RGPD : quelles données nous stockons sur vos clients, pourquoi et pendant combien de temps

Le traitement des données personnelles des clients par Clozo relève de l'art. 6(1)(b) — « nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ». Concrètement : vous ne pouvez pas émettre une facture à un client sans connaître son nom, son adresse et son pays (l'art. 226 §5 de la directive TVA UE l'exige) ; vous ne pouvez pas lui envoyer un contrat par e-mail sans son adresse e-mail ; vous ne pouvez pas appliquer l'autoliquidation sans son numéro de TVA. Chaque donnée a un objectif documenté lié au contrat.

La période de conservation est contrainte davantage par la loi fiscale que par le RGPD. Le principe de « limitation de la conservation » du RGPD (art. 5(1)(e)) stipule que les données ne peuvent pas être conservées plus longtemps que nécessaire ; la loi fiscale de chaque État membre de l'UE exige que les factures et pièces justificatives soient conservées pendant ~10 ans. Allemagne : GoBD §147 AO (10 ans). Pays-Bas : Wet OB art. 52 (7 ans en général, 10 pour les propriétés). France : Code de commerce L. 123-22 (10 ans). Italie : art. 2220 Codice Civile (10 ans). Espagne : Ley 58/2003 General Tributaria art. 70 (4 ans en général, mais la documentation TVA généralement 10 ans). L'intersection : 10 ans à partir de la date de la dernière facture ou du dernier contrat est la période de conservation pratique que Clozo applique.

Ce que cela signifie opérationnellement : - Vous supprimez un client. Suppression réversible : le client est masqué de votre tableau de bord mais la ligne sous-jacente, ainsi que tous les devis/factures/contrats le référençant, est conservée pour la traçabilité légale. La suppression irréversible n'est pas disponible — une suppression irréversible orphaniserait les factures, compromettant votre conformité fiscale. - Votre client invoque l'art. 17 (droit à l'effacement). S'il n'est pas dans un contrat actif et qu'il n'y a pas d'obligation de conservation fiscale, vous pouvez procéder à la suppression irréversible via une escalade au support. S'il y a une facture active ou récente (dans les 10 ans), l'exception de la base juridique de traitement de l'art. 17(3)(b) s'applique — vous pouvez refuser l'effacement et expliquer pourquoi (le CEPD l'a confirmé). Clozo journalise la réponse dans tous les cas. - Votre client invoque l'art. 15 (droit d'accès). L'ensemble des enregistrements que nous avons sur lui (nom, e-mail, pays, adresse, numéro de TVA, tous les devis/factures, tous les événements de chronologie, tous les audits de signature) est exportable sous forme d'archive JSON unique — ouvrez un ticket de support et nous en générons une. C'est la responsabilité que vous portez en tant que responsable du traitement ; Clozo est le sous-traitant et nous fournissons les outils.

Ce que nous ne stockons pas sur vos clients : - Aucune donnée bancaire / IBAN — les clients vous paient, mais Clozo ne voit jamais leur numéro de compte. Les virements SEPA se font hors plateforme ; les débits Stripe transitent par Stripe et seuls les 4 derniers chiffres de la carte et une référence tokenisée parviennent à Clozo. - Aucune donnée biométrique, aucune donnée de santé, aucune donnée de catégorie spéciale au sens de l'art. 9. - Aucun fingerprinting de navigateur au-delà de l'IP et du User-Agent capturés au moment de la signature (piste d'audit eIDAS, article 11.2). - Aucun tracking marketing sur la page du devis — pas de Google Analytics, pas de pixel Facebook, pas de traceurs tiers atteignant les clients.