POLITIQUE DE CONFIDENTIALITÉ

Apifrst, attache une grande importance à la protection de vos données personnelles encadrée par le règlement européen n°2016-679 du 27 avril 2016 et de la loi « Informatique et Libertés » du 6 janvier 1978 modifiée (ci-après, ensemble, la « Réglementation »).

La présente politique (ci-après la « Politique ») a pour but de vous informer sur la manière dont nous collectons, utilisons et partageons les données personnelles que vous nous fournissez via notre site https://apifirst.fr/ (ci-après "le Site") et la Plateforme agréée d'API First (ci-après "Plateforme agréée"). Cette Politique a vocation à s'appliquer uniquement aux traitements des informations (ci-après les "Données Personnelles") susceptibles d'identifier ou de rendre identifiables les utilisateurs du Site et de la Plateforme agréée (ci-après les " Utilisateurs"), directement ou indirectement.

API First s'engage à limiter les traitements sur les Données Personnelles aux seuls cas énumérés au sein de la présente Politique, et à mettre à jour cette dernière afin de garantir un haut niveau de protection des Données Personnelles en conformité avec la Réglementation applicable.

POUR QUELLES RAISONS TRAITONS-NOUS VOS DONNÉES PERSONNELLES ?

Le tableau ci-dessous indique les finalités pour lesquelles nous traitons et utilisons vos données personnelles, les données personnelles que nous utilisons dans le cadre de ces finalités et les durées pendant lesquelles vos données sont conservées.

Finalités	Données personnelles	Durée de conservation
Gestion de vos comptes : création du compte utilisateur; vérification de l'identité de l'utilisateur; gestion de la sécurité des accès au compte.	Lors de la création et durant la gestion de votre compte, les données personnelles indiquées ci-dessous collectées sont traitées : nom, prénoms et adresse email, date de naissance; numéro SIREN de l'entreprise; régime fiscal de l'entreprise; identifiants d'accès; logs retraçant les activités sur le compte.	Votre compte est conservé durant votre utilisation de nos services. Ensuite le compte sera supprimé ou anonymisé après une période d'inactivité de 3 ans.
Gestion de vos factures : émission des factures; réception de factures; consultation et téléchargement de factures; émission et réception de statut de factures.	Au cours de son fonctionnement, notre plateforme vous permet d'émettre et recevoir des factures. Ces factures peuvent contenir tout ou partie des données personnelles suivantes : nom et prénom; adresse postale; adresse email; numéro de téléphone; l'objet des factures; montants des factures.	Vos factures et les données associées sont conservées pendant la durée d'utilisation de notre service. Ensuite elles sont archivées pendant 10 ans conformément à nos obligations légales..
Gérer l'hébergement l'hébergement de vos données	Toutes les données collectées dans le cadre de la mise à disposition d'un espace de dématérialisation de la gestion de vos factures.	Vos données sont hébergées pendant toute la durée de votre contrat. Ensuite, elles sont archivées en fonction de la nature des données et des durées de conservation indiquées dans ce tableau.

QUELS SONT VOS DROITS SUR VOS DONNÉES PERSONNELLES ?

Vous pouvez à tout moment exercer vos droits qui vous sont octroyés par la Réglementation sur la protection de vos données, vous disposez donc :

du droit de demander l'accès à vos Données Personnelles ;
du droit de demander la rectification des Données Personnelles inexactes vous concernant ;
du droit d'obtenir l'effacement de vos Données Personnelles ;
du droit de restreindre notre traitement de vos Données Personnelles ;
du droit de vous opposer au traitement de vos Données Personnelles ;
du droit d'obtenir une copie de vos Données Personnels (droit à la portabilité des données).

Pour exercer ces droits, vous pouvez nous contacter à l'adresse suivante : dpo@apifirst.fr.

Si vous estimez, après nous avoir contacté, que vos droits indiqués ci-dessus ne sont pas respectés, vous pouvez déposer une plainte auprès de la CNIL à l'adresse suivante :
Commission Nationale de l'Informatique et Liberté (CNIL) - Service des plaintes - 3 place de Fontenoy, 75334 Paris Cédex 7.

QUI SONT LES DESTINATAIRES DE VOS DONNÉES PERSONNELLES ?

Vos données personnelles peuvent être transmises :

au personnel d'API First et au du Groupe Dougs;
à toutes les sociétés dans lesquelles la Société Dougs à une participation ainsi que dans toutes les sociétés appartenant au groupe de société dont la société Dougs fait partie
aux prestataires de services et sous-traitants réalisant des prestations pour le compte de Dougs ;
aux partenaires commerciaux d'API First ou aux partenaires commerciaux du Groupe Dougs.

Dougs Groupe accorde la plus haute importance à la sécurité et à l'intégrité des Données personnelles qui lui sont confiées. Dougs s'engage à prendre toutes les précautions nécessaires afin de préserver la sécurité des Données personnelles et, en particulier, les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, corruption, diffusion ou accès non autorisé, ainsi que contre toute autre forme de traitement illicite ou divulgation à des personnes non autorisées.

Dougs Groupe s'engage à encadrer ses relations avec ses partenaires et veille à ce que ses partenaires commerciaux et les prestataires qui sont amenés à traiter vos données personnelles mettent en place des mesures de sécurité pour éviter toute destruction accidentelle ou illicite, perte accidentelle, corruption, diffusion ou accès non autorisé, ainsi que contre toute autre forme de traitement illicite ou divulgation à des personnes non autorisées.

Vous trouverez ci-dessous la liste de nos partenaires susceptibles de traiter vos données, cette liste est mise à jour périodiquement.

Prestataire	Prestations	Politique de confidentialité
Outscale	Hébergeur	Politique de confidentialité d'Outscale
Docaposte	Fournisseur d'identité numérique	Politique de confidentialité de Docaposte
Datadog	Gestionnaire du monitoring	DPA de Datadog
Pappers	Informations sur les entreprises	Politique de confidentialité Pappers
Yousign	Fournisseur de signature électronique	Politique de confidentialité de Yousign
DGFIP	Direction Générale des Finances Publiques	Politique de confidentialité DGFIP
L'AIFE	Agence de l'Informatique Financière de l'Etat	Politique de confidentialité de l'AIFE
Peppol	Réseau interopérable de partage de données	Politique de confidentialité Peppol
Keycloack	Gestion de l'authentification des utilisateurs	Code source libre

VOS DONNÉES SONT-ELLES TRANSFÉRÉES EN DEHORS DE L'UNION EUROPÉENNE?

API First s'engage à ne pas transférer vos données personnelles en dehors de l'UE. Toutefois, ces Données pourront être transférées en dehors de l'Union Européenne dans le cadre d'opérations de sous-traitance et de partenariat.

QUELLES SONT LES MESURES DE SÉCURITÉ MISES EN PLACE POUR PROTÉGER VOS DONNÉES?

API FIRST met en œuvre des mesures adaptées permettant de prémunir contre les risques liés à l'accès non autorisé , l'intégrité et la disponibilité des données.

Mesures de sécurité	Description
Antivirus	Tous les fichiers reçus par la Plateforme Agréée sont vérifiés par un antivirus avant d'être traités.
Chiffrement des données	Les données sont chiffrées en transit et au repos, et des mesures de sauvegardes de restaurations des données sont mises en place. L'accès à la base de données est contrôlé par identifiant et mot de passe chiffrés.
Journalisation	Les journaux d'accès et de transactions de la base de données sont conservés et chiffrés avec un chiffrement AES-256. Aucune donnée personnelle n'est enregistrée dans les journaux.
Protection des données de transit via le Protocole HTTPS	Le chiffrement des données échangées avec certains partenaires et les utilisateurs des Services est pris en charge via le protocole HTTPS.
Authentification des données	Garantie l'origine des données
Authentification des utilisateurs	Les utilisateurs disposent chacun d'un identifiant et d'un mot de passe fort.

API FIRST s'engage à mettre en œuvre des mesures de sécurité techniques et organisationnelles, alignées sur les bonnes pratiques de l'industrie et conformes aux exigences réglementaires afin de garantir la confidentialité, l'intégrité et la disponibilité des données.

Domaine	Mesures de sécurité mises en oeuvre
Protection et Chiffrement	Confidentialité : Utilisation de protocoles de chiffrement standardisés et reconnus (état de l'art) pour les données en transit et au repos. Gestion des secrets : Politique stricte de gestion des clés de chiffrement et sécurisation des environnements de stockage.
Contrôle d'Accès	Authentification : Mécanismes d'authentification sécurisés pour les utilisateurs et restriction des accès aux seules personnes habilitées. Sécurité des identifiants : Stockage cryptographique sécurisé des mots de passe et politique imposant une complexité minimale.
Intégrité des Données	Inaltérabilité : Mise en œuvre de procédés techniques garantissant l'intégrité des données et flux traités Traçabilité : Conservation de journaux d'événements (logs) permettant d'assurer la traçabilité des accès et des opérations critiques, conformément à la réglementation.
Disponibilité et Continuité	Sauvegardes : Réalisation de sauvegardes régulières des données, stockées de manière sécurisée. Résilience : Architecture technique conçue pour assurer la disponibilité du service et dispositif de reprise d'activité en cas d'incident.
Audit et Surveillance	Veille de sécurité : Surveillance continue des systèmes pour détecter et prévenir les tentatives d'intrusion ou les comportements anormaux. Maintien en condition : Application régulière des correctifs de sécurité.
Localisation et Sous-traitance	Hébergement : Les données sont hébergées sur des serveurs sécurisés situés au sein de l'Union Européenne. Partenaires : Recours à des prestataires d'infrastructure reconnus et disposant de certifications de sécurité de premier plan (ISO 27001, SecNumCloud).