.svg)
SOFYX — Version au 12 juin 2026
SOFYX attache une grande importance à la protection des données à caractère personnel. La présente politique de confidentialité (la « Politique ») décrit la manière dont SOFYX collecte, utilise, conserve, partage et protège les données à caractère personnel dans le cadre de la fourniture de sa solution logicielle de gestion pour cabinets d'expertise comptable, accessible sur www.sofyx.io (la « Solution »).
Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
La Solution est éditée par SOFYX, SAS au capital de 15 000 €, immatriculée au RCS de Paris sous le numéro 932 422 744, dont le siège social est situé 97 rue Pelleport, 75020 Paris.
Pour toute question relative à vos données ou pour exercer vos droits, vous pouvez nous contacter à l'adresse contact@sofyx.fr.
La présente Politique s'applique aux personnes dont SOFYX traite les données à caractère personnel : utilisateurs de la Solution (cabinets clients et leurs collaborateurs), prospects, fournisseurs, et plus généralement toute personne en relation avec SOFYX.
Elle gouverne les traitements pour lesquels SOFYX agit en qualité de responsable de traitement. Les traitements que SOFYX réalise en qualité de sous-traitant, pour le compte de ses cabinets clients (notamment les données que ceux-ci importent dans la Solution au sujet de leurs propres clients), sont régis par l'Accord sur la protection des données (DPA) annexé aux Conditions Générales de Services.
Conformément au RGPD, SOFYX peut intervenir selon deux rôles :
Nom, prénom, adresse e-mail professionnelle, poste, numéro de téléphone professionnel et, de façon optionnelle, photo de profil.
Adresse IP, journaux de connexion (identifiant, horodatage), cookies et traceurs techniques, aux fins de fourniture, de sécurité et de bon fonctionnement du service.
Coordonnées et informations de paiement (les paiements étant traités par notre prestataire Stripe en qualité de responsable de traitement des données bancaires).
Selon les fonctionnalités que vous activez : données issues de la connexion à votre messagerie et à votre agenda (Google ou Microsoft) et à votre stockage documentaire (voir section 5), données relatives aux appels via la téléphonie intégrée, et documents soumis à la signature électronique.
Les données que vous et vos collaborateurs importez dans la Solution (dossiers, pièces comptables, informations relatives à vos propres clients). SOFYX agit alors en qualité de sous-traitant (voir section 2). Vous demeurez responsable de l'exactitude de ces données et de la base légale de leur traitement.
SOFYX propose des fonctionnalités optionnelles de connexion à des services Google (Gmail, Google Calendar, Google Drive) et Microsoft (Outlook, Microsoft Calendar, SharePoint, Teams). Lorsque vous y consentez via l'écran d'autorisation du fournisseur concerné, SOFYX accède à vos données dans les conditions strictement décrites ci-dessous. Vous pouvez connecter un ou plusieurs comptes ; chaque connexion fait l'objet d'une autorisation distincte et révocable.
| Périmètre (scope) | Accès accordé | Finalité |
|---|---|---|
gmail.modify | Lire, envoyer, rédiger et organiser (libellés, brouillons) les e-mails du compte connecté | Lire les e-mails entrants et les rattacher au dossier client, envoyer des e-mails depuis SOFYX au nom de l'utilisateur, organiser les messages dans le flux de travail du cabinet |
calendar.events | Lire et modifier les événements de l'agenda connecté | Synchronisation bidirectionnelle des rendez-vous |
calendar.calendarlist.readonly | Voir la liste des agendas (noms et identifiants) | Choisir quel agenda synchroniser |
| Permission (Microsoft Graph) | Accès accordé | Finalité |
|---|---|---|
Mail.ReadWrite | Lire, classer et rédiger les e-mails du compte Outlook connecté | Rattacher les e-mails aux dossiers clients et préparer les réponses |
Mail.Send | Envoyer des e-mails au nom de l'utilisateur | Envoi de courriels depuis SOFYX |
Calendars.ReadWrite | Lire et modifier les événements de l'agenda | Synchronisation bidirectionnelle des rendez-vous |
Sites.Selected / Files.ReadWrite | Déposer et modifier des documents dans des emplacements SharePoint déterminés | Gestion documentaire par fiche entreprise / dossier client, limitée aux emplacements autorisés |
L'accès SharePoint est limité aux emplacements explicitement autorisés (fiches entreprises, dossiers clients) et n'autorise pas l'accès à l'ensemble des fichiers du cabinet. L'utilisation des données issues des API Microsoft est limitée à la fourniture des fonctionnalités décrites, conformément aux conditions d'utilisation des API Microsoft.
Les données issues de ces connexions sont utilisées exclusivement pour fournir les fonctionnalités que vous activez, à votre demande. SOFYX ne les vend pas, ne les partage avec aucun tiers à des fins publicitaires, et ne les utilise pas pour entraîner des modèles d'intelligence artificielle. Aucun être humain ne les lit, sauf avec votre accord exprès, pour des raisons de sécurité, pour respecter une obligation légale, ou sous une forme agrégée et anonymisée. SOFYX ne supprime jamais définitivement vos e-mails et ne demande pas d'accès plus large que les périmètres ci-dessus.
Ces données sont chiffrées en transit (TLS) et au repos, et hébergées dans l'Union européenne (Scaleway). Elles sont conservées tant que la synchronisation correspondante est active. Vous pouvez à tout moment déconnecter un compte depuis les paramètres de SOFYX : la déconnexion révoque l'accès et entraîne la suppression des données associées sous trente (30) jours. Vous pouvez également révoquer l'accès directement depuis votre compte Google (myaccount.google.com/permissions) ou Microsoft (myapps.microsoft.com).
Le détail des traitements que SOFYX met en œuvre en qualité de responsable de traitement figure dans le tableau en Annexe 1. SOFYX veille à ne collecter que les données pertinentes, adéquates et limitées à ce qui est nécessaire au regard de la finalité poursuivie (principe de minimisation).
La Solution et le site utilisent des cookies et traceurs strictement nécessaires à leur fonctionnement et à leur sécurité. Aucun cookie publicitaire ou de mesure d'audience tierce n'est déposé sans votre consentement préalable.
SOFYX met en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour protéger les données contre toute destruction, perte, altération, divulgation ou accès non autorisés : chiffrement en transit et au repos, contrôle des accès au strict nécessaire, authentification, sauvegardes, journalisation et procédures de gestion des incidents. L'accès des collaborateurs de SOFYX aux données est limité à ce qui est nécessaire à l'exécution de leurs missions et soumis à une obligation de confidentialité.
Vos données sont accessibles aux équipes internes de SOFYX dans la limite de leurs attributions, et à des sous-traitants techniques sélectionnés pour leurs garanties de sécurité, tenus par contrat à des obligations équivalentes :
| Prestataire | Rôle | Localisation / encadrement |
|---|---|---|
| Scaleway | Hébergement de la Solution | Union européenne |
| Stripe | Paiement des abonnements | Union européenne (Irlande) |
| Google LLC | Connexion Gmail, Google Calendar, Google Drive (API) | États-Unis — EU-US Data Privacy Framework |
| Microsoft | Connexion Outlook, Microsoft Calendar, SharePoint, Teams (API Graph) | Union européenne / États-Unis — EU-US Data Privacy Framework |
| Allô | Téléphonie et résumé automatisé d'appels (voir 9.1) | Partenaire tiers — encadré par contrat |
| Mailgun | Envoi d'e-mails de service | États-Unis — EU-US Data Privacy Framework |
| Aircall, Ringover | Téléphonie IP | Union européenne |
| 3CX | Téléphonie IP | États-Unis — EU-US Data Privacy Framework |
Vos données peuvent par ailleurs être communiquées aux autorités administratives ou judiciaires lorsque la loi l'exige.
Si vous activez la fonctionnalité de résumé d'appels, le contenu des appels concernés fait l'objet d'un traitement automatisé fourni par un partenaire tiers afin d'en produire un résumé. Ce traitement est encadré par contrat ; les données ne sont pas utilisées à des fins publicitaires ni, sauf information contraire portée à votre connaissance, pour l'entraînement de modèles d'intelligence artificielle. Compte tenu de la nature potentiellement sensible des conversations, vous restez responsable de l'information des personnes concernées et de l'opportunité d'activer cette fonctionnalité.
La Solution permet de vous connecter à des outils tiers (notamment Fulll, Pennylane, My Unisoft, INPI, Impots.gouv, SharePoint, Microsoft Teams, Google Drive, ainsi que des solutions de signature électronique telles que DocuSeal, Yousign, Docusign, jesignexpert). Pour ces connexions, SOFYX agit comme intermédiaire technique et les données concernées demeurent traitées par chaque outil tiers, selon ses propres conditions d'utilisation et politiques de confidentialité, que nous vous invitons à consulter. SOFYX n'est pas responsable des traitements réalisés par ces tiers.
Certains prestataires sont établis aux États-Unis. Les transferts correspondants sont encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne (UE) 2023/1795 du 10 juillet 2023) lorsque le prestataire y est certifié, ou, à défaut, par les clauses contractuelles types de la Commission européenne.
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, du droit de retirer votre consentement à tout moment, et du droit de définir le sort de vos données après votre décès.
Pour exercer ces droits, contactez-nous à contact@sofyx.fr. Une preuve d'identité pourra être demandée en cas de doute raisonnable. Nous répondons dans un délai d'un mois. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
Pour les traitements où SOFYX agit en qualité de sous-traitant, vos demandes doivent être adressées au cabinet responsable de traitement ; SOFYX l'assistera dans le traitement de votre demande sans pouvoir y répondre directement.
SOFYX peut faire évoluer la présente Politique pour tenir compte des évolutions légales, réglementaires ou techniques, ou de l'ajout de fonctionnalités. En cas de modification substantielle (notamment des finalités, bases légales ou de l'usage des données Google), SOFYX en informera les utilisateurs par tout moyen écrit. La version en ligne fait foi.
| Finalité | Données traitées (liste non exhaustive) | Base légale | Durée de conservation |
|---|---|---|---|
| Création et gestion des comptes (inscription, accès, gestion et fermeture de compte) | Identité (nom, prénom, e-mail pro, poste, téléphone, photo optionnelle) | Exécution du contrat | Durée du contrat, puis suppression dans un délai maximal de 30 jours |
| Fourniture de la Solution et des Services (CRM, comptabilité, facturation, signature électronique, téléphonie, synchronisation mails/agenda) | Données de compte ; données liées aux fonctionnalités activées ; données importées dans les dossiers | Exécution du contrat | Durée du contrat |
| Connexion messagerie, agenda et stockage (Google et Microsoft — voir section 5) | E-mails (contenu, en-têtes), événements d'agenda, liste des agendas, documents SharePoint/Drive des emplacements autorisés | Exécution du contrat et consentement | Tant que la synchronisation est active ; suppression sous 30 jours après déconnexion |
| Support et assistance | Identité, e-mail, journaux de connexion, contenu de la demande | Exécution du contrat ; intérêt légitime (qualité du service) | Durée du contrat |
| Facturation et gestion des paiements | Identité, coordonnées, données de facturation et de paiement | Exécution du contrat ; obligation légale (art. L.123-22 C. com., art. 289 CGI) | 10 ans (obligations comptables et fiscales) |
| Signature électronique de documents | Identité des signataires, documents signés, preuves de signature | Exécution du contrat ; intérêt légitime (valeur probatoire) | Durée du contrat, puis selon la durée de conservation probatoire applicable |
| Sécurité de la Solution (authentification, prévention et détection des fraudes, journalisation, gestion des incidents) | Données de connexion et journaux (adresse IP, horodatage, identifiants) | Intérêt légitime (sécurité du service) | Jusqu'à 2 ans à des fins de preuve et de sécurité |
| Respect des obligations légales et gestion des litiges | Identité et données pertinentes selon la demande | Obligation légale ; intérêt légitime (défense des droits) | Durée de la procédure, dans la limite des délais de prescription applicables |
| Gestion des demandes d'exercice de droits | Identité, preuve d'identité le cas échéant | Obligation légale (RGPD) | 5 ans à compter de la demande |
Certaines données peuvent être conservées au-delà de ces durées pour permettre à SOFYX de respecter ses obligations légales ou de faire valoir ses droits dans les délais de prescription applicables. À l'expiration des durées, les données sont supprimées ou anonymisées.
