Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles traitées dans le cadre du service TaxPortugal est Robertino Martinez, dont le siège social est situé à Oasis Mar, Lote 2, Portimao, Portugal, numéro fiscal 314033521. Vous pouvez nous contacter à contact@taxportugal.com.

Aucun délégué à la protection des données n'est désigné car l'Opérateur ne remplit pas les critères de l'article 37 du RGPD. Pour toute question relative à la protection des données ou exercice de droits, utilisez l'adresse de courriel ci-dessus.

2. Données personnelles traitées

Données de compte : votre adresse électronique, votre nom (s'il est fourni par Google lors de la connexion) et les métadonnées d'authentification (date et heure de connexion, adresse IP, agent utilisateur, émission et utilisation du magic link).

Données de profil : un profil fiscal facultatif autodéclaré (résidence fiscale, régime, indicateur de personnes à charge, statut NHR/IFICI, langue de travail, locale). Nous ne collectons pas votre numéro fiscal (NIF), votre numéro de compte bancaire (IBAN), des montants monétaires ou des documents personnels, et le système indique à l'agent de ne pas écrire de telles informations dans la mémoire à long terme.

Données de conversation : les questions, messages et métadonnées que vous envoyez à l'agent, les réponses de l'agent et les notes que l'agent enregistre pendant une conversation pour conserver le contexte au sein de celle-ci. Les conversations sont stockées en texte clair et liées à votre compte.

Données d'état de facturation : niveau d'abonnement, statut, cycle de facturation, horodatage du dernier paiement, quotas du plan et identifiant client Stripe. Les données complètes de carte et autres données de paiement sont traitées exclusivement par Stripe ; l'Opérateur ne les reçoit ni ne les stocke.

Données techniques : journaux serveur standard (adresse IP, chemin de la requête, code d'état, horodatage) générés par le prestataire d'hébergement, utilisés à des fins de sécurité et de prévention des abus.

3. Finalités et bases juridiques

Nous traitons vos données personnelles afin de : (a) créer et authentifier votre compte, fournir le Service et répondre à vos questions — base juridique : exécution d'un contrat avec vous (article 6, paragraphe 1, point b), du RGPD) ; (b) traiter les paiements, gérer les abonnements et traiter les litiges de facturation — base juridique : exécution d'un contrat (article 6, paragraphe 1, point b)) et respect de nos obligations légales au titre de la législation fiscale et commerciale portugaise (article 6, paragraphe 1, point c)) ; (c) maintenir la sécurité, prévenir les abus, détecter la fraude et faire respecter nos Conditions — base juridique : notre intérêt légitime à exploiter un service sécurisé (article 6, paragraphe 1, point f)) ; (d) communiquer des informations transactionnelles (liens de connexion, reçus de facturation, avis de service) — base juridique : exécution d'un contrat ; (e) respecter les obligations légales, y compris répondre aux demandes légitimes des autorités — base juridique : obligation légale (article 6, paragraphe 1, point c)).

Nous n'utilisons pas vos données pour des courriels marketing ou de la publicité comportementale et nous ne vendons pas vos données.

4. Destinataires et sous-traitants

Nous recourons aux sous-traitants suivants pour l'exploitation du Service. Chacun est lié par un contrat de sous-traitance et traite vos données uniquement sur instructions documentées de l'Opérateur.

Anthropic, PBC (États-Unis) — génère les réponses de l'IA ; reçoit les messages de conversation soumis à l'agent et le contexte de prompt nécessaire à la réponse.

Cohere, Inc. (États-Unis / Canada) — génère exclusivement des embeddings du corpus juridique. Cohere ne reçoit pas vos conversations ni vos données de profil.

Stripe Payments Europe, Limited (Irlande) — traite les paiements de l'abonnement ; reçoit les données de paiement que vous fournissez au moment du paiement et votre adresse électronique. L'Opérateur ne reçoit pas les données de votre carte.

Resend, Inc. (États-Unis) — délivre le magic link et les courriels transactionnels ; reçoit votre adresse électronique et le corps du message.

Railway Corp. (États-Unis, région UE/Francfort) — fournit l'hébergement de l'application et un Postgres géré dans l'Union européenne ; traite toutes les données stockées par le Service au repos.

Google Ireland Limited (Irlande) — fournit la connexion Google (OAuth) ; reçoit une demande initiée par l'utilisateur et renvoie son profil de base (courriel, nom, URL de photo de profil).

Google Ireland Limited / Google LLC — exploite la mesure de conversion Google Ads. Lorsque vous arrivez au Service depuis une campagne Google Ads et consentez aux cookies publicitaires via la bannière, Google reçoit un événement de conversion comprenant le montant et la devise de l'achat, l'identifiant de la session Stripe Checkout et un hachage SHA-256 de votre adresse électronique (« Enhanced Conversions »). En cas de refus, aucune donnée de conversion n'est envoyée à Google.

Google Ireland Limited / Google LLC — exploite Google Analytics 4 pour l'analyse de l'audience du site. Lorsque vous consentez aux cookies d'analyse via la bannière, Google reçoit les signaux standard de pages vues, d'appareil et de source de trafic ; ni adresse électronique, ni nom, ni identifiant Stripe ne sont transmis. Google Ireland Limited est le responsable de traitement dans l'UE ; certaines données peuvent être transférées à Google LLC (États-Unis) au titre des Clauses contractuelles types et, lorsqu'applicable, du Data Privacy Framework UE–États-Unis.

Meta Platforms Ireland Limited (Irlande) — exploite le Meta Pixel et l'API Conversions de Meta pour l'attribution et l'optimisation des campagnes publicitaires sur Facebook et Instagram. Lorsque vous consentez aux cookies publicitaires via la bannière, votre navigateur dépose les cookies de première partie de Meta `_fbp` et (après un clic sur une publicité) `_fbc`, et lors d'un achat finalisé notre serveur transmet un événement « Purchase » comprenant le montant et la devise de l'achat, l'identifiant de la session Stripe Checkout, votre adresse IP, votre user-agent, les valeurs des cookies `_fbp` et `_fbc`, un hachage SHA-256 de votre adresse électronique et un hachage SHA-256 de votre identifiant utilisateur interne. En cas de refus, aucun cookie du Pixel n'est déposé et aucun événement n'est transmis depuis le serveur. Meta Platforms Ireland est le responsable de traitement dans l'UE ; certaines données peuvent être transférées à Meta Platforms, Inc. (États-Unis) au titre des Clauses contractuelles types et, lorsqu'applicable, du Data Privacy Framework UE–États-Unis.

Une liste à jour des sous-traitants peut être demandée à contact@taxportugal.com.

5. Transferts internationaux de données

Certains sous-traitants sont établis hors de l'Espace économique européen, en particulier aux États-Unis. Lorsque des données personnelles sont transférées hors de l'EEE, nous nous appuyons sur les Clauses contractuelles types de la Commission européenne (Décision 2021/914) et, lorsque cela est applicable, sur la décision d'adéquation Data Privacy Framework UE–États-Unis, ainsi que sur des mesures techniques et organisationnelles supplémentaires.

Les données applicatives au repos sont hébergées dans l'Union européenne (Railway, région de Francfort). Le contenu de conversation envoyé à Anthropic et le contenu de courriel envoyé à Resend peuvent être traités sur une infrastructure située aux États-Unis. Vous pouvez demander une copie du mécanisme de transfert applicable en écrivant à contact@taxportugal.com.

6. Traitement par IA et entraînement des modèles

Le Service utilise des modèles d'IA tiers (actuellement la famille Claude d'Anthropic) pour générer les réponses. Nous n'autorisons pas l'utilisation de vos conversations ou autres données personnelles pour entraîner, ajuster ou améliorer un modèle d'IA, et nous opérons selon les conditions commerciales de l'API de ces fournisseurs.

Les sous-traitants maintiennent leurs propres politiques publiées qui régissent la manière dont ils traitent les données soumises via leurs API. Vous devriez consulter les politiques d'Anthropic, Cohere, Stripe, Resend, Railway et Google pour des informations à jour sur leur traitement et leur conservation des données que nous leur envoyons.

7. Conservation

Les données de compte, de profil et de conversation sont conservées tant que votre compte existe. Lorsque vous supprimez votre compte, ces enregistrements sont supprimés en cascade (compte, sessions, profil, conversations, notes) ; les copies résiduelles dans les sauvegardes opérationnelles sont écrasées selon le calendrier de sauvegarde tournant du prestataire d'hébergement.

Les enregistrements de facturation (factures, historique d'abonnement, enregistrements de transactions à pertinence fiscale) sont conservés pendant dix (10) ans à compter de l'exercice fiscal pertinent, conformément à la législation fiscale et commerciale portugaise (Código Comercial et Código do IRC).

Les journaux d'authentification et les autres journaux techniques de sécurité sont conservés pour une durée maximale de douze (12) mois à des fins de prévention de la fraude et de réponse aux incidents.

8. Vos droits

Sous réserve des conditions du RGPD, vous avez le droit de : (a) accéder à vos données personnelles et en obtenir une copie (article 15) ; (b) demander la rectification de données inexactes (article 16) ; (c) demander l'effacement de vos données (article 17), que vous pouvez exercer immédiatement en supprimant votre compte ; (d) demander la limitation du traitement (article 18) ; (e) vous opposer au traitement fondé sur l'intérêt légitime (article 21) ; (f) demander la portabilité des données que vous avez fournies et que nous traitons par moyens automatisés sur la base d'un contrat ou d'un consentement (article 20) ; (g) lorsque le traitement est fondé sur le consentement, retirer votre consentement à tout moment, sans affecter la licéité du traitement effectué avant le retrait.

Pour exercer l'un de ces droits, écrivez à contact@taxportugal.com. Nous pourrons demander la vérification de votre identité. Nous répondrons dans un délai d'un mois, prolongeable de deux mois supplémentaires en cas de demandes complexes ou nombreuses, moyennant notification.

9. Droit de réclamation

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle en matière de protection des données. L'autorité compétente au Portugal est la Comissão Nacional de Proteção de Dados (CNPD) : https://www.cnpd.pt. Vous pouvez également introduire une réclamation auprès de l'autorité de contrôle de votre résidence habituelle ou de votre lieu de travail.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées aux risques du traitement, notamment le chiffrement TLS en transit, le chiffrement des identifiants au repos, le contrôle d'accès basé sur les rôles, l'hébergement dans l'Union européenne, les sauvegardes automatiques du prestataire d'hébergement et la journalisation des actions administratives. Aucun système n'est totalement sécurisé et nous ne pouvons garantir une sécurité absolue.

11. Cookies et technologies similaires

Nous utilisons des cookies strictement nécessaires à l'authentification, à la gestion de session et à la protection contre le CSRF. Ces cookies ne nécessitent pas de consentement au titre du régime ePrivacy transposé au Portugal car ils sont essentiels à la fourniture du service demandé.

Nous utilisons également la mesure de conversion Google Ads, qui dépose des cookies publicitaires (la bibliothèque gtag.js et les cookies `_gcl_*`) sur les pages visitées après votre arrivée depuis un lien Google Ads, afin de mesurer les campagnes d'acquisition payante et d'optimiser nos enchères. Il fonctionne sous votre consentement, recueilli via la bannière affichée lors de la première visite ; vous pouvez refuser, auquel cas aucun cookie publicitaire n'est déposé sur votre navigateur et aucun signal identifiant n'est envoyé à Google.

Pour la mesure de conversion Google Ads, nous pouvons transmettre à Google un hachage SHA-256 de votre adresse électronique (« Enhanced Conversions ») afin que Google puisse associer votre achat au clic publicitaire d'origine même lorsque les cookies tiers sont bloqués. Le hachage est calculé dans votre navigateur ; l'adresse en clair n'est jamais transmise et le hachage n'est pas conservé par nous.

Nous utilisons également Google Analytics 4 pour l'analyse de l'audience du site. Sous votre consentement, il enregistre dans votre navigateur les cookies de première partie `_ga` et `_ga_<conteneur>` afin de mesurer les pages vues, les sessions, les appareils et les sources de trafic. Nous n'avons activé ni Google Signals, ni les intégrations de fonctionnalités publicitaires, ni le suivi par User-ID ; nous ne transmettons à Google Analytics aucun identifiant personnel (pas d'adresse électronique, pas de nom, pas d'identifiant Stripe). En cas de refus, aucun cookie n'est enregistré dans votre navigateur ; dans ce cas, Google ne reçoit qu'un ping modélisé sans cookie, à des fins d'estimation agrégée du trafic.

Nous utilisons également le Meta Pixel et l'API Conversions de Meta pour l'attribution des campagnes publicitaires sur Facebook et Instagram. Le Pixel dépose le cookie de première partie `_fbp` sur votre navigateur ; après un clic sur une publicité Meta, il dépose également `_fbc`. Lors d'un achat finalisé, en plus de l'événement navigateur, notre serveur transmet un événement « Purchase » dupliqué à l'API Conversions de Meta comprenant le montant et la devise de l'achat, l'identifiant de la session Stripe Checkout, votre adresse IP, votre user-agent, les valeurs des cookies `_fbp` et `_fbc`, un hachage SHA-256 de votre adresse électronique et un hachage SHA-256 de votre identifiant utilisateur interne. Les hachages sont calculés sur notre serveur avant transmission ; l'adresse en clair n'est pas envoyée à Meta et les hachages ne sont pas conservés par nous. Le Pixel navigateur comme l'envoi serveur fonctionnent sous votre consentement — en cas de refus, aucun cookie du Pixel n'est déposé et aucun événement n'est transmis. Nous n'utilisons aucun outil tiers d'enregistrement de session.

12. Mineurs

Le Service n'est pas dirigé vers les mineurs de moins de dix-huit (18) ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Si vous avez connaissance qu'un mineur nous a fourni des données personnelles, contactez contact@taxportugal.com afin que nous puissions les supprimer.

13. Catégories particulières de données et décisions automatisées

Vous ne devez pas soumettre au Service des catégories particulières de données (article 9 du RGPD — santé, origine raciale ou ethnique, opinions politiques, convictions religieuses, données biométriques, vie ou orientation sexuelle) ni de données relatives à des condamnations pénales. Le Service n'est pas conçu pour traiter de telles données et nous n'avons pas de base juridique pour les traiter.

Le Service ne produit pas de décisions ayant des effets juridiques ou des effets significatifs similaires sur l'utilisateur au sens de l'article 22 du RGPD. Les Résultats du Service ont un caractère informatif et ne constituent pas une détermination de la situation fiscale de l'utilisateur.

14. Notification des violations de données

En cas de violation de données personnelles susceptible d'entraîner un risque pour les droits et libertés des personnes concernées, nous notifierons la CNPD dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 du RGPD. Lorsque la violation est susceptible d'entraîner un risque élevé pour la personne concernée, nous l'en informerons également sans retard injustifié conformément à l'article 34.

15. Suppression du compte

Vous pouvez supprimer votre compte à tout moment depuis la page de profil dans le Service. La suppression révoque immédiatement toutes les sessions, supprime l'enregistrement du compte, votre profil, vos conversations et les notes enregistrées pendant vos conversations, et résilie tout abonnement actif. Les sauvegardes contenant des données résiduelles sont rotatives selon la politique du prestataire d'hébergement et sont écrasées au fil du temps. Les enregistrements de facturation soumis à des obligations légales de conservation sont conservés pendant les durées décrites au point 7.

16. Modifications de la présente Politique

Nous pouvons mettre à jour la présente Politique de confidentialité afin de refléter les modifications du Service, de nos sous-traitants ou de la législation applicable. Nous vous informerons des modifications substantielles par courriel ou par un avis visible dans le Service avant leur entrée en vigueur. La date de « Dernière mise à jour » en haut de cette page indique la version en vigueur.

17. Contact

Pour toute question ou exercice de droits, contactez contact@taxportugal.com.