Politique de confidentialité & RGPD

Version en vigueur au 1er mars 2026 — Règlement (UE) 2016/679 (RGPD)

Le présent document constitue l'Accord sur la Protection des Données Personnelles (DPA) conclu entre ALICEA, éditeur de la solution ALICEA, et tout cabinet d'expertise comptable ou professionnel souscrivant à la plateforme (ci-après « le Client »). Il complète les Conditions Générales d'Utilisation et est opposable dès l'activation du compte.

Article 1 — Définitions

1.1 Termes RGPD

  • Consentement : toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte le traitement de ses données.
  • Données à caractère personnel (DCP) : toute information se rapportant à une personne physique identifiée ou identifiable.
  • Responsable du traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
  • Sous-traitant : la personne physique ou morale qui traite des données pour le compte du responsable du traitement.
  • Traitement : toute opération effectuée sur des données (collecte, enregistrement, organisation, conservation, modification, extraction, communication, etc.).
  • Violation de données : toute atteinte à la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des DCP.
  • CNIL : Commission Nationale de l'Informatique et des Libertés, autorité de contrôle française.

1.2 Termes propres à ALICEA

  • ALICEA : la plateforme SaaS de gestion de cabinet d'expertise comptable éditée par ALICEA.
  • Client : le cabinet d'expertise comptable ou le professionnel ayant souscrit un abonnement ALICEA.
  • Utilisateur : toute personne physique accédant à la plateforme pour le compte du Client (expert-comptable, collaborateur, stagiaire).
  • Client final : le client du cabinet (entreprise ou particulier) dont les données sont traitées au sein de la plateforme.
  • Compte : l'espace sécurisé créé sur ALICEA à l'issue de la souscription.
  • Contrat : l'ensemble formé des CGU, du présent DPA et de tout avenant signé entre les parties.
  • Données de la plateforme : l'ensemble des données saisies, importées ou générées par le Client et ses Utilisateurs dans ALICEA.

Article 2 — Rôles des parties

2.1 ALICEA, responsable de traitement pour ses propres traitements

ALICEA agit en qualité de responsable du traitement pour les données collectées dans le cadre de la relation commerciale avec ses Clients : gestion des comptes, facturation, support, communication marketing. Ces traitements sont décrits à l'Article 5.1.

2.2 ALICEA, sous-traitant pour les données des Clients finaux

Pour toutes les données relatives aux clients finaux des cabinets (saisies dans les modules de gestion de dossiers, lettres de mission, LAB, GED, espace collaboratif), ALICEA agit en qualité de sous-traitant au sens de l'article 28 RGPD. Le Client reste l'unique responsable du traitement vis-à-vis de ses propres clients.

2.3 Responsabilité respective

Le Client s'engage à utiliser la plateforme ALICEA en conformité avec la réglementation applicable et à s'assurer que les données qu'il y saisit l'ont été de manière licite. ALICEA s'engage à traiter ces données exclusivement selon les instructions documentées du Client et dans les finalités prévues au contrat.

Article 3 — Engagements du Client en tant que responsable du traitement

En utilisant la plateforme ALICEA pour y traiter des données relatives à ses clients finaux, le Client s'engage à :

  • Ne traiter que des données collectées de manière licite, loyale et transparente, conformément à une base légale valide (consentement, exécution de contrat, obligation légale ou intérêt légitime).
  • Informer ses clients finaux des traitements réalisés via ALICEA, notamment dans son propre registre de traitements et dans sa politique de confidentialité.
  • Ne saisir dans la plateforme que les données strictement nécessaires à l'exécution de ses missions (principe de minimisation).
  • Donner instruction à ALICEA pour toute demande d'exercice de droits émanant d'un client final dans un délai permettant le respect des délais légaux.
  • Notifier sans délai ALICEA de toute modification susceptible d'affecter la conformité des traitements.
  • Maintenir à jour son propre registre des activités de traitement conformément à l'article 30 du RGPD.

Article 4 — Obligations d'ALICEA en tant que sous-traitant

4.1 Traitement sur instruction

ALICEA s'engage à ne traiter les données de la plateforme que sur instruction documentée du Client, telle que définie par les paramètres de configuration du compte et les présentes dispositions contractuelles. ALICEA informe immédiatement le Client si une instruction contrevient au RGPD ou à toute autre disposition légale applicable.

4.2 Confidentialité

ALICEA s'engage à garantir que les personnes autorisées à traiter les données de la plateforme sont soumises à une obligation de confidentialité appropriée (contractuelle ou légale) et ont reçu une formation adéquate en matière de protection des données.

4.3 Assistance au Client

ALICEA assiste le Client, dans la mesure du possible et compte tenu de la nature des traitements, pour :

  • Satisfaire aux obligations de réponse aux droits des personnes concernées (accès, rectification, effacement, portabilité, opposition).
  • Contribuer aux analyses d'impact relatives à la protection des données (AIPD) lorsque le Client en fait la demande.
  • Notifier les violations de données dans les délais requis (voir Article 9).

4.4 Suppression des données en fin de contrat

À l'expiration ou la résiliation du contrat d'abonnement, ALICEA s'engage à, au choix du Client formulé par écrit dans un délai de 30 jours :

  • Restituer l'ensemble des données de la plateforme dans un format structuré et lisible par machine (JSON ou CSV).
  • Procéder à la suppression définitive et sécurisée de toutes les données, et attester de cette suppression.

En l'absence d'instruction dans ce délai, les données seront supprimées au terme d'un délai de 60 jours suivant la résiliation, sauf obligation légale de conservation.

Article 5 — Description des traitements

5.1 Traitements dont ALICEA est responsable

Finalité Personnes concernées Données traitées Base légale Durée de conservation
Gestion des comptes et accès à la plateforme Utilisateurs du cabinet (EC, collaborateurs) Nom, prénom, e-mail professionnel, rôle, logs de connexion, adresse IP Exécution du contrat Durée du contrat + 3 ans
Facturation et gestion commerciale Représentant légal du cabinet Nom, raison sociale, SIRET, adresse, RIB (via prestataire de paiement), historique de facturation Obligation légale (art. L.123-22 Code de commerce) 10 ans
Support client et assistance technique Utilisateurs E-mail, contenu des échanges, captures d'écran partagées, données techniques Exécution du contrat / intérêt légitime 3 ans après clôture du ticket
Amélioration du service et analyses d'usage Utilisateurs Données d'usage agrégées et anonymisées (modules utilisés, fréquence de connexion) Intérêt légitime 24 mois glissants
Communication marketing et newsletter Prospects et Clients E-mail, prénom, nom du cabinet, historique d'ouverture des e-mails Consentement 3 ans après le dernier contact ou jusqu'au désabonnement
Sécurité et lutte contre la fraude Utilisateurs Logs d'accès, adresses IP, tentatives d'authentification Intérêt légitime 12 mois

5.2 Traitements pour lesquels ALICEA est sous-traitant

Nature du traitement Personnes concernées Catégories de données Finalité pour le cabinet
Gestion des dossiers clients Clients finaux du cabinet (entreprises, dirigeants, particuliers) Identité, coordonnées, données juridiques, données financières et comptables Exécution des missions comptables, juridiques et fiscales
Conformité LAB / KYC Clients finaux et bénéficiaires effectifs Identité renforcée, copies de pièces d'identité, justificatifs, données de bénéficiaires effectifs Obligations légales anti-blanchiment (Ordonnance du 30 janv. 2009)
Lettres de mission et facturation cabinet Clients finaux et mandataires Identité, coordonnées, données contractuelles, données financières Formalisation des missions et facturation
Gestion des temps et missions Clients finaux, collaborateurs du cabinet Identité des clients, données de mission, temps passés par dossier Pilotage de la rentabilité et plan de charge
Espace collaboratif client Clients finaux et leurs représentants Identité, e-mail, documents partagés, messages Communication et collaboration avec les clients du cabinet
GED — Gestion électronique de documents Clients finaux Documents comptables, fiscaux, juridiques pouvant contenir des DCP Archivage et accès aux pièces justificatives

Article 6 — Sous-traitants ultérieurs

ALICEA recourt aux sous-traitants ultérieurs suivants pour la fourniture de la plateforme. Chaque prestataire a fait l'objet d'une évaluation de conformité RGPD et est lié contractuellement par des clauses de protection des données équivalentes à celles du présent accord.

Prestataire Pays Rôle Données concernées
OVHcloud (SAS OVH) France Hébergement de l'infrastructure et des données (VPS) Toutes les données de la plateforme
Stripe UE (Irlande) Traitement des paiements et gestion des abonnements Données de facturation, données de carte bancaire (tokenisées)
[Prestataire e-mail transactionnel — ex. Brevo / Mailgun] [UE] Envoi des e-mails transactionnels (notifications, alertes, invitations) Adresses e-mail, contenu des notifications
Pennylane France Synchronisation comptable (si activé par le cabinet) Données comptables et de dossiers clients concernés
[Outil de support client — ex. Crisp / Intercom] [UE] Gestion du support client et de la messagerie E-mail, nom, historique des échanges de support

ALICEA informe le Client de tout ajout ou remplacement de sous-traitant ultérieur par tout moyen approprié (e-mail, notification in-app) avec un préavis de 30 jours. Le Client disposant d'un droit d'objection motivé dans ce délai.

Article 7 — Transferts hors Union européenne

ALICEA s'engage à ce que les données de la plateforme soient hébergées et traitées en France ou au sein de l'Union européenne.

Dans le cas où un sous-traitant ultérieur devrait transférer des données hors UE, ALICEA s'assure que ce transfert est encadré par des garanties appropriées, notamment :

  • Une décision d'adéquation de la Commission européenne (ex. : États-Unis bénéficiant du Data Privacy Framework).
  • Des clauses contractuelles types (CCT) approuvées par la Commission européenne.
  • Des règles d'entreprise contraignantes (Binding Corporate Rules).

Le Client sera informé de tout transfert hors UE identifié affectant les données de la plateforme, avec indication des garanties mises en place.

Article 8 — Sécurité des données

ALICEA met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :

Mesures techniques

  • Chiffrement des communications par protocole TLS 1.2+ (HTTPS obligatoire)
  • Chiffrement des données sensibles au repos (AES-256 ou équivalent)
  • Authentification sécurisée avec gestion des habilitations par rôles (RBAC)
  • Journalisation (logs) de tous les accès et opérations sensibles sur les données
  • Sauvegardes quotidiennes chiffrées avec rétention et tests de restauration réguliers
  • Isolement logique des données entre Clients (architecture multi-tenant sécurisée)
  • Surveillance des accès et alertes sur comportements anormaux
  • Mises à jour de sécurité appliquées selon une politique de patch management

Mesures organisationnelles

  • Accès aux données restreint aux seuls personnels habilités et selon le principe du moindre privilège
  • Formation et sensibilisation régulière des équipes à la sécurité et à la protection des données
  • Signature d'accords de confidentialité par tout personnel ayant accès aux données
  • Procédures documentées de gestion des incidents et des violations de données
  • Revues régulières des droits d'accès et des habilitations

Article 9 — Violations de données

En cas de détection d'une violation de données à caractère personnel susceptible d'affecter les données de la plateforme, ALICEA s'engage à :

  1. Notifier le Client dans un délai de 48 heures après prise de connaissance de l'incident, par e-mail à l'adresse de contact du compte, avec une description de la nature de la violation, les catégories et volume de données concernées, les conséquences probables et les mesures prises ou envisagées.
  2. Coopérer pleinement avec le Client pour lui permettre de notifier la CNIL dans le délai de 72 heures prévu par l'article 33 du RGPD, si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes.
  3. Informer, le cas échéant, les personnes concernées si la violation est susceptible d'engendrer un risque élevé, conformément à l'article 34 du RGPD.
  4. Documenter la violation et les mesures correctives dans son registre interne des incidents.

ALICEA met tout en œuvre pour contenir rapidement l'incident et prévenir toute nouvelle violation.

Article 10 — Droits des personnes concernées

10.1 Droits des Utilisateurs du cabinet (données dont ALICEA est responsable)

Conformément aux articles 15 à 22 du RGPD, tout Utilisateur dispose des droits suivants sur ses données personnelles :

  • Droit d'accès (art. 15) : obtenir confirmation que ses données sont traitées et en recevoir une copie.
  • Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17) : obtenir la suppression de ses données, sous réserve des obligations légales de conservation.
  • Droit à la limitation (art. 18) : demander la suspension temporaire d'un traitement.
  • Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
  • Droit de ne pas faire l'objet d'une décision automatisée : ALICEA ne prend pas de décisions individuelles fondées exclusivement sur un traitement automatisé.

Pour exercer ces droits : rgpd@alicea.fr. La demande doit être accompagnée d'un justificatif d'identité. Réponse sous 1 mois, prorogeable d'un mois supplémentaire en cas de complexité. En cas de refus ou d'absence de réponse satisfaisante, un recours peut être introduit auprès de la CNIL.

10.2 Droits des clients finaux des cabinets (données dont le cabinet est responsable)

Les clients finaux des cabinets souhaitant exercer leurs droits doivent s'adresser directement à leur cabinet, responsable du traitement. Le cabinet peut solliciter l'assistance d'ALICEA pour y donner suite dans les délais légaux. ALICEA s'engage à répondre aux demandes d'assistance dans un délai de 10 jours ouvrables.

Article 11 — Documentation, audit et registre

11.1 Registre des activités de traitement

ALICEA tient et maintient à jour un registre des activités de traitement conformément à l'article 30 du RGPD, disponible sur demande auprès de l'autorité de contrôle.

11.2 Droit d'audit du Client

Le Client peut, à ses frais et avec un préavis de 30 jours ouvrables, mandater un auditeur indépendant pour vérifier la conformité d'ALICEA au présent accord. Cet audit :

  • Ne peut avoir lieu qu'une fois par année civile, sauf en cas de violation avérée.
  • Doit être conduit de manière à ne pas perturber les opérations d'ALICEA.
  • Est soumis à un accord préalable de confidentialité signé par l'auditeur mandaté.

ALICEA peut substituer à cet audit la fourniture de rapports d'audit réalisés par un organisme tiers indépendant (SOC 2, ISO 27001 ou équivalent) si disponibles.

11.3 Coopération avec la CNIL

ALICEA coopère avec la CNIL et les autres autorités de contrôle compétentes dans l'exercice de leurs missions, et informe le Client de toute injonction ou demande d'autorité portant sur les données de la plateforme, sauf interdiction légale.

Article 12 — Cookies et traceurs

12.1 Site vitrine alicea.fr

Type de cookie Finalité Durée Consentement requis
Cookie de session Maintien de la session et sécurité du formulaire de démo Session Non (strictement nécessaire)
Cookie de préférences Mémorisation des choix de l'utilisateur (langue, bannière cookie) 12 mois Non (strictement nécessaire)
Cookie analytique Mesure d'audience et analyse de navigation (pages vues, source de trafic) 13 mois Oui

12.2 Plateforme ALICEA (espace abonné)

Dans l'espace abonné, seuls des cookies fonctionnels strictement nécessaires à l'exécution du service sont utilisés (maintien de session, jetons CSRF, préférences d'affichage). Aucun cookie publicitaire ou de suivi tiers n'est déposé dans l'environnement de la plateforme.

La gestion des cookies s'effectue via les paramètres de votre navigateur ou la bannière de consentement disponible sur le site vitrine.

Article 13 — Durée et modification du présent accord

Le présent accord entre en vigueur à la date d'activation du compte ALICEA et reste en vigueur pour toute la durée de la relation contractuelle et au-delà, jusqu'à la suppression effective de l'ensemble des données.

ALICEA se réserve le droit de modifier le présent accord pour tenir compte de l'évolution réglementaire ou technique. Toute modification substantielle est notifiée aux Clients par e-mail et/ou notification in-app avec un préavis de 30 jours. La poursuite de l'utilisation de la plateforme après ce délai vaut acceptation des nouvelles dispositions.

En cas de désaccord, le Client peut résilier son abonnement sans pénalité dans ce délai de 30 jours.

Article 14 — Contact et délégué à la protection des données

Pour toute question relative à la protection des données, exercice de droits ou réclamation :

ALICEA — Référent Protection des Données
E-mail : rgpd@alicea.fr
Courrier : 43 quai des Chartrons — 33000 Bordeaux

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL :

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr