1. Responsable du traitement

Nael SASU — 103 883 377 R.C.S. Paris

Siège social : 122 rue Amelot, 75011 Paris

Contact : hello@nael.so

2. Délégué à la protection des données (DPO)

En l'absence d'obligation légale de désigner un DPO (effectif inférieur à 250 salariés, absence de traitement à grande échelle de données sensibles au sens de l'article 9 RGPD), les missions équivalentes sont assurées directement par Geoffrey Gotfryd, président de Nael SASU.

Contact DPO : hello@nael.so — Geoffrey répond personnellement sous 24 heures ouvrées (le délai légal RGPD de réponse formelle reste d'un mois maximum).

3. Données collectées et finalités

3.1 Lors de l'inscription

Prénom, email, nom d'établissement, ville, téléphone, métier — nécessaires pour identifier l'Utilisateur et configurer son espace (base légale : exécution du contrat) ;
Consentement RGPD et CGU — horodaté, conservé à titre de preuve (base légale : consentement) ;
Consentement benchmarks — uniquement si activé volontairement par l'Utilisateur (opt-in, base légale : consentement).

3.2 Traitement du FEC et finalité

Le Fichier des Écritures Comptables (FEC) importé par le consultant mandaté est traité uniquement pour extraire les indicateurs financiers nécessaires à :

alimenter le tableau de bord de l'Utilisateur (score, KPIs, alertes, trajectoire) ;
produire le rapport de diagnostic exportable (PDF de 4 pages) ;
comparer les ratios de l'établissement aux benchmarks sectoriels (médiane, P25, P75) de la table data.benchmarks_sectoriels, associés au code NAF renseigné à l'inscription.

Base légale : exécution du contrat (article 6(1)(b) RGPD). Le FEC n'est jamais utilisé à d'autres fins (publicité, revente, entraînement de modèles tiers) sans consentement explicite distinct.

3.3 Visualisation sectorielle pendant le traitement

Durant la phase d'attente du traitement du FEC (entre l'import par le consultant et la disponibilité du tableau de bord), l'application peut appeler la route GET /api/benchmarks/:naf_code pour afficher temporairement à l'Utilisateur les marges moyennes du secteur correspondant à son code NAF.

Cet appel ne transmet aucune donnée comptable personnelle : seul le code NAF est utilisé. Les valeurs retournées proviennent exclusivement de la table agrégée data.benchmarks_sectoriels. Aucune donnée nominative de l'Utilisateur n'est conservée au-delà de ce qui est strictement nécessaire au fonctionnement du service.

3.4 Pendant l'utilisation du service

FEC — importé dans Nael par le consultant mandaté par l'Utilisateur, depuis son logiciel de gestion. Il contient les écritures comptables structurées du Client : libellés, comptes, montants, dates, journaux. Le Client ne dépose lui-même aucun document dans Nael.
Données de gestion calculées — score, indicateurs (chiffre d'affaires, food cost, masse salariale, trésorerie, EBE, TVA), ratios, alertes et rapport de diagnostic produits par Nael à partir du FEC. Stockées dans la base de données PostgreSQL sécurisée, isolées par identifiant client.
Données d'usage — dates de connexion, fonctionnalités consultées (base légale : intérêt légitime pour l'amélioration du service).

Principe fondamental : Nael ne reçoit jamais de documents bruts de la part du Client. Le FEC, exporté et importé par le consultant mandaté, est traité exclusivement pour produire les indicateurs, le score et le rapport de diagnostic.

3.5 Génération et export de rapports PDF

Le FEC permet de générer, à la demande exclusive de l'Utilisateur, un rapport de diagnostic exportable au format PDF (4 pages). Ce document comprend le Score Nael, la synthèse des écarts sectoriels, la trajectoire historique et le compte de résultat simplifié.

Le rapport est généré uniquement sur action explicite de l'Utilisateur. Les données qu'il contient restent strictement confidentielles et ne sont transmises à aucun tiers sans consentement préalable.

4. Sous-traitants et transferts internationaux

Nael fait appel aux sous-traitants suivants pour fournir le service :

Sous-traitant	Rôle	Localisation	Base légale
OVH SAS	Hébergement API, base PostgreSQL	Strasbourg, France	Art. 6.1.b RGPD
Vercel Inc.	Hébergement frontend nael.so	USA (edge Paris CDG1)	SCC + DPF
Anthropic PBC	Analyse IA — inférences (calcul des indicateurs, alertes et bilan mensuel)	San Francisco, USA	SCC (Art. 46 RGPD)
Mémoire conversationnelle	PostgreSQL local, VPS OVH France — stockage self-hosted ; aucun sous-traitant tiers (Letta ou autre) ; aucune donnée mémoire ne quitte le VPS	Strasbourg, France	Art. 6.1.b RGPD
Brevo SAS	Emails transactionnels	France (UE)	Art. 6.1.b RGPD
Cloudflare Inc.	DNS, protection DDoS	USA (transit)	SCC + DPF
Stripe Inc.	Paiement par carte bancaire — activé uniquement si un abonnement payant est souscrit ; aucune donnée Stripe n'est échangée pendant l'essai gratuit	USA	SCC + DPF
Namecheap Inc.	Enregistrement nom de domaine	USA	SCC + DPF

4.1 Transferts hors Union européenne — Art. 44 RGPD

Les sous-traitants situés aux États-Unis (Vercel, Anthropic, Cloudflare, Stripe, Namecheap) sont encadrés par :

les clauses contractuelles types (SCC) de la Commission européenne (décision 2021/914), qui imposent un niveau de protection équivalent au RGPD ;
la certification au Data Privacy Framework (DPF) UE-USA, reconnu par décision d'adéquation de la Commission européenne du 10 juillet 2023, pour les sous-traitants éligibles.

Le Client ne dépose lui-même aucun document dans Nael. Le FEC importé par le consultant mandaté est traité. Anthropic reçoit uniquement les données comptables minimisées nécessaires à l'analyse ; Stripe ne reçoit de données qu'en cas d'abonnement payant actif.

4.2 Note spécifique sur la mémoire conversationnelle

Les conversations avec le conseiller Nael sont persistées exclusivement dans la base PostgreSQL hébergée sur le VPS OVH (France). Nael n'utilise pas Letta ni aucun autre service tiers pour stocker l'historique des échanges clients.

4.3 Note spécifique sur Anthropic

Les analyses financières IA sont traitées par Anthropic PBC (San Francisco, USA). Seul le contenu de votre message et les indicateurs financiers nécessaires à la réponse sont transmis. Anthropic ne stocke pas les données des appels API à des fins d'entraînement de ses modèles (voir Anthropic Privacy Policy — section « API Usage »). Base légale du transfert : clauses contractuelles types (Art. 46 RGPD). DPA Anthropic disponible sur demande à hello@nael.so.

4.4 Minimisation lors de l'appel IA

Lors du traitement par notre prestataire IA, Nael ne transmet jamais d'identifiant bancaire complet (IBAN tronqué), de numéro de compte ni de nom de tiers nominatif lorsque cela peut être évité. Seules les données strictement nécessaires à l'extraction et à l'analyse sont transmises.

5. Hébergement et sécurité

Les garanties ci-dessous sont identiques à celles affichées sur la page diagnostic gratuit :

API et base de données hébergées chez OVH SAS — datacenter Strasbourg, France ;
Frontend nael.so servi par Vercel Inc. via son edge node Paris (CDG1) ;
Données financières hébergées en France, isolées par client, conformes RGPD ;
Isolation stricte — chaque établissement dispose d'un espace de données séparé ;
Suppression à la demande — suppression complète de toutes vos données sur simple demande à hello@nael.so ;
Base de données PostgreSQL 16 avec isolation stricte par client (requêtes multi-tenant contrôlées) ;
Chiffrement TLS 1.3 pour toutes les communications (HTTPS obligatoire sur nael.so et api.nael.so) ;
Mots de passe stockés sous forme de hash bcrypt, jamais en clair ;
Clés d'API externes stockées en variables d'environnement, jamais dans le code source ;
Backups quotidiens automatisés de la base de données avec rétention de 30 jours ;
Journal d'audit (audit trail) tracé en base sur toutes les opérations sensibles.

6. Durée de conservation

FEC importé : stocké de façon isolée et chiffrée pendant la durée du compte, puis 10 ans après clôture (obligation légale de conservation des documents comptables prévue à l'article L.123-22 du Code de commerce) ;
Indicateurs, score et bilans calculés : conservés pendant toute la durée de l'abonnement, puis 10 ans après résiliation, alignés sur la même obligation légale ;
Données d'identification (prénom, email) : conservées pendant la durée de l'abonnement, puis supprimées dans les 3 ans suivant la résiliation ;
Logs techniques et audit : 10 ans (obligation de piste d'audit fiable).

6.3 Données anonymisées et référentiel de performance

Avec votre consentement, Nael peut utiliser vos données financières sous forme strictement anonymisée et agrégée aux fins suivantes :

Amélioration du service — détection de dysfonctionnements algorithmiques, calibrage des seuils d'alerte et des ratios de référence ;
Référentiel de performance — production d'indices de performance permettant à chaque Utilisateur de se positionner par rapport à des entreprises comparables.

Garanties techniques : L'anonymisation est irréversible — aucune donnée identifiante (nom, SIRET, email, adresse) n'est incluse dans les jeux de données agrégés. Les résultats publiés (benchmarks) sont calculés à partir d'un minimum de 5 établissements distincts, conformément aux recommandations de la CNIL sur l'anonymisation statistique (délibération n° 2014-298). Ces données anonymisées ne constituent pas des données à caractère personnel au sens de l'article 4(1) du Règlement (UE) 2016/679.

Base légale : consentement (article 6(1)(a) RGPD), librement révocable à tout moment depuis les paramètres du compte ou par email à hello@nael.so.

→ Lire la page d'information complète sur les données anonymisées

7. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit d'accès — obtenir une copie des données que nous détenons sur vous ;
Droit de rectification — corriger des données inexactes ou incomplètes ;
Droit à l'effacement — demander la suppression de vos données (sous réserve des obligations légales de conservation comptable) ;
Droit à la limitation du traitement — restreindre l'usage de vos données dans certains cas ;
Droit à la portabilité — recevoir vos données dans un format structuré, lisible par machine ;
Droit d'opposition — vous opposer à certains traitements fondés sur l'intérêt légitime ;
Retrait du consentement — pour les traitements fondés sur le consentement (benchmarks, emails marketing) à tout moment.

Pour exercer ces droits, contactez-nous à hello@nael.so. Une réponse est garantie sous 30 jours (délai prolongeable de 2 mois en cas de complexité).

8. Cookies et traceurs

Le site nael.so et l'application Nael n'utilisent aucun cookie publicitaire ni traceur tiers. Aucun outil d'analytics marketing (Google Analytics, Meta Pixel, etc.) n'est installé.

Seuls sont utilisés les cookies et le stockage local strictement nécessaires au fonctionnement du service (token de session authentifiée, préférences d'affichage). Ces éléments sont exemptés du consentement préalable (article 82 de la loi Informatique et Libertés).

9. Réclamations auprès de l'autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

En ligne : cnil.fr/plaintes
Par courrier : CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07

Politique RGPD.