ITICK
FacturationDevis & IAScanner de facturesFrais & notes de fraisRéforme & Factur-XToutes les fonctionnalités
ParticuliersProfessionnelsEntreprisesPartenaires POSComptablesTarifs
Se connecter

Politique de Confidentialité

Dernière mise à jour : 17 juin 2026

1. Responsable du traitement

ITICK SAS est responsable du traitement des données personnelles collectées via le site itick.fr et l'application mobile ITICK.

Contact : contact@itick.fr

2. Données collectées

Nous collectons les données suivantes :

  • Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone
  • Données de facturation : factures scannées, montants, détails des transactions, informations marchands
  • Données d'organisation : nom de l'entreprise, SIRET, TVA, adresse (si utilisation en mode organisation)
  • Données techniques : appareil, version de l'OS, adresse IP, logs d'utilisation

3. Finalités du traitement

Vos données sont utilisées pour :

  • Fournir et améliorer le service de gestion et d'agrégation de factures
  • Assurer la sécurité de votre compte et prévenir la fraude
  • Envoyer des notifications relatives au service (alertes de paiement, validations)
  • Respecter nos obligations légales de conservation des données fiscales
  • Produire des statistiques anonymisées d'utilisation

4. Base légale du traitement

Le traitement de vos données repose sur :

  • L'exécution du contrat (CGU) pour la fourniture du service
  • Votre consentement pour les cookies non essentiels et les notifications marketing
  • Nos obligations légales de conservation des données fiscales (Code de commerce, CGI)
  • L'intérêt légitime pour la sécurité du service et la prévention de la fraude

5. Durée de conservation

  • Données de compte : conservées pendant toute la durée d'existence du compte. Vous pouvez demander la suppression de votre compte et de vos données à tout moment (voir section 8)
  • Données de facturation : conservées 10 ans conformément aux obligations fiscales (article L123-22 du Code de commerce)
  • Données techniques (logs) : conservées pendant la durée nécessaire à la sécurité et au diagnostic du service
  • Cookies : durée maximale de 13 mois (recommandation CNIL)

6. Partage des données

Vos données ne sont jamais vendues. Elles peuvent être partagées avec :

  • Nos sous-traitants techniques (liste détaillée ci-dessous)
  • Les membres de votre organisation : si vous utilisez le mode entreprise
  • Les autorités compétentes : en cas d'obligation légale

Nos sous-traitants (liste à jour au 17 juin 2026) :

Sous-traitantFinalitéZone traitementDurée de conservationEncadrement transfert
OVHcloudHébergement serveur applicatif (RISE-M, SBG3) et stockage objet S3 (pièces jointes, sauvegardes)France (Strasbourg / Gravelines)Durée de l'abonnement + 10 ans pour les pièces fiscalesPas de transfert hors EEE — DPA signé
Mistral AIOCR et extraction de données des factures et tickets (tous plans)France / Union européenneTraitement en temps réel — images non stockées après extractionPas de transfert hors EEE — DPA signé
Stripe Payments EuropeEncaissement des abonnements et paiementsIrlande (siège UE) avec sous-traitance technique aux États-Unis10 ans (obligations comptables et anti-blanchiment)Clauses contractuelles types (CCT) Commission européenne — DPA Stripe
Brevo (ex Sendinblue)Envoi d'e-mails transactionnels (OTP, notifications, factures)France (Paris)12 mois pour les logs d'envoiPas de transfert hors EEE — DPA signé
Apple Push Notification service (APNs)Notifications push iOSÉtats-Unis (Apple Inc.)Durée de vie du device token (jusqu'à désinstallation de l'app)CCT Commission européenne — Apple DPA
Firebase Cloud Messaging (FCM)Notifications push AndroidÉtats-Unis (Google LLC)Durée de vie du device token (jusqu'à désinstallation de l'app)CCT Commission européenne — Google DPA
Firebase (Authentication, Crashlytics, Analytics)Services backend Android (authentification annexe, rapports de crash, mesure d'audience après consentement)États-Unis (Google LLC)90 jours pour les crashs, 14 mois pour les données analytiquesCCT Commission européenne — Google DPA
SentrySuivi des erreurs techniques applicativesÉtats-Unis (Functional Software Inc.), avec région UE (Francfort) configurée90 jours pour les logs d'erreursCCT Commission européenne — Sentry DPA
Google Play ConsoleDistribution de l'application Android, fiche store, avis utilisateursÉtats-Unis (Google LLC)Durée de publication de l'application sur le storeCCT Commission européenne — Google DPA
App Store ConnectDistribution de l'application iOS, fiche store, avis utilisateursÉtats-Unis (Apple Inc.)Durée de publication de l'application sur le storeCCT Commission européenne — Apple DPA
FreeTSAHorodatage RFC 3161 (seule l'empreinte cryptographique non réversible du document est transmise)Autriche (Union européenne)Aucune donnée personnelle conservée (seul un hash anonyme est transmis)Pas de transfert hors EEE
Google AnalyticsMesure d'audience du site (chargé uniquement après votre consentement explicite)États-Unis (Google LLC)14 moisCCT Commission européenne — Google DPA

Transferts hors de l'Espace Économique Européen :les sous-traitants situés hors de l'EEE (Stripe, Apple, Google, Sentry) impliquent un transfert de données. Ces transferts sont encadrés par les clauses contractuelles types (CCT)adoptées par la Commission européenne (décision d'exécution 2021/914), conformément aux articles 44 à 49 du RGPD. Pour FreeTSA, seule une empreinte cryptographique non réversible est transmise (aucune donnée personnelle).

Mise à jour de la liste :tout ajout, retrait ou changement de zone d'un sous-traitant est publié ici avec une date de mise à jour. Pour les partenaires B2B (section 11), un préavis de 30 jours est notifié par e-mail avant tout changement de sous-traitant ultérieur, leur permettant de s'y opposer.

7. Sécurité des données

Nous mettons en place des mesures de sécurité appropriées :

  • Chiffrement des données en transit (TLS 1.3)
  • Authentification par mot de passe hashé (bcrypt)
  • Hébergement sécurisé sur infrastructure dédiée en France
  • Sauvegardes régulières et plan de continuité

8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données personnelles
  • Droit de rectification des données inexactes
  • Droit à l'effacement (droit à l'oubli)
  • Droit à la portabilité de vos données
  • Droit d'opposition et de limitation du traitement
  • Droit de retirer votre consentement à tout moment

Pour exercer ces droits, contactez-nous à : dpo@itick.fr

Vous pouvez également adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés).

9. Intelligence artificielle et OCR

ITICK utilise un service d'OCR (reconnaissance optique de caractères) pour extraire automatiquement les données de vos factures. Le traitement est identique sur tous les plans : Mistral AI(société française, données traitées dans l'Union européenne) assure l'extraction. Si ce service est momentanément indisponible, le scan est simplement reporté : aucune donnée n'est confiée à un autre prestataire.

  • Aucune décision automatisée n'est prise sur la base de ces données
  • Aucun profilage n'est effectué
  • Vos données ne sont pas utilisées pour entraîner des modèles d'IA
  • L'utilisateur reste responsable de la vérification des données extraites

10. Cookies et traceurs

Pour plus de détails sur les cookies utilisés, consultez notre Politique de Cookies.

11. Accord de traitement des données (DPA) — Partenaires B2B

Lorsqu'un partenaire (commerçant, POS, e-commerce) utilise l'API ITICK pour transmettre des données de leurs clients, ITICK agit en qualité de sous-traitant (article 28 du RGPD) et le partenaire en qualité de responsable du traitement.

Engagements d'ITICK en tant que sous-traitant :

  • Traiter les données personnelles uniquement sur instruction documentée du responsable du traitement
  • Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
  • Mettre en œuvre les mesures techniques et organisationnelles décrites à la section 7
  • Ne pas faire appel à un autre sous-traitant sans autorisation écrite préalable
  • Assister le responsable du traitement pour répondre aux demandes d'exercice des droits des personnes concernées
  • Assister le responsable du traitement pour ses obligations de notification de violation (sections 11 et 12)
  • Supprimer ou restituer les données personnelles au terme de la prestation, au choix du responsable du traitement
  • Mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ces obligations

Sous-traitants ultérieurs :

  • OVHcloud (hébergement applicatif + stockage S3) — France
  • Mistral AI (OCR des factures, tous plans) — France / Union européenne
  • Brevo (e-mails transactionnels) — France
  • Stripe Payments Europe (paiements) — Irlande / États-Unis, CCT Commission européenne
  • Sentry (suivi des erreurs) — région UE (Francfort), CCT Commission européenne
  • Apple Push Notification service (APNs) (notifications iOS) — États-Unis, CCT Commission européenne
  • Firebase Cloud Messaging (FCM) (notifications Android) — États-Unis (Google), CCT Commission européenne
  • FreeTSA (horodatage RFC 3161) — Autriche (UE), seul un hash anonyme est transmis

La liste complète et à jour, avec finalité, zone de traitement et durée de conservation, est détaillée dans le tableau de la section 6.

Tout changement de sous-traitant ultérieur sera notifié aux partenaires avec un préavis de 30 jours, leur permettant de s'opposer.

Durée de conservation des données partenaires :

  • Environnement sandbox : 30 jours
  • Environnement production : selon la politique de rétention de l'utilisateur final, avec un minimum de 10 ans pour les données fiscales

Le droit à l'effacement peut être exercé via l'endpoint API DELETE /partner/data/:userId ou par demande écrite à dpo@itick.fr.

Pour obtenir un DPA signé au format PDF, contactez dpo@itick.fr. Les conditions d'utilisation de l'API sont détaillées dans nos Conditions d'Utilisation de l'API Partenaire.

12. Notification de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, ITICK SAS s'engage à notifier la CNIL dans un délai de 72 heures (RGPD art. 33) et à vous informer dans les meilleurs délais si le risque est élevé (RGPD art. 34).

13. Contact DPO

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données :

Email : dpo@itick.fr

ITICK

L'infrastructure de la facture dématérialisée. Horodatée. Hébergée en France. Instantanée.

Produit

  • Facturation
  • Devis & IA
  • Scanner de factures
  • Frais & notes de frais
  • Réforme & Factur-X
  • Auto-entrepreneur

Solutions

  • Particuliers
  • Professionnels
  • Entreprises
  • Partenaires POS
  • Comptables

Ressources

  • Fonctionnalités
  • Sécurité
  • Conformité fiscale
  • Tarifs
  • À propos

Légal

  • Mentions légales
  • Confidentialité
  • CGU
  • CGV
  • Cookies
  • Préférences cookies

© 2026 ITICK. Tous droits réservés.

Conçu en France