Politique de confidentialité

🇫🇷 Données hébergées en France — OVH Strasbourg

Infrastructure hors CLOUD Act américain · RGPD natif

Dernière mise à jour : 11 mai 2026 · Version 1.3

En résumé : Nael collecte uniquement ce qui est nécessaire au service. Les documents comptables importés par votre expert-comptable sont analysés et stockés de façon isolée. Le Client ne dépose lui-même aucun document. Nous n'avons aucun intérêt à vendre vos données — notre modèle économique repose exclusivement sur votre abonnement.

1. Responsable du traitement

Nael SASU — 103 883 377 R.C.S. Paris

Siège social : 122 rue Amelot, 75011 Paris

Contact : hello@nael.so

2. Délégué à la protection des données (DPO)

En l'absence d'obligation légale de désigner un DPO (effectif inférieur à 250 salariés, absence de traitement à grande échelle de données sensibles au sens de l'article 9 RGPD), les missions équivalentes sont assurées directement par Geoffrey Gotfryd, président de Nael SASU.

Contact DPO : hello@nael.so — Geoffrey répond personnellement sous 24 heures ouvrées (le délai légal RGPD de réponse formelle reste d'un mois maximum).

3. Données collectées et finalités

3.1 Lors de l'inscription

Prénom, email, nom d'établissement, ville, téléphone, métier — nécessaires pour identifier l'Utilisateur et configurer son espace (base légale : exécution du contrat) ;
Consentement RGPD et CGU — horodaté, conservé à titre de preuve (base légale : consentement) ;
Consentement benchmarks — uniquement si activé volontairement par l'Utilisateur (opt-in, base légale : consentement).

3.2 Pendant l'utilisation du service

documents comptables — importé dans Nael par l'expert-comptable mandaté par l'Utilisateur, depuis son logiciel comptable. Il contient les écritures comptables structurées du Client : libellés, comptes, montants, dates, journaux. Le Client ne dépose lui-même aucun document dans Nael.
Données de gestion calculées — score, indicateurs (chiffre d'affaires, food cost, masse salariale, trésorerie, TVA), ratios, alertes et bilan mensuel produits par Nael à partir des documents comptables. Stockées dans la base de données PostgreSQL sécurisée, isolées par identifiant client.
Données d'usage — dates de connexion, fonctionnalités consultées (base légale : intérêt légitime pour l'amélioration du service).

Principe fondamental : Nael ne reçoit jamais de documents bruts de la part du Client. Les documents comptables, exportés et importés par l'expert-comptable mandaté, sont traités. Les écritures comptables sont conservées pour produire les indicateurs, le score et le bilan mensuel.

4. Sous-traitants et transferts internationaux

Nael fait appel aux sous-traitants suivants pour fournir le service :

Sous-traitant	Rôle	Localisation	Base légale
OVH SAS	Hébergement API, base PostgreSQL	Strasbourg, France (UE)	Art. 6.1.b RGPD
Vercel Inc.	Hébergement frontend nael.so	USA (edge Paris CDG1)	SCC + DPF
Anthropic PBC	Analyse IA — inférences (calcul des indicateurs, alertes et bilan mensuel)	San Francisco, USA	SCC (Art. 46 RGPD)
Mémoire IA (conversations)	PostgreSQL local, VPS OVH France — aucune donnée mémoire ne quitte le VPS	Strasbourg, France (UE)	Art. 6.1.b RGPD
Brevo SAS	Emails transactionnels	France (UE)	Art. 6.1.b RGPD
Cloudflare Inc.	DNS, protection DDoS	USA (transit)	SCC + DPF
Stripe Inc.	Paiement par carte bancaire — activé uniquement si un abonnement payant est souscrit ; aucune donnée Stripe n'est échangée pendant l'essai gratuit	USA	SCC + DPF
Namecheap Inc.	Enregistrement nom de domaine	USA	SCC + DPF

4.1 Transferts hors Union européenne — Art. 44 RGPD

Les sous-traitants situés aux États-Unis (Vercel, Anthropic, Cloudflare, Stripe, Namecheap) sont encadrés par :

les clauses contractuelles types (SCC) de la Commission européenne (décision 2021/914), qui imposent un niveau de protection équivalent au RGPD ;
la certification au Data Privacy Framework (DPF) UE-USA, reconnu par décision d'adéquation de la Commission européenne du 10 juillet 2023, pour les sous-traitants éligibles.

Le Client ne dépose aucun document brut dans Nael. Seul les documents comptables importés par l'expert-comptable mandaté par l'Utilisateur est traité. Anthropic reçoit uniquement les données comptables minimisées nécessaires à l'analyse ; Stripe ne reçoit de données qu'en cas d'abonnement payant actif.

4.2 Note spécifique sur Anthropic

Les analyses financières IA sont traitées par Anthropic PBC (San Francisco, USA). Seul le contenu de votre message et les indicateurs financiers nécessaires à la réponse sont transmis. Anthropic ne stocke pas les données des appels API à des fins d'entraînement de ses modèles (voir Anthropic Privacy Policy — section « API Usage »). Base légale du transfert : clauses contractuelles types (Art. 46 RGPD). DPA Anthropic disponible sur demande à hello@nael.so.

4.3 Minimisation lors de l'appel IA

Lors du traitement par notre prestataire IA, Nael ne transmet jamais d'identifiant bancaire complet (IBAN tronqué), de numéro de compte ni de nom de tiers nominatif lorsque cela peut être évité. Seules les données strictement nécessaires à l'extraction et à l'analyse sont transmises.

5. Hébergement et sécurité

API et base de données hébergées chez OVH SAS — datacenter Strasbourg, France (UE) ;
Frontend nael.so servi par Vercel Inc. via son edge node Paris (CDG1) ;
Données financières hébergées en France et dans l'Union européenne ;
Base de données PostgreSQL 16 avec isolation stricte par client (requêtes multi-tenant contrôlées) ;
Chiffrement TLS 1.3 pour toutes les communications (HTTPS obligatoire sur nael.so et api.nael.so) ;
Mots de passe stockés sous forme de hash bcrypt, jamais en clair ;
Clés d'API externes stockées en variables d'environnement, jamais dans le code source ;
Backups quotidiens automatisés de la base de données avec rétention de 30 jours ;
Journal d'audit (audit trail) tracé en base sur toutes les opérations sensibles : modifications de pièces comptables, rapprochements, changements de régime fiscal.

6. Durée de conservation

Documents comptables importés : stocké de façon isolée et chiffrée pendant la durée de l'abonnement, puis 10 ans après résiliation (obligation légale de conservation des documents comptables prévue à l'article L.123-22 du Code de commerce) ;
Indicateurs, score et bilans calculés : conservés pendant toute la durée de l'abonnement, puis 10 ans après résiliation, alignés sur la même obligation légale ;
Données d'identification (prénom, email) : conservées pendant la durée de l'abonnement, puis supprimées dans les 3 ans suivant la résiliation ;
Logs techniques et audit : 10 ans (obligation de piste d'audit fiable).

6.3 Données anonymisées et référentiel de performance

Avec votre consentement, Nael peut utiliser vos données financières sous forme strictement anonymisée et agrégée aux fins suivantes :

Amélioration du service — détection de dysfonctionnements algorithmiques, calibrage des seuils d'alerte et des ratios de référence ;
Référentiel de performance — production d'indices de performance permettant à chaque Utilisateur de se positionner par rapport à des entreprises comparables.

Garanties techniques : L'anonymisation est irréversible — aucune donnée identifiante (nom, SIRET, email, adresse) n'est incluse dans les jeux de données agrégés. Les résultats publiés (benchmarks) sont calculés à partir d'un minimum de 5 établissements distincts, conformément aux recommandations de la CNIL sur l'anonymisation statistique (délibération n° 2014-298). Ces données anonymisées ne constituent pas des données à caractère personnel au sens de l'article 4(1) du Règlement (UE) 2016/679.

Base légale : consentement (article 6(1)(a) RGPD), librement révocable à tout moment depuis les paramètres du compte ou par email à hello@nael.so.

→ Lire la page d'information complète sur les données anonymisées

7. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit d'accès — obtenir une copie des données que nous détenons sur vous ;
Droit de rectification — corriger des données inexactes ou incomplètes ;
Droit à l'effacement — demander la suppression de vos données (sous réserve des obligations légales de conservation comptable) ;
Droit à la limitation du traitement — restreindre l'usage de vos données dans certains cas ;
Droit à la portabilité — recevoir vos données dans un format structuré, lisible par machine ;
Droit d'opposition — vous opposer à certains traitements fondés sur l'intérêt légitime ;
Retrait du consentement — pour les traitements fondés sur le consentement (benchmarks, emails marketing) à tout moment.

Pour exercer ces droits, contactez-nous à hello@nael.so. Une réponse est garantie sous 30 jours (délai prolongeable de 2 mois en cas de complexité).

8. Cookies et traceurs

Le site nael.so et l'application Nael n'utilisent aucun cookie publicitaire ni traceur tiers. Aucun outil d'analytics marketing (Google Analytics, Meta Pixel, etc.) n'est installé.

Seuls sont utilisés les cookies et le stockage local strictement nécessaires au fonctionnement du service (token de session authentifiée, préférences d'affichage). Ces éléments sont exemptés du consentement préalable (article 82 de la loi Informatique et Libertés).

9. Réclamations auprès de l'autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

En ligne : cnil.fr/plaintes
Par courrier : CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07