Politique de confidentialité

devs group GmbH
8280 Kreuzlingen
devs-group.ch

Cette application n’est pas un produit officiel de Bexio AG. « Bexio » est une marque déposée de Bexio AG. Elle est développée et exploitée de manière indépendante par devs group. L’utilisation est entièrement volontaire. Vous décidez si et combien de temps vous utilisez cette Application. La désinstallation est possible à tout moment et supprime toutes les données locales.

Le Fournisseur ne stocke aucune de vos données commerciales Bexio (factures, contacts, fichiers) sur ses propres serveurs. Ces données sont stockées exclusivement localement sur votre appareil. Les requêtes API vers Bexio transitent par un système backend du Fournisseur qui agit comme proxy et transmet les requêtes à l’API officielle de Bexio. Ce backend ne journalise ni n’analyse vos requêtes ou données commerciales. Seuls les jetons d’authentification et les données d’état minimales nécessaires au fonctionnement sont stockés côté serveur (voir sections 4 et 5).

Authentification (OAuth / Device Token)

Lors de la connexion, vous vous authentifiez directement auprès de Bexio via un processus OAuth sécurisé (PKCE). Les identifiants Bexio (Access Token et Refresh Token) sont stockés et gérés exclusivement sur le système backend du Fournisseur – ils n’arrivent jamais sur votre appareil. Seul un jeton spécifique à l’appareil (Device Token) est stocké dans le trousseau sécurisé (Keychain/Keystore). Votre mot de passe Bexio n’est jamais stocké dans l’Application ni transmis au Fournisseur.

Le stockage côté serveur des jetons Bexio sert deux objectifs : (1) le secret client OAuth est conservé côté serveur, renforçant la sécurité ; (2) le service de notification peut vérifier en arrière-plan si des changements de statut pertinents se sont produits. Les jetons sont utilisés exclusivement à ces fins et supprimés lors de la révocation.

Données d’état minimales côté serveur

Pour détecter si quelque chose a changé, le backend stocke un minimum absolu de données d’état par compte :

• Dernier nombre/IDs connus de fichiers dans la boîte de réception
• Dernier statut connu des factures

Ces données ne contiennent aucun contenu (pas de noms de fichiers, montants, noms de clients). Elles sont supprimées lors de la déconnexion ou de la révocation.

Données Bexio mises en cache

Pour l’utilisation hors ligne, les données suivantes sont mises en cache localement :

• Factures (données de base, positions, statut)
• Factures fournisseurs (données de base, positions, métadonnées des pièces jointes)
• Fichiers dans la boîte de réception (métadonnées, aperçus)
• Contacts (nom, adresse)
• Nom de l’entreprise

Ces données ne quittent pas votre appareil. Vous pouvez vider le cache à tout moment dans les paramètres.

Notifications push (optionnel)

Les notifications push sont optionnelles. Un jeton push spécifique à l’appareil est transmis au service du Fournisseur. Ce jeton ne contient aucune donnée personnelle. Vous pouvez désactiver les notifications à tout moment.

Le Fournisseur stocke côté serveur exclusivement :

• Access Token et Refresh Token Bexio : chiffrés, pour l’authentification et les vérifications en arrière-plan
• Push Token (uniquement avec notifications activées) : pour la livraison des messages push
• Données d’état minimales : dernier nombre de fichiers/IDs et statut des factures, sans contenu

Le Fournisseur ne stocke aucune adresse IP, aucun journal serveur et aucune donnée d’utilisation.

Le Fournisseur n’a aucun accès à vos données Bexio, votre mot de passe, vos factures, contacts ou fichiers.

Vos données ne sont ni vendues, ni louées, ni partagées à des fins publicitaires ou analytiques. Aucun tracking n’a lieu. Les services tiers suivants sont techniquement intégrés :

• Bexio AG : les requêtes API sont transmises via le backend du Fournisseur à l’API officielle de Bexio (conformément à leur Politique de confidentialité)
• Apple Push Notification Service / Firebase Cloud Messaging : livraison des notifications push. Détails dans la Politique de confidentialité Firebase.

• Données Bexio locales : suppression immédiate lors de la désinstallation ou du vidage du cache
• Device Token (local) : suppression lors de la déconnexion ou désinstallation
• Jetons Bexio (serveur) : suppression lors de la déconnexion, révocation ou sur demande
• Push Token : suppression lors de la désactivation ou désinstallation
• Données d’état (serveur) : suppression lors de la déconnexion, révocation ou sur demande
• Suppression automatique : les comptes inactifs depuis plus de 90 jours sont automatiquement supprimés du serveur.

Vous avez le contrôle total sur la suppression de vos données.

Conformément à la loi suisse sur la protection des données (nLPD), vous disposez des droits suivants :

• Information : vous pouvez demander à tout moment des informations sur les données stockées par le Fournisseur.
• Suppression : la désinstallation supprime toutes les données locales. Les données serveur sont supprimées automatiquement après 90 jours d’inactivité ou sur demande.
• Révocation : révoquez l’accès OAuth à tout moment dans votre compte Bexio.
• Réclamation : vous pouvez déposer une plainte auprès du PFPDT.

Ce site web et l’Application n’utilisent aucun cookie, aucune publicité et aucun stockage d’IP. Aucun profil d’utilisation n’est créé.

L’Application utilise les mécanismes de sécurité de votre appareil (Keychain/Keystore pour les jetons, App Sandbox pour la base de données). La communication avec l’API Bexio s’effectue exclusivement via des connexions HTTPS chiffrées. Le Fournisseur ne peut cependant pas garantir une sécurité absolue.

Cette politique de confidentialité peut être modifiée à tout moment. La version actuelle est toujours consultable sur cette page.