Dernière mise à jour : 3 juin 2026
1. Identité du Responsable de Traitement
Le responsable du traitement de vos données personnelles est :
AldoReprésenté par Nicolas Hugodot
135 chemin de la Pierre Bleue
34160 Castries, France
Email : contact@aldo.pro
SIRET : 421 659 533 00044
TVA : FR59421659533
2. Introduction
Aldo accorde une grande importance à la protection de vos données personnelles et au respect de votre vie privée. La présente Politique de Confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la loi Informatique et Libertés.
Cette politique s'applique à tous les utilisateurs du service Aldo accessible à l'adresse https://aldo.pro.
3. Données Personnelles Collectées
3.1 Données de compte et d'authentification
- Adresse email
- Mot de passe (chiffré et sécurisé)
- Identifiant unique de compte (UUID généré automatiquement)
- Nom du compte (personnel ou d'équipe)
- Date de création et dernière modification du compte
- Type de compte (personnel ou équipe)
3.2 Données des comptes d'équipe
Si vous utilisez un compte d'équipe, nous collectons :
- Nom de l'équipe
- Identifiant unique (slug) de l'équipe
- Liste des membres et leur rôle (propriétaire, admin, membre)
- Permissions accordées (gestion des rôles, facturation, paramètres, membres, invitations)
- Invitations envoyées et leur statut
3.3 Données clients de votre activité professionnelle
Pour vous permettre de gérer vos clients, nous stockons les informations que vous renseignez :
- Clients particuliers : prénom, nom, email, téléphone, adresse postale complète
- Clients entreprises : raison sociale, SIRET, numéro de TVA intracommunautaire, adresse du siège social
- Date de création et modifications des fiches clients
- Identifiant de l'utilisateur ayant créé ou modifié la fiche
3.4 Données de catalogue et tarification
- Noms et descriptions de vos produits/services (articles)
- Prix unitaires hors taxes
- Taux de TVA appliqués
- Unités de tarification et variations annuelles
- Date de création et modifications
3.5 Données de facturation et devis
- Numéros de documents (factures et devis) générés automatiquement
- Dates d'émission et échéances de paiement
- Références clients
- Lignes d'articles (description, quantité, prix, TVA)
- Montants totaux (HT, TVA, TTC)
- Statut des documents (brouillon, envoyé, payé, en retard, annulé)
- Conditions de paiement et pénalités de retard
- Fichiers PDF générés
- Métadonnées (créateur, modificateur, horodatages)
3.6 Données de conversations avec l'assistant IA
- Historique des conversations (titres et horodatages)
- Messages échangés avec l'assistant IA (contenu, rôle : utilisateur/assistant/système)
- Parties structurées des messages (format JSON)
- Identifiant de l'utilisateur auteur
3.7 Données d'utilisation de l'IA
Pour optimiser le service et respecter nos limites de taux, nous collectons :
- Type d'opération IA (chat, génération de texte, embedding, image)
- Modèle et fournisseur utilisé (ex: OpenAI GPT-4)
- Nombre de tokens en entrée et en sortie
- Coût estimé de l'opération (en centimes)
- Durée de traitement (en millisecondes)
- Statut de réussite ou d'échec avec messages d'erreur
- Référence à la conversation concernée
- Période de tracking (année, mois, jour, heure)
3.8 Données de support client
- Titre et description des tickets (HTML et JSON)
- Statut (ouvert, en cours, résolu, fermé)
- Priorité (basse, moyenne, haute, urgente)
- Utilisateur assigné au ticket
- Messages du ticket (contenu, visibilité interne/externe)
- Pièces jointes (images stockées dans Supabase Storage)
3.9 Données de facturation et abonnement
- Identifiant client Stripe
- Email de facturation
- Statut de l'abonnement (actif, essai, en retard, annulé, incomplet, en pause)
- Fournisseur de paiement (Stripe)
- Devise et informations tarifaires
- Dates de début et fin de période d'abonnement
- Indicateur d'annulation en fin de période
3.10 Données techniques et de connexion
- Adresse IP
- Type et version du navigateur
- Système d'exploitation
- Données de session (cookies d'authentification)
- Horodatages de connexion et d'activité
- Préférences d'interface (thème clair/sombre, langue)
3.11 Données de mesure d'audience et de publicité (Google Analytics, Pixel Meta)
Sur l'ensemble du parcours d'acquisition (pages publiques, inscription, onboarding, confirmation de paiement) — à l'exclusion de l'espace de travail authentifié — et uniquement après votre consentement explicite via la bannière cookies, nous utilisons Google Analytics 4 pour mesurer l'audience et la conversion du tunnel d'inscription. Les données suivantes sont collectées par Google :
- Adresse IP (tronquée/anonymisée par Google avant traitement)
- Identifiant client GA4 pseudonymisé
- Pages visitées et durée des visites
- Source du trafic (provenance, campagne, mot-clé)
- Informations techniques (navigateur, OS, type d'appareil)
- Localisation approximative (pays, ville)
Aucune donnée personnelle directement identifiante (email, nom, adresse, contenu de votre activité dans l'application) n'est transmise à Google. Vous pouvez à tout moment retirer votre consentement (voir section 8.7) ou installer le module complémentaire de désactivation de Google Analytics : tools.google.com/dlpage/gaoptout.
Sur ce même parcours d'acquisition et uniquement après votre consentement explicite, nous utilisons le Pixel Meta (Facebook / Instagram) pour mesurer l'efficacité de nos campagnes publicitaires et optimiser leur diffusion. Le Pixel transmet à Meta des données techniques (navigateur, pages vues, événement d'inscription) et des identifiants de navigateur/clic publicitaire (cookies _fbp / _fbc) permettant l'attribution des conversions et la constitution d'audiences. Nous n'activons pas la correspondance avancée : aucune donnée directement identifiante (email, téléphone, nom) n'est transmise à Meta. Vous pouvez à tout moment retirer votre consentement (voir section 8.7).
3.12 Mesure d'audience sans cookie (PostHog)
Pour mesurer le trafic et l'efficacité de nos campagnes marketing, nous utilisons également PostHog en mode sans cookie. Parce que cette mesure ne dépose aucun cookie et ne stocke rien sur votre terminal, elle s'applique aussi bien aux visiteurs ayant consenti qu'à ceux n'ayant pas consenti — elle repose sur l'exemption de mesure d'audience de la CNIL (article 82 de la loi Informatique et Libertés) et sur notre intérêt légitime, et non sur votre consentement. Les données anonymes suivantes, au niveau de la page, sont traitées :
- Pages visitées et durée des visites
- Interactions de page (clics, zones survolées, profondeur de défilement), sous forme agrégée et anonyme
- Source du trafic (provenance, campagne, mot-clé)
- Informations techniques (navigateur, OS, type d'appareil)
- Localisation approximative (pays) déduite sans conservation de votre adresse IP
Aucun identifiant persistant n'est créé : les visiteurs sont comptabilisés à l'aide d'une clé technique temporaire calculée côté serveur et régénérée chaque jour, et aucune adresse IP n'est conservée. Il n'y a aucun suivi inter-sites et les données ne sont jamais utilisées à des fins publicitaires. PostHog est hébergé dans l'UE et la collecte transite par notre point de collecte propriétaire /ingest, de sorte qu'aucune donnée n'est transférée hors UE. La relecture de session et les analytics produit identifiés (profils) ne sont activés qu'après votre consentement explicite.
3.13 Événements produit côté serveur (intérêt légitime)
Pour comprendre comment le service est utilisé et l'améliorer, nous envoyons certains événements produit à PostHog directement depuis nos serveurs (région UE). Ces événements ne stockent rien sur votre terminal et échappent donc au champ du consentement aux cookies ; ils sont traités sur la base de notre intérêt légitime (article 6.1.f RGPD). Ils comprennent :
- Événements de cycle de vie du compte (ex.
user_signed_up,onboarding_completed) - Métriques d'utilisation de l'IA (ex.
$ai_generation: modèle, nombre de tokens, latence, coût) — jamais le contenu de vos messages - Suivi des exceptions et erreurs côté serveur
Ces données sont hébergées dans l'UE, sans transfert hors UE.
4. Finalités du Traitement
Vos données personnelles sont collectées et traitées pour :
- Fourniture du service : créer et gérer votre compte, vous permettre d'utiliser toutes les fonctionnalités de la plateforme (gestion clients, facturation, devis, assistant IA, support)
- Authentification et sécurité : vérifier votre identité, sécuriser votre compte, prévenir la fraude et les accès non autorisés
- Gestion de la facturation : traiter vos paiements, émettre des factures, gérer votre abonnement
- Support client : répondre à vos questions, résoudre vos problèmes techniques, vous accompagner dans l'utilisation du service
- Amélioration du service : analyser l'utilisation de l'IA, optimiser les performances, corriger les bugs, développer de nouvelles fonctionnalités
- Respect des obligations légales : conservation des données comptables et fiscales conformément à la législation française
- Communications : vous informer des mises à jour importantes, des modifications de service, des problèmes de sécurité (emails transactionnels uniquement)
- Gestion des limites d'utilisation : appliquer les limites de taux d'utilisation de l'IA selon votre formule d'abonnement
- Mesure d'audience marketing et publicité : analyser le trafic des pages publiques (sources, pages consultées, conversion) via Google Analytics 4 et mesurer l'efficacité de nos campagnes publicitaires via le Pixel Meta, tous deux uniquement après votre consentement, ainsi que via PostHog en mode sans cookie (aucun cookie, hébergement UE), qui s'applique quel que soit votre choix de consentement
- Analytics produit et fiabilité : événements produit côté serveur (cycle de vie du compte, métriques d'utilisation de l'IA, suivi des erreurs) envoyés à PostHog (UE) pour comprendre l'usage et améliorer la fiabilité du service
5. Base Légale du Traitement
Conformément au RGPD, nous traitons vos données personnelles sur la base de :
- Exécution du contrat (article 6.1.b RGPD) : le traitement est nécessaire à l'exécution des Conditions Générales d'Utilisation et de Vente auxquelles vous avez souscrit
- Intérêt légitime (article 6.1.f RGPD) : amélioration du service, sécurité, prévention de la fraude, analyse des performances, mesure d'audience sans cookie (également couverte par l'exemption de mesure d'audience de la CNIL, article 82 de la loi Informatique et Libertés) et événements produit côté serveur — aucun de ces traitements ne stocke d'information sur votre terminal ni ne requiert votre consentement
- Obligation légale (article 6.1.c RGPD) : conservation des données comptables et fiscales pendant les durées légales
- Consentement (article 6.1.a RGPD) : pour certains cookies non essentiels et communications marketing (si applicable)
6. Destinataires des Données
6.1 Accès interne
Vos données sont accessibles en interne uniquement par le personnel habilité de Aldo, dans la limite de leurs attributions et du besoin d'en connaître.
6.2 Sous-traitants et partenaires techniques
Pour fournir le service, nous faisons appel à des prestataires externes qui traitent vos données en notre nom et sous notre responsabilité :
- Supabase (hébergement, base de données, authentification, stockage de fichiers) - États-Unis - Clauses contractuelles types
- OpenAI (traitement par intelligence artificielle) - États-Unis - Clauses contractuelles types
- Stripe (traitement des paiements) - États-Unis - Clauses contractuelles types
- Vercel (hébergement de l'application, analytics) - États-Unis - Clauses contractuelles types
- Upstash (rate limiting, cache Redis) - États-Unis - Clauses contractuelles types
- Google LLC (Google Analytics 4 - mesure d'audience et de conversion sur le parcours d'acquisition, chargé uniquement après consentement via le Consent Mode v2) - États-Unis - Data Privacy Framework (DPF) UE-USA + Clauses contractuelles types
- Meta Platforms, Inc. (Pixel Meta - mesure et optimisation de nos campagnes publicitaires Facebook et Instagram, chargé uniquement après consentement) - États-Unis - Data Privacy Framework (DPF) UE-USA + Clauses contractuelles types
- PostHog (mesure d'audience sans cookie, événements produit côté serveur et — après consentement — relecture de session et analytics produit identifié) - région UE - aucun transfert hors UE ; collecte via notre point de collecte propriétaire
/ingest. Contrairement aux prestataires établis aux États-Unis ci-dessus (ex. Google), aucun mécanisme de transfert international n'est requis pour PostHog. - SuperPDP (Plateforme Agréée, anciennement « PDP » — transmission légale de vos factures électroniques au format Factur-X, conformément à la réforme 2026-2027) - France (UE) - aucun transfert hors UE
Ces prestataires sont tenus par des obligations contractuelles strictes de sécurité et de confidentialité. Ils ne peuvent utiliser vos données qu'aux fins déterminées par Aldo et selon nos instructions.
6.3 Transferts hors Union Européenne
Certains de nos sous-traitants sont situés en dehors de l'Union Européenne, notamment aux États-Unis. Ces transferts sont encadrés par :
- Des clauses contractuelles types approuvées par la Commission Européenne
- Des garanties appropriées en matière de protection des données
- Le respect des principes du RGPD concernant les transferts internationaux
6.4 Autorités
Nous pouvons être amenés à communiquer vos données aux autorités compétentes si la loi l'exige ou pour protéger nos droits légaux.
7. Durée de Conservation
Vos données sont conservées pendant les durées suivantes :
- Données de compte actif : pendant toute la durée de votre abonnement et jusqu'à la suppression de votre compte
- Données clients, articles, devis : pendant la durée de votre abonnement + 3 ans après suppression (pour permettre une éventuelle réactivation)
- Données de facturation et comptabilité : 10 ans conformément aux obligations légales françaises (Code de commerce, Code général des impôts)
- Données de paiement Stripe : conservées selon les politiques de Stripe et les obligations légales de lutte contre le blanchiment
- Conversations avec l'assistant IA : pendant la durée de votre abonnement + 1 an après suppression
- Tickets de support : 3 ans après résolution du ticket
- Logs d'utilisation de l'IA : 12 mois (pour analyse et facturation)
- Données de connexion : 12 mois (pour sécurité et détection de fraude)
- Données Google Analytics : 14 mois (durée configurée dans GA4, conforme aux recommandations CNIL)
À l'expiration de ces délais, vos données sont supprimées ou anonymisées de manière irréversible, sauf obligation légale de conservation plus longue.
8. Vos Droits sur vos Données Personnelles
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
8.1 Droit d'accès (article 15 RGPD)
Vous pouvez obtenir la confirmation que vos données sont traitées et accéder à vos données personnelles.
8.2 Droit de rectification (article 16 RGPD)
Vous pouvez demander la correction de vos données inexactes ou incomplètes. La plupart des données peuvent être modifiées directement depuis votre espace personnel.
8.3 Droit à l'effacement (article 17 RGPD)
Vous pouvez demander la suppression de vos données personnelles. Vous pouvez supprimer votre compte depuis les paramètres. Certaines données peuvent être conservées pour respecter nos obligations légales (notamment les données comptables pendant 10 ans).
8.4 Droit à la limitation du traitement (article 18 RGPD)
Vous pouvez demander le gel temporaire du traitement de vos données dans certaines situations (contestation de l'exactitude, traitement illicite, etc.).
8.5 Droit à la portabilité (article 20 RGPD)
Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement. Vous pouvez exporter vos données depuis votre espace personnel.
8.6 Droit d'opposition (article 21 RGPD)
Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière, lorsque le traitement est fondé sur l'intérêt légitime.
8.7 Droit de retirer votre consentement
Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait ne remet pas en cause la licéité du traitement effectué avant le retrait.
8.8 Directives post-mortem (article 85 loi Informatique et Libertés)
Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.
8.9 Exercice de vos droits
Pour exercer vos droits, vous pouvez nous contacter :
- Par email : contact@aldo.pro
- Par courrier : Aldo, 135 chemin de la Pierre Bleue, 34160 Castries
Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes. Vous en serez alors informé.
Pour garantir la sécurité de vos données, nous pourrons vous demander de justifier de votre identité avant de donner suite à votre demande.
9. Droit de Réclamation
Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
10. Sécurité des Données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données personnelles et les protéger contre toute destruction, perte, altération, divulgation ou accès non autorisé :
- Chiffrement : connexion HTTPS (TLS 1.3), chiffrement des mots de passe avec algorithmes robustes (bcrypt), chiffrement au repos des données sensibles
- Contrôle d'accès : Row-Level Security (RLS) au niveau de la base de données, authentification forte, gestion des permissions par rôle
- Protection contre les attaques : protection CSRF (Cross-Site Request Forgery), protection contre les injections SQL, rate limiting pour prévenir les abus
- Surveillance : logs de sécurité, détection d'anomalies, alertes automatiques
- Sauvegardes : sauvegardes régulières et chiffrées des données, plan de reprise d'activité
- Mises à jour : maintien à jour des systèmes et logiciels, application rapide des correctifs de sécurité
- Audits : revues régulières de sécurité, tests de vulnérabilité
Malgré ces mesures, aucune transmission de données sur Internet ne peut être garantie comme totalement sécurisée. Nous nous engageons à notifier toute violation de données à caractère personnel à la CNIL et aux personnes concernées dans les délais légaux.
11. Cookies et Technologies Similaires
Nous utilisons des cookies et technologies similaires pour assurer le fonctionnement du Service et améliorer votre expérience. Pour en savoir plus, consultez notre Politique de Cookies.
12. Données des Mineurs
Le Service Aldo est réservé aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous avez connaissance qu'un mineur a fourni des informations personnelles, veuillez nous contacter afin que nous puissions supprimer ces données.
13. Modifications de la Politique de Confidentialité
Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour nous conformer aux évolutions législatives, réglementaires, jurisprudentielles ou technologiques.
Les modifications substantielles vous seront notifiées par email ou via une notification dans le Service au moins 30 jours avant leur entrée en vigueur. Nous vous encourageons à consulter régulièrement cette page.
La date de dernière mise à jour est indiquée en haut de ce document.
14. Contact pour les Données Personnelles
Pour toute question relative à la protection de vos données personnelles ou à la présente Politique de Confidentialité, vous pouvez contacter :
Contact pour les données personnellesNicolas Hugodot
Aldo
135 chemin de la Pierre Bleue
34160 Castries, France
Email : contact@aldo.pro
Résumé de vos droits : Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition concernant vos données personnelles. Vous pouvez exercer ces droits en nous contactant à l'adresse contact@aldo.pro. En cas de difficultés, vous pouvez saisir la CNIL.
