Politique de confidentialité

Dernière mise à jour : 1^er mai 2026

Site en phase de démonstration. Aucune donnée commerciale n'est actuellement collectée. Les comptes de démonstration partagent un mot de passe public et ne contiennent que des données de test que vous saisissez volontairement.

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via lecobol.com est l'éditeur du site (voir mentions légales).

Conformément au RGPD (Règlement (UE) 2016/679) et à la loi Informatique et Libertés modifiée, vous disposez de droits sur vos données décrits à la section 6 ci-dessous.

2. Données collectées

2.1 Données d'authentification

• Identifiant de connexion (username)
• Mot de passe (stocké hors source, jamais en clair côté base de données utilisateurs ; le mot de passe d'admin de démonstration est stocké en clair localement sur le serveur, dans un fichier accessible uniquement à l'utilisateur système Apache)
• Jeton de session (COBILL_SID) — cookie HttpOnly, expiration 24 heures

2.2 Données métier (saisies par l'utilisateur)

• Profil de facturation : raison sociale, adresse, SIRET, IBAN, BIC
• Clients : nom, adresse, SIRET, email, téléphone
• Factures : date, échéance, lignes (description, quantité, prix), montants calculés (HT, TVA, TTC, URSSAF, net)

2.3 Données techniques

• Adresse IP de connexion (logs Apache standard, conservés jusqu'à 30 jours pour des fins de sécurité)
• Aucun outil d'analyse tiers (pas de Google Analytics, pas de Plausible, pas de Matomo, pas de Hotjar)
• Aucun pixel publicitaire ni traceur tiers

3. Finalités

• Authentification — permettre la connexion sécurisée au compte
• Fourniture du service — générer et stocker vos factures, calculer les cotisations URSSAF et le seuil TVA
• Sécurité — détecter et bloquer les tentatives d'accès illégitimes
• Aucune finalité publicitaire ou de profilage

4. Bases légales (art. 6 RGPD)

• Exécution d'un contrat (art. 6.1.b) — pour l'authentification et la fourniture du service de facturation
• Intérêt légitime (art. 6.1.f) — pour les logs techniques nécessaires à la sécurité du service
• Obligation légale (art. 6.1.c) — conservation des factures émises pour la durée imposée par le Code de commerce (10 ans)

5. Destinataires et sous-traitants

Aucune donnée n'est cédée, vendue ou partagée avec des tiers à des fins commerciales.

Sous-traitants techniques :

• Amazon Web Services (AWS) — hébergement de l'instance, région eu-west-3 (Paris). AWS EMEA est certifié ISO 27001 et propose des CCT (clauses contractuelles types) pour le RGPD.
• Let's Encrypt (ISRG) — émission du certificat TLS du site

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

• droit d'accès et de copie
• droit de rectification
• droit à l'effacement (« droit à l'oubli »)
• droit à la limitation du traitement
• droit à la portabilité de vos données
• droit d'opposition pour motifs légitimes
• droit de définir des directives post-mortem

Pour exercer ces droits : contact@lecobol.com. Une réponse vous sera apportée dans un délai maximum de 30 jours.

En cas de désaccord, vous avez également le droit de saisir la CNIL (Commission nationale de l'informatique et des libertés) à www.cnil.fr/fr/plaintes.

7. Durée de conservation

• Compte : tant que le compte est actif
• Factures : 10 ans après leur émission (obligation légale, art. L123-22 du Code de commerce)
• Sessions : 24 heures à compter du login, puis suppression
• Logs Apache : 30 jours glissants

8. Cookies

Le site utilise un seul cookie :

• COBILL_SID — cookie de session strictement nécessaire au fonctionnement de l'authentification. Durée : 24 heures. Caractère : HttpOnly, SameSite=Lax, Secure (HTTPS uniquement).

Ce cookie étant strictement nécessaire au service, il est exempté de consentement préalable conformément à la recommandation CNIL du 17 septembre 2020.

Aucun cookie tiers, aucun traceur publicitaire, aucun cookie de mesure d'audience n'est posé.

9. Sécurité

• Connexion HTTPS forcée (TLS 1.2+ via Let's Encrypt)
• Cookies HttpOnly et SameSite=Lax
• En-têtes de sécurité : X-Content-Type-Options: nosniff, X-Frame-Options: DENY, Referrer-Policy: strict-origin-when-cross-origin, Strict-Transport-Security
• Pare-feu UFW restreint aux ports 22 / 80 / 443
• Sauvegardes régulières des données métier

10. Modification de la présente politique

Cette politique peut être mise à jour. La date de dernière modification figure en haut du document. Toute modification substantielle sera notifiée par email aux titulaires de comptes actifs.