Demandes des personnes concernées : comment exercer vos droits RGPD en tant qu'utilisateur Clozo

Les six droits (chaque titre est le numéro d'article RGPD) :

- Art. 15 — Droit d'accès : confirmer si leurs données personnelles sont traitées et, le cas échéant, en obtenir une copie ainsi que des informations sur les finalités, catégories, destinataires, durée de conservation et source. - Art. 16 — Droit de rectification : corriger sans retard injustifié les données inexactes. - Art. 17 — Droit à l'effacement (« droit à l'oubli ») : supprimer les données lorsque la base légale ne s'applique plus, sous réserve d'exceptions (obligation légale, liberté d'expression, intérêt public). - Art. 18 — Droit à la limitation du traitement : suspendre le traitement pendant que l'exactitude est contestée, ou que le traitement est illicite mais que la personne ne souhaite pas l'effacement, etc. - Art. 20 — Droit à la portabilité des données : recevoir les données personnelles dans un format structuré, couramment utilisé et lisible par machine et les transmettre à un autre responsable de traitement. - Art. 21 — Droit d'opposition : s'opposer au traitement fondé sur l'intérêt légitime (art. 6, par. 1, point f) ou la prospection directe.

Délai de réponse (art. 12, par. 3) : un mois à compter de la réception. Prolongeable de deux mois supplémentaires « lorsque cela est nécessaire, compte tenu de la complexité et du nombre de demandes » — la personne doit être notifiée de la prolongation dans le premier mois avec les motifs.

Forme de la réponse (art. 12, par. 1) : concise, transparente, compréhensible, aisément accessible, en termes clairs. Gratuite sauf demandes « manifestement infondées ou excessives » (art. 12, par. 5).

Casquette 1 — Vous en tant que personne concernée (Clozo détient vos données).

C'est le flux en libre-service intégré au produit. Ouvrez /settings/privacy dans Clozo. Les points de terminaison côté utilisateur (au titre de BACKEND.md §3 « libre-service RGPD ») sont :

- Exporter vos données — GET /api/v1/me/export (art. 15 + 20). Bundle JSON couvrant compte, devis, clients, paiements, signatures, audit. Lien de téléchargement envoyé par e-mail ; valable 7 jours. - Effacer votre compte — POST /api/v1/me/erasure-request → POST /api/v1/me/erasure-confirm (ou POST /api/v1/me/erasure-cancel pour annuler dans la fenêtre de grâce) (art. 17). Flux de confirmation en deux étapes avec un délai de grâce de 7 jours. Après le délai, la tâche Celery beat quotidienne apply_pending_erasures à 02:00 UTC : pseudonymise les données personnelles sur la ligne User (au titre de [A-023] — conserve vat_number + company_name parce que la directive TVA UE art. 226, point 10 + art. 244 les exigent sur les factures conservées), désactive (sans supprimer) le compte Stripe Connect afin que les requerimientos AEAT en années 6 à 10 puissent encore recevoir une réponse via stripe_account_id (au titre de [A-022]), et écrit une clé de recherche email_hmac afin qu'un ancien utilisateur puisse être identifié à sa ligne plusieurs années après l'anonymisation. Les données fiscalement pertinentes (factures, reçus, contrats signés) sont conservées selon l'article 11.4. - Gérer le consentement — GET /api/v1/me/consent et POST /api/v1/me/consent (art. 7 + art. 21). Désactivez consent.advertising et consent.marketing dans Confidentialité. Effet : les expéditeurs côté serveur Google Ads + GA4 vérifient ces indicateurs et cessent les téléversements. - Limiter le traitement (art. 18) → e-mail à privacy@useclozo.com avec les détails. Le libre-service est sur la feuille de route.

Pour la rectification (art. 16), modifiez le champ directement dans /settings/profile ou /settings/company. La plupart des rectifications sont des modifications de paramètres, pas des demandes formelles.

Casquette 2 — Vous en tant que responsable de traitement (Clozo traite les données de vos clients pour votre compte).

Lorsque votre client vous envoie une demande (DSR), c'est à vous d'y répondre, en tant que responsable de traitement de ses données. Le rôle de Clozo est celui de sous-traitant au titre des Clauses Contractuelles Types (Module 2 : Responsable-vers-Sous-traitant) intégrées aux Conditions de Clozo — nous détenons les données sur vos instructions, mais la réponse à une DSR est votre obligation en tant que responsable de traitement.

Il n'existe pas aujourd'hui de panneau « Privacy Actions » dans /clients/{id} au sein du produit. Les DSR côté client sont traitées hors plateforme :

1. Recevez l'e-mail. Notez la date, la personne demandeuse et le droit invoqué. Votre délai de réponse est d'un mois à compter de la réception (art. 12, par. 3). 2. Vérifiez l'identité. Comparez l'e-mail/les coordonnées de la demande aux données de la fiche client. Ne divulguez pas de données personnelles à quelqu'un dont vous ne pouvez raisonnablement confirmer l'identité. 3. Composez la réponse à partir des données que Clozo vous expose déjà. La fiche client (/clients/{id}) montre tout ce que vous détenez sur lui/elle dans Clozo — nom, e-mail, pays, coordonnées de facturation, devis et factures qui lui sont liés. Pour l'art. 15 / l'art. 20, vous pouvez recopier ces informations dans une réponse écrite ou joindre les PDF de facture pertinents. 4. Pour les demandes d'effacement (art. 17), conservez les données fiscalement pertinentes. Les factures émises et les contrats signés sont immuables au titre de l'art. 244 de la directive TVA UE + GoBD §147 AO + parallèles nationaux. L'art. 17, par. 3, point b RGPD permet expressément la conservation au titre d'une obligation légale. Vous pouvez modifier les brouillons non envoyés et retirer le client des nouvelles campagnes, mais le contenu de la facture (lignes, montants, dates) reste. Note : au titre de [A-023], la pseudonymisation automatique de la ligne Client suivra à mesure que la cascade saga sera déployée post-lancement (séquencement en 3 PR au titre de [A-021]) ; jusque-là, la modification manuelle des brouillons non envoyés est le contrôle disponible. 5. Envoyez un e-mail à la personne dans le mois. Confirmez ce que vous avez fait, citez l'article RGPD invoqué et indiquez la base légale en cas de refus partiel (par exemple, données fiscalement pertinentes conservées au titre de l'art. 17, par. 3, point b). 6. Besoin d'aide pour extraire des enregistrements précis ? Envoyez un e-mail à privacy@useclozo.com et nous fournirons l'export de données nécessaire pour remplir votre obligation. Nous ne répondons pas directement à votre client — vous restez le responsable de traitement.