1. Qui est responsable du traitement ?
Le responsable du traitement des données à caractère personnel est la société Panora (SASU au capital de 1 000 €, RCS Paris 995 387 727), dont le siège social est situé 38 rue des Mathurins, 75008 Paris, France, éditrice du service Meion (site web meion.fr et applications mobiles iOS / Android).
Pour toute question liée à vos données personnelles, vous pouvez contacter notre référent à l'adresse contact.panora@proton.me. Conformément à l'article 37 du RGPD, la désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire pour Panora ; les demandes RGPD sont traitées directement par la direction.
2. Nos engagements en deux phrases
Meion ne vend pas vos données, n'affiche aucune publicité, n'utilise pas vos données pour entraîner des modèles d'intelligence artificielle, et limite la collecte au strict nécessaire pour faire fonctionner votre outil de facturation. Toutes les données sont hébergées dans des centres de données situés en France et chiffrées au repos comme en transit.
3. Données collectées et finalités
Nous collectons uniquement les données nécessaires à l'exécution du service, classées par catégorie ci-dessous. Pour chaque catégorie, nous précisons la finalité du traitement et la base légale au sens de l'article 6 du RGPD.
| Catégorie | Données concernées | Finalité | Base légale |
|---|---|---|---|
| Données de compte | <built-in method items of dict object at 0x7efb865cf0c0> | Création et gestion du compte utilisateur, authentification par OTP. | Exécution du contrat (art. 6.1.b RGPD). |
| Profil entreprise | <built-in method items of dict object at 0x7efb865cf080> | Émission des factures et devis conformes aux mentions légales obligatoires. | Exécution du contrat (art. 6.1.b RGPD) et obligation légale (art. 242 nonies A CGI). |
| Données clients (votre carnet d'adresses) | <built-in method items of dict object at 0x7efb865cf100> | Émission de factures et devis pour vos propres clients. | Intérêt légitime de l'utilisateur Meion (art. 6.1.f RGPD) — vous êtes le responsable de traitement de ces données vis-à-vis de vos clients. |
| Factures, devis, avoirs | <built-in method items of dict object at 0x7efb865cf140> | Tenue de la comptabilité, conformité légale, fonctionnalité produit. | Obligation légale (art. L123-22 Code de commerce, art. 286 CGI). |
| Données bancaires connectées | <built-in method items of dict object at 0x7efb865cf200> | Rapprochement automatique des paiements avec les factures émises. | Consentement (art. 6.1.a RGPD) — vous pouvez révoquer la connexion à tout moment. |
| Justificatifs (photos, PDF) | <built-in method items of dict object at 0x7efb865cf240> | Conservation de vos justificatifs comptables. | Exécution du contrat (art. 6.1.b RGPD). |
| Données techniques | <built-in method items of dict object at 0x7efb865cf1c0> | Sécurité, détection des abus, anti-fraude, support technique, envoi des notifications push. | Intérêt légitime (art. 6.1.f RGPD). |
| Données de paiement de l'abonnement | <built-in method items of dict object at 0x7efb865cf2c0> | Facturation de l'abonnement Meion, gestion du paywall. | Exécution du contrat (art. 6.1.b RGPD). |
Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions politiques, religion, santé, vie sexuelle, etc.).
4. Bases légales des traitements
Les traitements de données s'appuient sur quatre bases légales prévues par le RGPD :
- Exécution du contrat (art. 6.1.b) — pour tout ce qui est nécessaire au fonctionnement du service que vous avez souscrit.
- Obligation légale (art. 6.1.c) — pour la conservation des factures (10 ans), la facturation Meion et la conformité à la réforme e-facturation 2026.
- Intérêt légitime (art. 6.1.f) — pour la sécurité, la prévention de la fraude et l'amélioration du service.
- Consentement (art. 6.1.a) — pour les fonctionnalités optionnelles : connexion bancaire (Bridge), notifications push. Vous pouvez retirer ce consentement à tout moment depuis votre compte sans affecter la licéité du traitement antérieur.
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Données de compte | Pendant toute la durée de l'abonnement, puis 30 jours après suppression du compte (sauf factures, voir ci-dessous). |
| Profil entreprise | 10 ans à compter de l'émission (obligation Code de commerce art. L123-22). |
| Données clients (votre carnet d'adresses) | Tant que le client reste actif dans votre compte, puis 10 ans si lié à une facture émise. |
| Factures, devis, avoirs | 10 ans à compter de la clôture de l'exercice comptable concerné. |
| Données bancaires connectées | Tant que la connexion bancaire est active, et 13 mois après déconnexion (durée standard DSP2). |
| Justificatifs (photos, PDF) | 10 ans (obligation comptable). |
| Données techniques | 13 mois maximum pour les logs, jusqu'à révocation pour les tokens push. |
| Données de paiement de l'abonnement | 10 ans (factures Meion vers vous) ; les données de carte bancaire sont conservées par Stripe selon ses propres règles. |
À l'issue de ces durées, les données sont supprimées ou anonymisées de façon irréversible. Vous pouvez demander la suppression anticipée de votre compte à tout moment (voir vos droits). Les factures émises sont en revanche conservées 10 ans en raison de l'obligation comptable et fiscale (art. L123-22 Code de commerce et art. 286 du Code général des impôts).
6. Destinataires et sous-traitants
Vos données ne sont accessibles qu'aux personnes habilitées au sein de Panora ainsi qu'à un nombre restreint de sous-traitants RGPD, contractuellement engagés par des accords de sous-traitance (DPA) conformes à l'article 28 du RGPD :
| Sous-traitant | Pays | Finalité | Données concernées |
|---|---|---|---|
|
Stripe Payments Europe Ltd.
Politique de confidentialité ↗ |
Irlande
(hors UE — voir §7) |
Encaissement des abonnements Meion et des factures émises par les utilisateurs (Stripe Connect). | Email, nom, montant et statut des paiements. Aucune donnée bancaire (CB) n'est stockée par Meion : la saisie se fait directement chez Stripe. |
|
Bridge (Bankin' SA)
Politique de confidentialité ↗ |
France | Agrégation bancaire (Open Banking DSP2) : connexion à votre compte pro pour rapprochement des paiements. | Identifiants bancaires saisis directement chez Bridge (jamais transmis à Meion), libellés et montants des transactions. |
|
Brevo (Sendinblue SAS)
Politique de confidentialité ↗ |
France | Envoi des emails transactionnels (codes OTP de connexion, envoi de factures et devis, relances de paiement). | Email destinataire, contenu du message. |
|
Pappers SAS
Politique de confidentialité ↗ |
France | Recherche d'entreprise par SIRET ou raison sociale pour pré-remplir les profils. | Requête de recherche (SIRET ou nom). Aucune donnée nominative Meion transmise. |
|
API Recherche Entreprises (Etalab / DINUM)
Politique de confidentialité ↗ |
France | Service public — fallback de la recherche d'entreprise par SIRET ou raison sociale. | Requête de recherche. Service public, données publiques. |
|
Expo Application Services (Expo, Inc.)
Politique de confidentialité ↗ |
États-Unis
(hors UE — voir §7) |
Envoi des notifications push à l'application mobile. | Identifiant device push (push token), contenu de la notification. |
|
Apple Distribution International Ltd.
Politique de confidentialité ↗ |
Irlande | Distribution de l'application iOS via l'App Store et envoi via APNs (Apple Push Notification service). | Push token APNs, statistiques de téléchargement anonymisées. |
|
Google Ireland Ltd.
Politique de confidentialité ↗ |
Irlande | Distribution de l'application Android via Google Play et envoi via Firebase Cloud Messaging. | Push token FCM, statistiques de téléchargement anonymisées. |
Vos données peuvent également être communiquées sur réquisition judiciaire ou administrative valable, dans le strict cadre des obligations légales applicables à Panora.
7. Transferts hors Union européenne
Certains de nos sous-traitants peuvent traiter des données depuis ou vers les États-Unis. Lorsque c'est le cas, des garanties appropriées sont mises en place au sens des articles 44 et suivants du RGPD :
- Stripe Payments Europe Ltd. (Irlande) — Clauses contractuelles types (CCT) de la Commission européenne — Stripe est certifié Data Privacy Framework (DPF) USA.
- Expo Application Services (Expo, Inc.) (États-Unis) — Clauses contractuelles types (CCT) — pas de donnée nominative transmise.
Aucune donnée bancaire de connexion (identifiants, mots de passe banque) n'est jamais transférée hors de l'Union européenne. Les transferts concernent uniquement des métadonnées techniques (push tokens, statuts de paiement, statistiques de téléchargement).
8. Vos droits RGPD
Conformément aux articles 12 à 22 du RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès — obtenir la confirmation que des données vous concernant sont traitées, et une copie de ces données.
- Droit de rectification — corriger des données inexactes vous concernant.
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données, sous réserve des obligations légales de conservation (factures 10 ans).
- Droit à la limitation — demander le gel temporaire du traitement.
- Droit à la portabilité — récupérer vos données dans un format structuré et interopérable pour les transmettre à un autre prestataire. Meion fournit l'export PDF et CSV de vos factures, devis, clients et transactions.
- Droit d'opposition — vous opposer à un traitement fondé sur notre intérêt légitime, pour des motifs tenant à votre situation particulière.
- Droit de retirer votre consentement — pour les traitements fondés sur le consentement (connexion bancaire, notifications push), à tout moment et sans frais.
- Droit de définir des directives post-mortem — quant au sort de vos données après votre décès (loi française du 7 octobre 2016).
Comment exercer vos droits ? Adressez votre demande par email à contact.panora@proton.me ou par courrier à l'adresse du siège social. Nous répondons sous un délai maximum d'un mois, conformément à l'article 12.3 du RGPD. Nous pouvons être amenés à vous demander une preuve d'identité en cas de doute raisonnable sur l'auteur de la demande.
Pour les demandes de suppression de compte, une fonctionnalité dédiée est également disponible directement depuis l'application mobile (Meion → Compte → Supprimer mon compte) et depuis votre espace web.
9. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'accès non autorisé, l'altération ou la divulgation, conformément à l'article 32 du RGPD :
- Chiffrement TLS 1.3 obligatoire pour toutes les communications (HTTPS, certificats vérifiés).
- Chiffrement au repos des données sensibles (jetons OAuth bancaires, identifiants tiers) avec une clé dédiée (Fernet, AES 128).
- Authentification sans mot de passe par code à usage unique (OTP) pour réduire les risques liés à la réutilisation de mots de passe.
- Rate-limiting strict sur les endpoints sensibles (connexion, demande de code OTP, recherche d'entreprise) pour limiter les attaques par force brute.
- Journalisation d'audit horodatée des actions sensibles (connexion, suppression de données, opérations bancaires).
- Sauvegardes chiffrées quotidiennes en France.
- Mise à jour régulière des dépendances logicielles et veille sur les vulnérabilités.
10. Mineurs
Le service Meion est destiné à des professionnels exerçant une activité économique et n'est pas conçu pour des mineurs. La création de compte par une personne âgée de moins de 18 ans est interdite. Si nous apprenons qu'un compte a été créé par un mineur, nous le supprimerons sans délai.
11. Cookies
Le service utilise uniquement des cookies strictement nécessaires à son fonctionnement (cookie de session, cookie anti-CSRF). Ces cookies ne nécessitent pas de consentement préalable au titre de l'article 82 de la loi Informatique et Libertés et des recommandations de la CNIL.
Aucun cookie de mesure d'audience, de publicité, ni de traçage tiers n'est déposé sur votre terminal.
12. Modifications de la politique
La présente politique peut évoluer pour refléter les changements légaux ou les évolutions du service. En cas de modification substantielle (ajout de finalité, nouveau sous-traitant hors UE, modification des durées de conservation), vous serez informé par email au moins 15 jours avant l'entrée en vigueur de la nouvelle version. La date de dernière mise à jour est indiquée en haut de cette page : 17 mai 2026.
13. Contact et réclamation auprès de la CNIL
Pour toute question, réclamation ou exercice de vos droits, contactez-nous d'abord à contact.panora@proton.me. Nous nous engageons à répondre dans les meilleurs délais.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — téléphone : 01 53 73 22 22 — site web : cnil.fr/fr/plaintes.