Protection des Données personelles
En vigueur au 30/04/2026
Heading 1
Scribee, Plateforme Agréée (PA) certifiée dans le cadre de la réforme française de la facturation électronique, s'engage à protéger les données personnelles traitées dans le cadre de ses services. Cette politique décrit nos engagements en matière de confidentialité, conformément au RGPD et aux normes ISO/IEC 27001 et 27701.
Référence document : SCR-ISMS-POL-PRIV-1.0 — Version 1.0 — 30 avril 2026
Objet et champ d'application
Cette politique de confidentialité décrit la manière dont Scribee traite les données personnelles dans le cadre de ses activités de Plateforme de Dématérialisation Partenaire (PDP) et de fournisseur de services numériques associés. Elle s'adresse à nos clients, partenaires, personnes concernées, autorités de régulation et organismes de certification.
Elle s'inscrit dans le Système de Management de la Sécurité de l'Information (SMSI) de Scribee, mis en œuvre conformément à la norme ISO/IEC 27001 et étendu à la gestion de la vie privée selon ISO/IEC 27701. Elle s'applique à toutes les données personnelles traitées par Scribee, quel que soit le format, le lieu de traitement ou le rôle de Scribee, qu'il agisse comme responsable de traitement ou comme sous-traitant. Elle complète, sans les remplacer, les dispositions contractuelles, les accords de sous-traitance (DPA) et les notices applicables aux services spécifiques.
Rôles et responsabilités
Responsable de traitement et sous-traitant
Selon le service fourni, Scribee agit soit comme responsable de traitement, soit comme sous-traitant. En tant que responsable de traitement, Scribee gère ses opérations internes : ressources humaines, comptabilité, relation client et fournisseur, marketing, sécurité opérationnelle. En tant que sous-traitant, Scribee traite les données personnelles dans le cadre des services PDP pour le compte de ses clients, qu'il s'agisse des émetteurs ou des destinataires de factures électroniques et des données de transaction associées.
L'entité juridique de Scribee, son siège social et ses coordonnées sont précisés dans la documentation contractuelle fournie à chaque client et partenaire.
Délégué à la Protection des Données
Scribee a désigné un Délégué à la Protection des Données (DPO) chargé de veiller au respect des réglementations applicables et de la présente politique. Le DPO est le point de contact privilégié des personnes concernées et des autorités de contrôle. Il peut être joint à l'adresse dpo@scribee.tech.
Gouvernance au sein du SMSI
La gouvernance de la vie privée est intégrée à celle du SMSI. Le Comité Sécurité de l'Information traite la vie privée comme un point permanent à son ordre du jour. Le DPO rapporte directement à la direction et dispose de canaux d'escalade dédiés. Les risques liés à la vie privée sont gérés selon le même cadre méthodologique que les risques de sécurité de l'information, conformément à ISO/IEC 27005.
Principes de protection de la vie privée
Scribee traite les données personnelles dans le respect des principes énoncés à l'article 5 du RGPD et des principes de l'ISO/IEC 27701 : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; responsabilité (accountability) ; et protection de la vie privée dès la conception et par défaut.
Catégories de données et finalités de traitement
Scribee tient un Registre des Activités de Traitement (RoPA) conformément à l'article 30 du RGPD. Les principales catégories de traitement sont décrites ci-dessous.
Services PA (sous-traitant)
Dans le cadre des services PA, Scribee traite les données d'identification des émetteurs et destinataires (nom, identifiants d'entreprise, adresses, coordonnées des représentants) afin d'assurer la réception, la validation, la transmission et la gestion du cycle de vie des factures électroniques et des données de transaction. La base légale, côté responsable de traitement, repose sur l'obligation légale issue de la réforme de la facturation électronique et sur l'exécution du contrat.
Scribee traite également les données de factures et de transactions susceptibles de contenir des données personnelles (notamment celles relatives aux travailleurs indépendants), pour les flux d'échange obligatoires avec le Portail Public de Facturation (PPF) et les autres PA, ainsi que pour le reporting des statuts du cycle de vie. Les bases légales applicables sont l'obligation légale et l'exécution du contrat.
Enfin, les logs d'authentification et d'accès sont traités à des fins de sécurité, de traçabilité, d'audit et de détection de fraude, sur la base de l'intérêt légitime et de l'obligation légale.
Opérations internes (responsable de traitement)
Pour ses opérations internes, Scribee traite les données de contact des clients et prospects (gestion de la relation commerciale, du contrat et du support, sur la base de l'exécution du contrat et de l'intérêt légitime), les données de contact des fournisseurs (gestion fournisseurs et achats, sur les mêmes bases), les données des salariés et prestataires (administration RH, paie, gestion des accès, formation, sur la base de l'exécution du contrat et de l'obligation légale), les données analytiques liées au site web et au produit (amélioration des services et surveillance de la sécurité, sur la base de l'intérêt légitime et du consentement lorsque requis), ainsi que les données de communication telles que les emails et les comptes rendus de réunion (communications opérationnelles et preuves contractuelles, sur la base de l'intérêt légitime et de l'exécution du contrat).
Bases légales de traitement
Lorsque Scribee agit comme responsable de traitement, il s'appuie sur une ou plusieurs des bases légales prévues à l'article 6 du RGPD : exécution d'un contrat, respect d'une obligation légale, intérêt légitime (avec test de mise en balance documenté dans le SMSI) et consentement, notamment pour les cookies non essentiels et la prospection électronique.
Lorsque Scribee agit comme sous-traitant, il ne traite les données personnelles que sur instruction documentée du responsable de traitement, conformément à l'article 28 du RGPD et au contrat de sous-traitance applicable.
Droits des personnes concernées
Conformément aux articles 12 à 22 du RGPD, vous disposez du droit d'accès (article 15), du droit de rectification (article 16), du droit à l'effacement (article 17, sous réserve des obligations légales de conservation), du droit à la limitation du traitement (article 18), du droit à la portabilité (article 20), du droit d'opposition (article 21), du droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (article 22), ainsi que du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, en France la Commission Nationale de l'Informatique et des Libertés (CNIL).
Toute demande peut être adressée au DPO à l'adresse dpo@scribee.tech. Scribee répond dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois pour les demandes complexes, conformément à l'article 12(3) du RGPD. Lorsque Scribee agit comme sous-traitant, les demandes reçues directement des personnes concernées sont transmises sans délai au responsable de traitement compétent.
Sous-traitance et transferts internationaux
Sous-traitants
Scribee n'a recours à des sous-traitants que dans des conditions strictes : évaluation préalable via le processus de due diligence sécurité et vie privée du SMSI, conclusion d'un accord écrit imposant des obligations équivalentes à celles applicables à Scribee au titre de l'article 28 du RGPD, surveillance continue de la conformité (revue périodique des certifications ISO/IEC 27001, SOC 2, et des questionnaires de sécurité), et information des clients en cas de nouveau sous-traitant ou de remplacement, avec possibilité d'objection sur des bases raisonnables.
Une liste à jour des sous-traitants utilisés dans le cadre des services PDP est mise à disposition des clients via les canaux contractuels.
Transferts internationaux
L'infrastructure de production des services PDP est hébergée au sein de l'Union européenne, dans des centres de données situés en France et dans d'autres États membres. En règle générale, les données personnelles sont traitées au sein de l'Espace Économique Européen (EEE).
Lorsque des transferts vers des pays tiers ne peuvent être évités, par exemple pour certains outils de support, Scribee met en œuvre les garanties prévues au chapitre V du RGPD : décisions d'adéquation de la Commission européenne (article 45), Clauses Contractuelles Types (article 46) complétées si nécessaire par des mesures techniques, contractuelles et organisationnelles supplémentaires identifiées dans le cadre d'une Transfer Impact Assessment (TIA), Règles d'Entreprise Contraignantes, dérogations prévues à l'article 49 ou certifications applicables.
Conservation et purge des données
Les données personnelles ne sont conservées que pendant la durée strictement nécessaire aux finalités pour lesquelles elles sont traitées, ou pendant la durée requise par la loi applicable. Les durées sont documentées dans le RoPA et revues annuellement dans le cadre du cycle de revue du SMSI.
À titre indicatif, les données de factures et de transactions traitées dans le cadre des services PDP sont conservées pendant la durée de la relation contractuelle, puis archivées pendant 10 ans à compter de la fin de l'exercice fiscal, conformément à l'article L. 102 B du Livre des Procédures Fiscales. Les données de contact des clients et fournisseurs sont conservées pendant la durée de la relation commerciale, augmentée de 3 ans, puis archivées selon les obligations comptables et fiscales applicables. Les données des salariés sont conservées pendant la durée de l'emploi, puis archivées selon le droit du travail et de la sécurité sociale. Les logs d'authentification et d'accès sont conservés activement pendant 6 à 12 mois, et jusqu'à 1 an pour les besoins d'investigations de sécurité. Les données des prospects, en l'absence de contrat, sont conservées 3 ans à compter du dernier contact.
À l'expiration des durées applicables, les données personnelles sont supprimées, anonymisées ou archivées selon les procédures définies dans le SMSI. Les opérations de purge sont journalisées et soumises à contrôle interne.
Mesures techniques et organisationnelles de sécurité
Scribee met en œuvre les mesures techniques et organisationnelles requises par l'article 32 du RGPD ainsi que les contrôles des annexes A des normes ISO/IEC 27001 et 27701.
Gestion des accès
L'identité et les accès sont gérés selon les principes du moindre privilège et du besoin d'en connaître. L'authentification multifacteur est obligatoire sur tous les accès administratifs et distants. Les droits font l'objet de revues périodiques et sont révoqués sans délai en cas de changement de rôle ou de départ. La gestion des accès privilégiés assure la traçabilité de l'ensemble des actions administratives.
Cryptographie
Les données personnelles sont chiffrées en transit via TLS 1.2 ou supérieur, avec des suites cryptographiques modernes. Elles sont également chiffrées au repos sur les systèmes de production et les sauvegardes. La gestion des clés est centralisée et repose sur une séparation des tâches ainsi que sur une politique de rotation.
Journalisation et supervision
Les accès, actions administratives et événements de sécurité sont journalisés de manière centralisée. Une supervision continue est assurée via une stack d'observabilité avec alerting sur les comportements anormaux. Les logs sont protégés contre toute modification ou suppression non autorisée.
Développement sécurisé et gestion des changements
Scribee applique un cycle de développement sécurisé incluant la revue de code, l'analyse statique et dynamique, ainsi que le scan de vulnérabilités des dépendances. Les procédures de gestion des changements assurent la ségrégation des environnements de développement, de recette et de production. Les principes de Privacy by design et by default sont intégrés dès la phase de conception des nouveaux services et lors des évolutions matérielles.
Résilience et continuité
Des procédures de sauvegarde et de restauration sont en place, avec des tests de restauration périodiques. Les plans de continuité et de reprise d'activité font l'objet d'exercices réguliers documentés dans le SMSI. L'infrastructure est redondée sur des zones de disponibilité distinctes.
Sécurité des ressources humaines
L'ensemble du personnel et des prestataires est soumis à des engagements de confidentialité. Une formation à la sécurité de l'information et à la protection des données est obligatoire et fait l'objet de rappels périodiques. Des vérifications préalables, proportionnées aux fonctions exercées, sont effectuées dans le respect du droit applicable.
Notification de violation de données
Scribee opère un processus de gestion des incidents aligné sur les normes ISO/IEC 27001 et ISO/IEC 27035. Tout événement suspecté de constituer une violation de données personnelles est qualifié par les équipes sécurité et vie privée sous la supervision du DPO.
Lorsqu'il agit comme responsable de traitement et que la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, Scribee notifie l'autorité de contrôle compétente (CNIL) sans délai indu et, dans la mesure du possible, dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 du RGPD. En cas de risque élevé, les personnes concernées sont informées conformément à l'article 34 du RGPD.
Lorsqu'il agit comme sous-traitant, Scribee notifie les responsables de traitement concernés sans délai indu après avoir pris connaissance d'une violation, conformément à l'article 33(2) du RGPD et au DPA applicable, en fournissant les informations nécessaires au respect par le responsable de ses propres obligations de notification.
Chaque violation est documentée dans un registre tenu par le DPO, incluant les faits, les effets et les mesures correctives prises, conformément à l'article 33(5) du RGPD.
Audit, assurance et amélioration continue
La conformité à la présente politique est surveillée via les mécanismes d'assurance du SMSI : audits internes du SMSI et du système de management de la vie privée, conformément à la clause 9.2 de l'ISO/IEC 27001 et à l'ISO/IEC 27701 ; audits externes de certification et de surveillance réalisés par un organisme accrédité ; revue de direction du SMSI au moins annuelle, incluant les indicateurs de performance liés à la vie privée ; et suivi des non-conformités et observations, avec vérification de leur clôture.
Les clients et partenaires peuvent demander, sous engagement de confidentialité, des informations synthétiques relatives au SMSI, aux certifications applicables et aux derniers rapports d'audit, via leur contact contractuel chez Scribee.
Révision et modification
La présente politique est revue au moins une fois par an, ainsi qu'à chaque changement matériel intervenant dans l'environnement réglementaire, dans les services de Scribee ou dans le paysage des menaces. Les modifications matérielles sont approuvées par la direction et communiquées aux personnes concernées, clients et partenaires via les canaux appropriés.
Contact
Délégué à la Protection des Données (DPO) : dpo@scribee.techSécurité de l'information : security@scribee.tech Adresse postale : telle qu'indiquée dans la documentation contractuelle fournie aux clients et partenaires.
Vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France — www.cnil.fr.