Quostra

Politique de Confidentialité

Quostra s'engage à protéger vos données personnelles et à respecter votre vie privée. Cette politique de confidentialité vous informe sur la collecte, le traitement et la protection de vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD).

Date de dernière mise à jour : 09 décembre 2025 | Version : 1.0

1. Responsable du traitement

Identité du responsable :

Nom : PASTOR THIBAUD
Statut : Entrepreneur individuel
SIRET : 85380742800034
Numéro de TVA : FR41853807428
Adresse : 57 Rue Gutenberg - 75015 Paris
Email : contact@quostra.com

Le responsable du traitement est la personne qui détermine les finalités et les moyens du traitement des données personnelles.

2. Données collectées

Quostra collecte les catégories de données personnelles suivantes :

Données d'identification :

  • Nom, prénom
  • Adresse email
  • Nom de l'entreprise
  • Numéro de téléphone (optionnel)

Données de connexion :

  • Adresse IP
  • Logs de connexion
  • Type de navigateur et système d'exploitation
  • Pages visitées et durée de visite

Données d'usage :

  • Projets créés
  • Livrables générés (estimatifs, DPGF, CCTP)
  • Consommation de crédits
  • Historique des actions sur la plateforme

Données de facturation :

  • Coordonnées bancaires (traitées par LemonSqueezy, notre prestataire de paiement, nous n'avons jamais accès à vos données bancaires)
  • Historique des transactions
  • Factures émises

Données de communication :

  • Échanges par email avec le support
  • Messages via le formulaire de contact
  • Historique des demandes de support

Les données marquées d'un astérisque (*) lors de la collecte sont obligatoires. L'absence de ces données peut empêcher l'accès au service.

3. Finalités du traitement

Les données personnelles sont collectées et traitées pour les finalités suivantes :

Gestion des comptes utilisateurs :

  • Création et gestion du compte
  • Authentification et contrôle d'accès
  • Gestion du profil utilisateur

Fourniture du service :

  • Génération des livrables techniques
  • Stockage et mise à disposition des documents
  • Gestion de la consommation de crédits
  • Support technique et assistance

Facturation et paiement :

  • Traitement des paiements
  • Émission des factures
  • Suivi des abonnements
  • Gestion des impayés

Amélioration du service :

  • Analyse d'usage et statistiques
  • Optimisation de l'expérience utilisateur
  • Développement de nouvelles fonctionnalités
  • Tests A/B et études utilisateurs

Communication :

  • Envoi d'emails transactionnels (confirmation, notifications)
  • Support client et réponse aux demandes
  • Newsletters et communications marketing (avec consentement)
  • Informations sur les mises à jour du service

Obligations légales :

  • Respect des obligations comptables et fiscales
  • Réponse aux demandes des autorités compétentes
  • Prévention de la fraude et sécurité

4. Base légale du traitement

Le traitement des données personnelles repose sur les bases légales suivantes, conformément à l'article 6 du RGPD :

Exécution du contrat (article 6.1.b) :

  • Gestion du compte utilisateur
  • Fourniture du service
  • Facturation et paiement

Intérêt légitime (article 6.1.f) :

  • Amélioration du service et analyse d'usage
  • Sécurité et prévention de la fraude
  • Gestion des impayés

Consentement (article 6.1.a) :

  • Communications marketing (newsletters)
  • Cookies non essentiels
  • Utilisation anonymisée des livrables pour références

Obligation légale (article 6.1.c) :

  • Conservation des données de facturation (obligations fiscales)
  • Réponse aux demandes des autorités

5. Destinataires des données

Les données personnelles sont destinées aux catégories de destinataires suivants :

Personnel autorisé de Quostra :

  • Équipe technique pour la maintenance et le support
  • Service client pour le traitement des demandes
  • Service comptable pour la facturation

Sous-traitants et prestataires :

  • Hébergement : Supabase (stockage des données et logs), Hostinger (serveur applicatif), GitHub (hébergement du code)
  • Paiement : LemonSqueezy (traitement des paiements et données bancaires - Quostra n'a jamais accès aux coordonnées bancaires)
  • Analytics : Google Analytics 4 (analyse d'audience, données anonymisées)
  • Email : Microsoft 365 / Outlook (envoi d'emails transactionnels et support)

Tous les sous-traitants sont sélectionnés avec soin et sont soumis à des obligations contractuelles strictes en matière de protection des données personnelles, conformément au RGPD.

Autorités compétentes :

En cas de demande légale ou d'obligation réglementaire, les données peuvent être communiquées aux autorités judiciaires, administratives ou fiscales.

Aucune vente ou location :

Quostra ne vend, ne loue et ne partage pas les données personnelles à des fins commerciales avec des tiers.

6. Transferts de données hors UE

Principe :

Les données personnelles sont hébergées et traitées au sein de l'Union Européenne dans la mesure du possible.

Transferts éventuels :

Certains sous-traitants peuvent être situés hors de l'Union Européenne (notamment pour les services d'hébergement cloud ou d'analytics). Dans ce cas, Quostra s'assure que :

  • Le pays bénéficie d'une décision d'adéquation de la Commission Européenne, ou
  • Des garanties appropriées sont mises en place (clauses contractuelles types de la Commission Européenne, Privacy Shield pour les États-Unis si applicable).

Liste des transferts hors UE :

  • Google Analytics 4 (États-Unis) : clauses contractuelles types
  • LemonSqueezy (États-Unis) : clauses contractuelles types
  • Microsoft 365 / Outlook (États-Unis) : clauses contractuelles types
  • GitHub (États-Unis) : clauses contractuelles types

Les utilisateurs peuvent obtenir une copie des garanties mises en place en contactant contact@quostra.com.

7. Durée de conservation

Les données personnelles sont conservées pendant les durées suivantes :

Données de compte actif :

  • Pendant toute la durée de l'abonnement
  • Jusqu'à 3 ans après la résiliation du compte (pour les obligations légales et la gestion des réclamations)

Données de facturation :

10 ans à compter de la clôture de l'exercice comptable (obligation fiscale)

Données de connexion (logs) :

12 mois maximum (obligation légale de sécurité)

Données de prospection (newsletters) :

3 ans à compter du dernier contact ou du retrait du consentement

Données de support client :

3 ans à compter de la clôture du ticket

À l'issue de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.

8. Sécurité des données

Quostra met en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles et prévenir leur altération, perte, accès non autorisé ou divulgation :

Mesures techniques :

  • Chiffrement des données en transit (HTTPS/TLS)
  • Chiffrement des données sensibles en base de données
  • Authentification sécurisée avec hachage des mots de passe (bcrypt ou argon2)
  • Pare-feu et systèmes de détection d'intrusion
  • Sauvegardes régulières et chiffrées
  • Mises à jour de sécurité régulières

Mesures organisationnelles :

  • Accès aux données limité aux personnes autorisées
  • Politique de mots de passe robustes
  • Journalisation et surveillance des accès
  • Procédures de gestion des incidents de sécurité
  • Formation du personnel à la protection des données

En cas de violation de données :

Conformément au RGPD, Quostra s'engage à :

  • Notifier la CNIL dans les 72 heures suivant la découverte de la violation
  • Informer les utilisateurs concernés si la violation présente un risque élevé pour leurs droits et libertés
  • Documenter la violation et les mesures prises

9. Droits des utilisateurs

Conformément au RGPD, les utilisateurs disposent des droits suivants concernant leurs données personnelles :

Droit d'accès (article 15) :

Obtenir la confirmation que des données sont traitées et accéder à ces données.

Droit de rectification (article 16) :

Demander la correction de données inexactes ou incomplètes.

Droit à l'effacement / "droit à l'oubli" (article 17) :

Demander la suppression des données dans certains cas (retrait du consentement, données non nécessaires, opposition au traitement).

Droit à la limitation du traitement (article 18) :

Demander la limitation du traitement dans certaines situations (contestation de l'exactitude, traitement illicite, opposition au traitement).

Droit à la portabilité (article 20) :

Recevoir les données dans un format structuré et couramment utilisé, et les transmettre à un autre responsable de traitement.

Droit d'opposition (article 21) :

S'opposer au traitement des données pour des raisons tenant à sa situation particulière (notamment pour le marketing direct).

Droit de retirer son consentement :

Pour les traitements basés sur le consentement, possibilité de le retirer à tout moment.

Droit de définir des directives post-mortem :

Définir des directives relatives à la conservation, l'effacement et la communication de ses données après son décès.

Exercice des droits :

Ces droits s'exercent par email à contact@quostra.com, en précisant :

  • Nom, prénom
  • Adresse email du compte
  • Nature de la demande
  • Copie d'une pièce d'identité (en cas de doute sur l'identité)

Quostra s'engage à répondre dans un délai de 30 jours maximum. Ce délai peut être prolongé de 2 mois en cas de complexité, avec information préalable.

Droit de réclamation :

En cas de désaccord sur le traitement des données, l'utilisateur peut introduire une réclamation auprès de la CNIL :

  • Site web : www.cnil.fr
  • Adresse : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
  • Téléphone : 01 53 73 22 22

10. Cookies et traceurs

Définition :

Les cookies sont de petits fichiers texte déposés sur le terminal de l'utilisateur lors de la visite d'un site web.

Types de cookies utilisés :

Cookies strictement nécessaires (pas de consentement requis) :

  • Cookies de session (authentification)
  • Cookies de sécurité (protection CSRF)
  • Cookies de préférence d'interface

Cookies de mesure d'audience (consentement requis) :

  • Google Analytics 4 (analyse de fréquentation, pages visitées, parcours utilisateur)
  • Données anonymisées et agrégées

Cookies de fonctionnalité (consentement requis) :

  • Préférences utilisateur (langue, affichage)
  • Mémorisation des choix

Gestion des cookies :

L'utilisateur peut à tout moment :

  • Accepter ou refuser les cookies via le bandeau de consentement
  • Modifier ses préférences dans les paramètres du compte
  • Configurer son navigateur pour refuser les cookies (peut limiter l'accès à certaines fonctionnalités)

Durée de conservation des cookies :

  • Cookies de session : supprimés à la fermeture du navigateur
  • Cookies persistants : 13 mois maximum

11. Modifications de la politique

Quostra se réserve le droit de modifier la présente Politique de Confidentialité à tout moment pour refléter :

  • Les évolutions réglementaires
  • Les changements dans les pratiques de traitement
  • L'ajout de nouvelles fonctionnalités

Notification des modifications :

En cas de modification substantielle, les utilisateurs seront informés par :

  • Email à l'adresse enregistrée
  • Notification sur la plateforme
  • Mise à jour de la date de dernière modification en haut de page

Acceptation :

La poursuite de l'utilisation du service après notification vaut acceptation de la nouvelle politique. En cas de désaccord, l'utilisateur peut résilier son compte.

12. Contact et réclamations

Pour toute question concernant la protection des données personnelles :

Email : contact@quostra.com
Objet : Protection des données personnelles

Adresse postale :

PASTOR THIBAUD
57 Rue Gutenberg
75015 Paris

Réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr