Politique de confidentialité

Responsable du traitement : MVE Holding BV, opérant sous le nom Libaros, enregistrée aux Pays-Bas. Nom commercial : Libaros. CCI néerlandaise 58233938 · TVA NL852937039B01. Email : privacy@libaros.com.

Nous n'avons pas désigné de Délégué à la Protection des Données formel car nous ne dépassons pas les seuils RGPD. MVE Holding BV est le contact privacy principal via privacy@libaros.com.

Nous collectons le minimum nécessaire au fonctionnement du service :

• Saisies du calculateur : revenu mensuel brut, pays de résidence, situation familiale, détention d'entreprise, propriété immobilière. Stockées uniquement dans un jeton signé dans ton URL de navigateur, pas sur nos serveurs, sauf si tu achètes un rapport.
• Adresse email : lors d'inscription à la liste d'attente, commande de rapport ou abonnement à la newsletter.
• Données de facturation (nom, adresse, code postal, ville, pays) : collectées au checkout, utilisées uniquement pour émettre ta facture et respecter notre obligation néerlandaise de conservation fiscale de 7 ans. Stripe les collecte directement dans son flux checkout ; pour Mollie nous les collectons dans notre formulaire et les transmettons comme métadonnées de paiement.
• Données de paiement : entièrement gérées par Stripe et Mollie. Nous ne recevons que la confirmation, jamais ton numéro de carte.
• Données techniques : adresse IP, type de navigateur, pages visitées. Uniquement pour la sécurité et l'analytique agrégée.

Nous traitons tes données uniquement pour ces finalités :

• Livraison du rapport Libaros commandé
• Émission de ta facture et déclaration trimestrielle EU OSS TVA à l'administration fiscale néerlandaise (Belastingdienst)
• Envoi d'emails essentiels (confirmation d'achat, livraison du rapport, remboursements)
• Newsletter mensuelle, uniquement avec opt-in explicite
• Analytique agrégée pour améliorer le service, uniquement avec cookies analytiques acceptés
• Prévention de la fraude et rate-limiting

Selon l'article 6 du RGPD, nos bases juridiques sont :

• Contrat (Art. 6(1)(b)) : lors d'une commande de rapport, nous traitons les données nécessaires à sa livraison.
• Consentement (Art. 6(1)(a)) : pour la newsletter et les cookies analytiques. Retrait possible à tout moment.
• Intérêt légitime (Art. 6(1)(f)) : pour la sécurité, la prévention de la fraude et l'analytique technique agrégée.
• Obligation légale (Art. 6(1)(c)) : registres fiscaux et comptables obligatoires.

Nous conservons les données uniquement le temps nécessaire :

• Jetons du calculateur : 30 jours (expirent automatiquement)
• Email de liste d'attente : jusqu'à désinscription
• Registres d'achat : 7 ans (obligation fiscale néerlandaise)
• PDF des rapports : 5 ans (pour téléchargement ultérieur)
• Logs techniques : 90 jours

Nous ne vendons pas tes données. Conformément à l'article 28 du RGPD, nous avons un contrat de traitement avec chaque sous-traitant ci-dessous. La liste nomme le sous-traitant, ce qu'il fait pour nous, et où il est établi :

• Supabase, hébergement base de données ; région UE (Francfort). Stocke les rapports, paiements et leads.
• Vercel, hébergement du site ; région UE pour le trafic UE. Sert l'application libaros.com.
• Stripe, paiements carte et Apple/Google Pay. Irlande (Stripe Payments Europe Ltd.).
• Mollie, paiements iDEAL, Bancontact, Wero. Pays-Bas.
• Resend, emails transactionnels (confirmation d'achat, livraison du rapport). Irlande.
• Beehiiv, livraison de la newsletter ; uniquement avec opt-in. États-Unis, couvert par le EU-US Data Privacy Framework.
• Anthropic, génération de rapport IA. États-Unis, couvert par l'addendum de traitement de données d'Anthropic et le EU-US Data Privacy Framework.
• Trigger.dev, exécution de jobs en arrière-plan (rendu et livraison de ton rapport). États-Unis, couvert par l'addendum de Trigger.dev et les Clauses Contractuelles Types.
• Upstash, cache Redis pour limitation de débit ; région UE. Seules les adresses IP sont traitées.
• Plausible Analytics, analytique sans cookies respectueuse de la vie privée, région UE ; uniquement avec acceptation des cookies d'analyse.
• Autorités, lorsque la loi l'exige.

La plupart de nos sous-traitants sont en UE. Anthropic est aux États-Unis, les transferts reposent sur les Clauses Contractuelles Types et la décision d'adéquation EU-US Data Privacy Framework.

Selon le RGPD tu as le droit de :

• Accéder à tes données (Art. 15)
• Rectifier des données inexactes (Art. 16)
• Supprimer tes données, "droit à l'oubli" (Art. 17)
• Limiter le traitement (Art. 18)
• Recevoir tes données dans un format portable (Art. 20)
• T'opposer au traitement fondé sur l'intérêt légitime (Art. 21)
• Retirer ton consentement à tout moment (Art. 7(3))
• Déposer une plainte auprès de la CNIL néerlandaise (Autoriteit Persoonsgegevens, autoriteitpersoonsgegevens.nl)

Nous utilisons une sécurité standard industrielle : connexions chiffrées (TLS 1.3), stockage chiffré, contrôle d'accès basé sur les rôles, authentification à deux facteurs pour les comptes admin, audits de sécurité réguliers et un plan documenté de réponse aux incidents. Nous notifierons la CNIL néerlandaise dans les 72 heures et les utilisateurs concernés sans retard injustifié en cas de violation de données.

Nous utilisons un nombre minimal de cookies. Les cookies strictement nécessaires (préférence de langue, état de consentement) sont toujours actifs. Les cookies analytiques et marketing requièrent un consentement explicite. Voir notre Politique de cookies pour les détails.

Nous pouvons mettre à jour cette politique lorsque la réglementation change ou nos pratiques évoluent. Les changements substantiels seront communiqués par email aux clients actifs et par un bandeau sur libaros.com.

Questions sur la confidentialité : privacy@libaros.com. Nous visons une réponse sous 7 jours ouvrés.