Nexus NEXUS Retour au site
Protection des données — RGPD

Politique de confidentialité

Dernière mise à jour : 12 juin 2026

01 Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via le site mynexus.me et le service Nexus (ci-après « le Service ») est :

[À COMPLÉTER : Prénom NOM], entrepreneur individuel

Siège : [À COMPLÉTER : adresse complète] — SIRET : [À COMPLÉTER : n° SIRET]

Contact données personnelles : contact@mynexus.me

Cas particulier des données ERP : pour les données métier issues de l'ERP du client (ventes, commandes, fiches clients du client, produits…), le client demeure responsable du traitement ; Nexus agit en qualité de sous-traitant au sens de l'article 28 du RGPD, et ne traite ces données que sur instruction du client, aux seules fins de fourniture du Service.

02 Données collectées

2.1 — Données de compte

Lors de la création d'un compte ou d'un espace entreprise : nom et prénom, adresse email professionnelle, mot de passe (stocké exclusivement sous forme hachée — voir section Sécurité), nom de l'entreprise, sous-domaine choisi (ex. : votrenom.mynexus.me), rôle de l'utilisateur, préférences d'interface (thème, disposition des widgets).

2.2 — Données de facturation

Lors de la souscription d'un abonnement : raison sociale, adresse de facturation, adresse email de facturation, identifiant client Stripe, historique des paiements et factures. Les données de carte bancaire ne transitent jamais par nos serveurs et ne sont jamais stockées par Nexus : elles sont collectées et traitées directement par notre prestataire de paiement Stripe, certifié PCI-DSS.

2.3 — Données ERP affichées par le Service

Le cœur du Service consiste à lire les données présentes dans l'ERP du client (Odoo, Dolibarr, Flectra ou autre connecteur) pour les restituer sous forme de tableaux de bord : chiffre d'affaires, commandes, produits, stocks, et le cas échéant données relatives aux clients finaux du client (noms, montants de commandes).

  • Ces données sont lues en temps réel auprès de l'ERP du client et conservées uniquement dans un cache technique de courte durée (de l'ordre de quelques minutes) destiné à accélérer l'affichage ; elles ne font l'objet d'aucune constitution de base de données durable par Nexus.
  • Elles ne sont jamais utilisées à d'autres fins que leur affichage au client (pas de revente, pas de profilage, pas d'entraînement de modèles d'IA).
  • Chaque client dispose d'une base de données isolée (voir section Sécurité) ; aucune donnée n'est mutualisée entre clients.

2.4 — Données d'utilisation de l'assistant IA

Lorsque l'assistant IA (chat) est activé, les questions posées par l'utilisateur ainsi que les indicateurs strictement nécessaires à la réponse sont transmis à notre prestataire d'inférence (OpenRouter). L'historique des conversations est conservé dans la base de données du client pour lui permettre de retrouver ses échanges.

2.5 — Données techniques et de connexion

Journaux de connexion (adresse IP, horodatage, pages consultées, type de navigateur), jetons de session, données nécessaires à la sécurité et au diagnostic des incidents.

2.6 — Données de support

Contenu des échanges par email avec le support (contact@mynexus.me).

03 Finalités et bases légales

Finalité Données concernées Base légale (art. 6 RGPD)
Création et gestion du compte, authentification, fourniture des tableaux de bord Données de compte, données ERP Exécution du contrat (art. 6.1.b)
Facturation et gestion de l'abonnement Données de facturation Exécution du contrat (art. 6.1.b) et obligation légale comptable (art. 6.1.c)
Envoi d'emails transactionnels (création de compte, réinitialisation de mot de passe, invitations, notifications de facturation) Email, nom Exécution du contrat (art. 6.1.b)
Assistant IA (réponses aux questions sur les données) Questions, indicateurs agrégés Exécution du contrat (art. 6.1.b)
Sécurité, prévention de la fraude, journalisation Données techniques et de connexion Intérêt légitime (art. 6.1.f) : sécuriser le Service
Support et relation client Données de support Exécution du contrat (art. 6.1.b) et intérêt légitime (art. 6.1.f)

Aucune donnée n'est utilisée à des fins de prospection commerciale sans votre consentement, ni vendue ou louée à des tiers. Aucune décision entièrement automatisée produisant des effets juridiques (art. 22 RGPD) n'est prise sur la base de vos données.

04 Sous-traitants et destinataires

Les données ne sont accessibles qu'à l'éditeur et aux sous-traitants listés ci-dessous, dans la stricte mesure nécessaire à leur mission :

Sous-traitant Finalité Données traitées Localisation
OVH SAS
(France)		 Hébergement du Service et des bases de données Toutes les données du Service France (Union européenne)
Stripe Payments Europe Ltd
(Irlande)		 Traitement des paiements, gestion des abonnements et factures Identité, email, données de facturation, données de carte bancaire (collectées directement par Stripe) Union européenne ; transferts possibles vers Stripe Inc. (États-Unis) encadrés (voir section 5)
Brevo (Sendinblue SAS)
(France)		 Envoi des emails transactionnels Email, nom, contenu des emails transactionnels France / Union européenne
OpenRouter, Inc.
(États-Unis)		 Inférence du modèle de langage pour l'assistant IA Questions posées au chat et indicateurs agrégés nécessaires à la réponse (transmis de manière minimisée) États-Unis ; transfert encadré (voir section 5)

Chaque sous-traitant est lié par un accord de traitement des données conforme à l'article 28 du RGPD. Les données peuvent par ailleurs être communiquées aux autorités administratives ou judiciaires lorsque la loi l'exige.

05 Transferts hors Union européenne

Les données sont hébergées et traitées par défaut au sein de l'Union européenne (serveurs OVH situés en France). Deux exceptions :

  • Stripe : certains traitements peuvent impliquer Stripe Inc. aux États-Unis. Ces transferts sont encadrés par le cadre de protection des données UE–États-Unis (Data Privacy Framework) et/ou les clauses contractuelles types de la Commission européenne.
  • OpenRouter : les requêtes de l'assistant IA sont traitées aux États-Unis. Les transferts sont encadrés par les clauses contractuelles types de la Commission européenne, et les données transmises sont minimisées (questions et indicateurs agrégés uniquement, sans données d'identification superflues).

L'assistant IA peut être désactivé sur demande pour les clients ne souhaitant aucun transfert hors UE.

06 Durées de conservation

Catégorie de données Durée de conservation
Données de compte Durée du contrat, puis suppression dans les 30 jours suivant la résiliation ou la clôture du compte
Données ERP affichées Cache technique de courte durée (quelques minutes) ; environnement client (base isolée, préférences, historique du chat) supprimé dans les 30 jours suivant la résiliation
Factures et pièces comptables 10 ans à compter de la clôture de l'exercice (art. L.123-22 du Code de commerce)
Journaux de connexion (logs) 12 mois maximum
Historique de l'assistant IA Durée du contrat (supprimable à tout moment par le client), puis suppression dans les 30 jours suivant la résiliation
Échanges avec le support 3 ans après le dernier contact
Comptes d'essai gratuit non convertis Suppression dans les 90 jours suivant la fin de la période d'essai

07 Vos droits

Conformément au RGPD et à la loi « Informatique et Libertés », toute personne concernée dispose des droits suivants :

  • Droit d'accès (art. 15) : obtenir la copie des données vous concernant ;
  • Droit de rectification (art. 16) : faire corriger des données inexactes ;
  • Droit à l'effacement (art. 17) : demander la suppression de vos données ;
  • Droit à la limitation du traitement (art. 18) ;
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
  • Droit d'opposition (art. 21), notamment aux traitements fondés sur l'intérêt légitime ;
  • Droit de définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, écrivez à contact@mynexus.me en précisant l'objet de votre demande. Une réponse vous sera apportée dans un délai d'un mois, prorogeable de deux mois pour les demandes complexes. Un justificatif d'identité pourra être demandé en cas de doute raisonnable sur l'identité du demandeur.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

Pour les données ERP dont le client est responsable de traitement, les demandes des personnes concernées (ex. : clients finaux du client) doivent être adressées au client ; Nexus assistera le client dans le traitement de ces demandes conformément à l'article 28 du RGPD.

08 Cookies

Le Service utilise exclusivement des cookies et traceurs strictement nécessaires à son fonctionnement :

Cookie / stockage Finalité Durée
Jeton d'authentification (session / JWT) Maintenir votre connexion sécurisée à votre espace Durée de la session ou expiration du jeton
Préférences d'interface (thème, disposition) Mémoriser vos réglages d'affichage Persistant, supprimable à tout moment via le navigateur

Aucun cookie publicitaire, aucun traceur de mesure d'audience tiers ni aucun pixel de réseau social n'est utilisé. Ces cookies étant strictement nécessaires à la fourniture du Service, ils sont exemptés de consentement préalable conformément à l'article 82 de la loi « Informatique et Libertés » et aux lignes directrices de la CNIL.

09 Sécurité

Nexus met en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD), notamment :

  • Chiffrement en transit : toutes les communications entre votre navigateur, nos serveurs et l'ERP sont chiffrées en TLS (HTTPS) ;
  • Hachage des mots de passe : les mots de passe sont hachés avec l'algorithme bcrypt (avec sel) et ne sont jamais stockés ni transmis en clair ;
  • Isolation par tenant : chaque client dispose d'une base de données physiquement séparée, accessible uniquement via son sous-domaine dédié — aucune donnée n'est partagée entre clients ;
  • Sauvegardes quotidiennes des bases de données, conservées sur une durée glissante et hébergées en France ;
  • Moindre privilège : les accès ERP configurés par le client sont utilisés en lecture seule pour l'affichage des tableaux de bord ;
  • Journalisation des accès et surveillance des incidents de sécurité.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, l'éditeur notifiera la CNIL dans les 72 heures (art. 33 RGPD) et informera les clients concernés sans délai injustifié.

10 Modifications de la politique

La présente politique peut être mise à jour à tout moment, notamment pour suivre les évolutions légales, techniques ou fonctionnelles du Service. La date de dernière mise à jour figure en haut de page. En cas de modification substantielle, les clients seront informés par email ou via une notification dans le Service.