← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 8 mai 2026

1. Qui est responsable du traitement ?

Téo Brondel, micro-entrepreneur — SIRET 935 405 985 000 18, exploitant le site portlio.co, est le responsable de traitement au sens de l'article 4 du RGPD (UE 2016/679).

Pour toute question relative à tes données personnelles ou pour exercer tes droits : portlio.contact@gmail.com

2. Quelles données collectons-nous ?

Côté freelance (utilisateur Portlio) : email, nom et coordonnées professionnelles, données d'abonnement (via Stripe), contenu des portails créés, briefs reçus, devis et contrats émis, IP et user-agent à des fins de sécurité.

Côté client final (qui remplit un brief sur un portail) : nom, email, contenu du brief (réponses aux questions), fichiers uploadés, IP et user-agent (au moment de la signature électronique uniquement, comme preuve).

Aucune donnée bancaire n'est stockée par Portlio : les paiements sont traités directement par Stripe ou par le prestataire de paiement choisi par le freelance.

3. Pourquoi ces données sont-elles traitées ?

  • Exécution du service (base légale : contrat) — créer et gérer ton compte, faire fonctionner les portails, transmettre devis et factures.
  • Communication transactionnelle (base légale : contrat) — emails de confirmation, notifications de devis, rappels d'expiration.
  • Facturation et obligations comptables (base légale : obligation légale, art. L123-22 Code de commerce) — émission de factures, conservation pendant 10 ans.
  • Sécurité du service (base légale : intérêt légitime) — détection de fraude, prévention des abus.
  • Mesure d'audience (base légale : consentement) — Google Analytics 4 avec anonymisation IP. Tu peux refuser via le bandeau cookies.

4. Combien de temps gardons-nous tes données ?

  • Compte freelance actif : tant que ton abonnement est en cours.
  • Compte freelance résilié : 3 ans après la dernière activité, puis suppression.
  • Briefs et contenu client : 3 ans après la dernière activité du projet.
  • Factures et données comptables : 10 ans (obligation légale).
  • Logs techniques : 6 mois maximum.
  • Données de signature électronique (IP, UA, horodatage) : 5 ans après expiration du contrat (preuve juridique).

5. Avec qui partageons-nous tes données ?

Portlio s'appuie sur des sous-traitants pour fonctionner. Aucune donnée n'est vendue à un tiers.

  • Vercel Inc. (hébergement, États-Unis) — DPA signé, clauses contractuelles types UE.
  • Supabase Inc. (base de données + stockage fichiers, États-Unis / UE) — DPA signé.
  • Stripe Inc. (abonnement Portlio + traitement paiement client) — DPA signé.
  • Resend (envoi des emails transactionnels) — DPA signé, hébergement UE possible.
  • Google (Gemini API) — uniquement si tu génères un devis IA. Le contenu du brief est envoyé à l'API et n'est pas conservé par Google pour entraîner ses modèles (selon politique Vertex AI Workspace).

6. Tes droits

Conformément au RGPD et à la loi Informatique et Libertés, tu peux à tout moment :

  • Accéder à tes données (droit d'accès)
  • Les corriger si elles sont inexactes (droit de rectification)
  • Demander leur suppression (droit à l'oubli) — sauf obligations légales
  • Demander leur portabilité dans un format machine
  • Limiter ou t'opposer à un traitement
  • Définir des directives post-mortem
  • Introduire une réclamation auprès de la CNIL (cnil.fr)

Pour exercer un de ces droits : portlio.contact@gmail.com — réponse sous 30 jours maximum.

7. Cookies

Portlio utilise deux types de cookies :

  • Cookies strictement nécessaires — session d'authentification, sécurité. Pas de consentement requis.
  • Cookies de mesure d'audience (Google Analytics 4) — pour comprendre l'usage du site et l'améliorer. L'adresse IP est anonymisée. Tu peux refuser via le bandeau de consentement à ta première visite, ou à tout moment via les paramètres de ton navigateur.

8. Sécurité

Tes données sont chiffrées en transit (TLS 1.3) et au repos (AES-256). Les mots de passe sont hashés (bcrypt). L'authentification utilise Supabase Auth avec des tokens JWT signés.

En cas de violation de données affectant tes droits, nous t'informerons sous 72 heures conformément à l'article 34 du RGPD.

9. Modifications

Nous pouvons mettre à jour cette politique. La date de dernière mise à jour est affichée en haut. Les changements substantiels te seront notifiés par email.