Légal · RGPD
Politique de confidentialité.
La présente politique décrit la manière dont SAS TRIPTIK collecte, utilise et protège les données à caractère personnel des utilisateurs du site golimbo.fr et du service LIMBO. Elle est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
Dernière mise à jour : 12 mai 2026.
1. Responsable de traitement
Le responsable de traitement au sens de l'article 4-7° du RGPD est :
SAS TRIPTIK
10 rue de Penthièvre, 75008 Paris, France
SIREN : 894 529 106 — RCS Paris
Email : contact@golimbo.fr
Délégué à la Protection des Données (DPO) — point de contact unique pour toute question relative à la présente politique ou à l'exercice des droits : dpo@golimbo.fr.
Lorsque l'Utilisateur charge ou saisit dans LIMBO des données personnelles relatives à ses propres clients, fournisseurs ou collaborateurs (nom, adresse, email, SIRET, etc.), l'Utilisateur est responsable de traitement de ces données et LIMBO agit en qualité de sous-traitant au sens de l'article 28 du RGPD, dans le cadre des présentes CGU et de la présente politique qui valent contrat de sous-traitance.
2. Données collectées et bases juridiques
Les catégories de données collectées par LIMBO et les bases juridiques de leur traitement sont les suivantes :
| Catégorie | Données concrètes | Base juridique (art. 6 RGPD) |
|---|---|---|
| Identité du compte | Nom, prénom, email, téléphone, mot de passe (haché en bcrypt/argon2). | Exécution du contrat (art. 6-1-b). |
| Entreprise du client | Raison sociale, SIREN, SIRET, numéro de TVA intracommunautaire, adresse, logo, RIB / IBAN pour le SEPA. | Exécution du contrat (art. 6-1-b) + obligation légale (art. 6-1-c) pour les mentions obligatoires des factures. |
| Données de paiement de l'abonnement | Identifiant Stripe Customer / PayPal Payer, derniers 4 chiffres de la carte (jeton — LIMBO ne stocke jamais le PAN complet ni le CVV). | Exécution du contrat (art. 6-1-b). |
| Données des clients de l'Utilisateur | Nom, raison sociale, adresse, SIRET, email, factures, devis, paiements. Saisies par l'Utilisateur, traitées par LIMBO comme sous-traitant. | L'Utilisateur (responsable de traitement) en définit la base juridique vis-à-vis de ses propres clients (le plus souvent : exécution du contrat ou obligation légale). |
| Cookies analytiques | Plausible Analytics (cookieless, données agrégées et anonymisées). Microsoft Clarity (heatmaps, replays anonymisés) uniquement avec consentement. | Plausible : intérêt légitime (art. 6-1-f). Clarity : consentement explicite (art. 6-1-a). |
| Logs techniques et sécurité | Adresse IP, user-agent, horodatage des actions sensibles (login, création/suppression de facture, paiement, export de données). | Intérêt légitime (art. 6-1-f) : sécurité du Service, prévention de la fraude, traçabilité comptable. |
| Communications marketing | Email, prénom, segmentation produit (plan, ancienneté). Newsletters et conseils produit. | Consentement explicite (art. 6-1-a) — opt-in à la création du compte ou ultérieurement, désinscription possible dans chaque envoi. |
Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions politiques, convictions religieuses, données de santé, etc.) n'est collectée par LIMBO.
3. Finalités du traitement
Les données collectées sont traitées pour les finalités suivantes :
- Fournir le Service : création de compte, édition et envoi de factures, transmission via PDP, encaissement, relances, espace client, support.
- Facturer l'abonnement : prélèvements mensuels, gestion des échecs de paiement, émission des factures de l'abonnement.
- Assister l'Utilisateur : traitement des demandes de support, suivi des incidents.
- Garantir la sécurité du Service : prévention et détection de la fraude, des accès non autorisés et des abus, mise en œuvre de l'authentification multi-facteurs, audit log.
- Respecter nos obligations légales : archivage probant des factures pendant dix (10) ans (art. L. 123-22 Code de commerce), conformité Factur-X / EN 16931, réponse aux réquisitions des autorités compétentes.
- Mesurer l'audience : statistiques agrégées de fréquentation du site (Plausible), heatmaps anonymisées (Clarity, avec consentement) pour améliorer l'ergonomie.
- Communiquer sur le produit : envoi de newsletters et de conseils produit, uniquement aux Utilisateurs ayant explicitement opté-in.
Aucune décision produisant des effets juridiques sur l'Utilisateur n'est prise sur le fondement exclusif d'un traitement automatisé (au sens de l'article 22 du RGPD).
4. Durées de conservation
Les durées de conservation appliquées par LIMBO sont les suivantes :
- Compte utilisateur actif : pour la durée de la relation contractuelle (tant que l'abonnement est actif et que l'Utilisateur n'a pas demandé la suppression).
- Compte utilisateur fermé : archivage de l'identité de base (nom, email, historique de facturation interne) pendant trois (3) ans après la fin de la relation contractuelle, à des fins probatoires et de réponse aux éventuelles réclamations (prescription commerciale).
- Factures émises par l'Utilisateur depuis le Service (et données strictement nécessaires à leur lecture) : dix (10) ans, conformément à l'article L. 123-22 du Code de commerce et au Livre des procédures fiscales (art. L. 102 B).
- Logs techniques et de sécurité : un (1) an glissant, conformément à la recommandation CNIL relative aux logs.
- Cookies analytiques : voir le tableau détaillé à l'article 9 (entre la session et 13 mois).
- Données de prospection commerciale : trois (3) ans à compter du dernier contact actif de la personne concernée.
- Sauvegardes chiffrées : trente (30) jours glissants après la dernière modification.
À l'expiration de ces durées, les données sont supprimées de manière définitive ou anonymisées de façon irréversible.
5. Destinataires des données — sous-traitants
LIMBO recourt à un nombre limité de sous-traitants techniques pour la fourniture du Service. Chaque sous-traitant est encadré par un contrat conforme à l'article 28 du RGPD :
- Google Cloud (Google Ireland Limited) —
hébergement applicatif et bases de données (région
europe-west1, Belgique), sauvegardes chiffrées, réseau, journalisation. - Stripe Payments Europe Limited (Irlande) — traitement des paiements par carte bancaire de l'abonnement LIMBO et, lorsque l'Utilisateur l'active, des paiements de ses propres factures.
- PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg) — alternative de paiement.
- Brevo (Sendinblue SAS) — envoi des emails transactionnels (vérification d'email, réinitialisation de mot de passe, notifications de facture). Établi en France, données hébergées en Union européenne.
- Plateformes de Dématérialisation Partenaires (PDP) immatriculées DGFiP — transmission des factures électroniques aux destinataires et au Portail Public de Facturation, dans le cadre de la réforme française. La PDP sélectionnée par l'Utilisateur agit sous sa responsabilité de traitement propre.
Aucune cession à des tiers à des fins commerciales ni à des courtiers de données n'est réalisée. Les données ne sont communiquées à des autorités administratives ou judiciaires que sur réquisition régulière et dans les limites strictes de celle-ci.
6. Transferts hors Union européenne
Les services applicatifs et bases de données de LIMBO sont hébergés
en Union européenne (Belgique, région Google Cloud
europe-west1).
Certains sous-traitants ont toutefois des organisations groupe au départ desquelles des traitements techniques (support, sécurité, antifraude) peuvent occasionnellement intervenir depuis les États-Unis :
- Google LLC (États-Unis) — en support de Google Ireland.
- Stripe Inc. (États-Unis) — en support de Stripe Payments Europe.
- PayPal Inc. (États-Unis) — en support de PayPal Europe.
Ces transferts sont encadrés par :
- l'adhésion des entités américaines concernées au Data Privacy Framework (DPF) UE–États-Unis adopté par décision d'adéquation de la Commission européenne du 10 juillet 2023 ;
- à titre subsidiaire, des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914), assorties des mesures supplémentaires techniques et organisationnelles requises (chiffrement, pseudonymisation, gestion des accès).
Une copie des CCT et de la documentation contractuelle pertinente est disponible sur simple demande à dpo@golimbo.fr.
7. Sécurité
LIMBO met en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour garantir la sécurité, l'intégrité et la confidentialité des données traitées, notamment :
- chiffrement TLS 1.2+ en transit pour l'intégralité des échanges entre l'Utilisateur et le Service ;
- chiffrement au repos des secrets de paiement par
libsodium (Doctrine custom type
encrypted_string) sur clé maîtresse stockée dans Google Secret Manager ; - hachage des mots de passe par algorithme à forte itération (bcrypt ou argon2id) ;
- authentification multi-facteurs (MFA) disponible et fortement recommandée ;
- journal d'audit des actions sensibles (login, création/suppression de facture, export de données, changement d'IBAN) ;
- cloisonnement des environnements de production et de test, et absence de données de production en environnement de développement ;
- sauvegardes chiffrées, testées régulièrement, avec rétention glissante de 30 jours ;
- politique de gestion des correctifs de sécurité et veille continue sur les vulnérabilités logicielles connues (CVE).
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, LIMBO notifie la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et le cas échéant les personnes concernées dans les meilleurs délais.
8. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose, dans les conditions et limites prévues par le règlement, des droits suivants :
- Droit d'accès — obtenir la confirmation que des données la concernant sont traitées et en recevoir une copie.
- Droit de rectification — faire corriger les données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») — obtenir la suppression de ses données, sous réserve des obligations légales de conservation (notamment l'archivage des factures pendant 10 ans).
- Droit à la limitation du traitement — obtenir le gel temporaire d'un traitement contesté.
- Droit d'opposition — s'opposer au traitement de ses données pour des motifs tenant à sa situation particulière, ou de manière absolue pour la prospection commerciale.
- Droit à la portabilité — recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement (export CSV / PDF / XML disponible depuis l'espace client).
- Droit de retrait du consentement, à tout moment, lorsque le traitement est fondé sur le consentement (cookies non strictement nécessaires, marketing).
- Droit de définir des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès (art. 85 loi Informatique et Libertés).
Ces droits peuvent être exercés gratuitement par email à dpo@golimbo.fr, accompagné de tout élément permettant de justifier l'identité du demandeur en cas de doute raisonnable. LIMBO s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité ou de nombre élevé de demandes (avec information préalable).
9. Cookies et traceurs
Le site golimbo.fr et le Service utilisent un nombre strictement limité de cookies et traceurs. Le détail :
| Nom / Émetteur | Finalité | Durée | Base juridique |
|---|---|---|---|
| Session applicative (LIMBO) | Maintien de la session authentifiée dans l'espace client (cookie HttpOnly, Secure, SameSite=Lax). |
Session (suppression à la déconnexion ou expiration). | Strictement nécessaire — exemption de consentement (art. 82 LIL). |
| CSRF token (LIMBO) | Protection contre les attaques par falsification de requête (CSRF). | Session. | Strictement nécessaire. |
| Plausible Analytics | Mesure d'audience anonymisée (pages vues, sources, durée). Aucun cookie déposé, aucune donnée personnelle, aucun cross-site tracking. | Sans objet. | Intérêt légitime — aucun consentement requis (cookieless conforme aux recommandations CNIL). |
| Microsoft Clarity (lorsqu'activé) | Heatmaps et enregistrements anonymisés de session pour amélioration de l'ergonomie. Masquage automatique des champs sensibles (mots de passe, paiements). | Jusqu'à 13 mois. | Consentement explicite préalable. |
| Stripe (page de paiement) | Sécurité et détection de fraude sur les pages de paiement (cookies déposés uniquement lors de la saisie d'une carte). | Jusqu'à 1 an. | Strictement nécessaire à la fourniture du service de paiement demandé. |
LIMBO ne dépose aucun cookie publicitaire, aucun cookie de retargeting et n'intègre aucun pixel de tracking tiers (Meta, Google Ads, TikTok, etc.).
Le consentement aux cookies non strictement nécessaires peut être retiré à tout moment via la bannière de consentement (lien « Gérer mes cookies » en pied de page) ou par configuration du navigateur (blocage / suppression).
10. Réclamation auprès de la CNIL
Si, après avoir contacté notre DPO à dpo@golimbo.fr, vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL
3 place de Fontenoy — TSA 80715
75334 PARIS CEDEX 07
Téléphone : +33 (0)1 53 73 22 22
Site :
https://www.cnil.fr
11. Modification de la présente politique
LIMBO peut être amenée à modifier la présente politique pour refléter l'évolution du Service, de la réglementation ou de ses sous-traitants. Toute modification substantielle est notifiée à l'Utilisateur par email et par affichage dans le Service.
La date figurant en haut de la page indique la dernière mise à jour. Il est recommandé de consulter régulièrement cette page.
Pour toute question relative à la présente politique de confidentialité : dpo@golimbo.fr.