Facturio est une application Shopify éditée par RK1 (SAS au capital de 10 000 €, 22 rue Drouot, 75009 Paris, France — SIREN 978 537 553, RCS Paris). Elle génère automatiquement, pour le compte des boutiques qui l'installent, des factures et avoirs électroniques conformes au format Factur-X (PDF/A-3 + XML EN 16931) dans le cadre de la réforme française de la facturation électronique 2026-2027.
En bref : Facturio traite uniquement les données de commande et de client strictement nécessaires à l'établissement de factures légales, pour le compte du marchand. Aucune donnée n'est vendue, louée ou utilisée à des fins publicitaires. Aucun cookie tiers n'est déposé.
1. Rôles et responsabilités
Pour les données des clients finaux des boutiques (acheteurs), le marchand est responsable de traitement et RK1 agit en qualité de sous-traitant (art. 28 RGPD) : Facturio ne traite ces données que sur instruction du marchand, matérialisée par l'installation de l'app et sa configuration. Pour les données de compte du marchand lui-même (domaine de la boutique, coordonnées du vendeur saisies dans les paramètres), RK1 est responsable de traitement.
2. Données traitées
Facturio accède aux données suivantes via l'API Shopify (périmètres read_orders et
read_customers, incluant des données clients protégées au sens de Shopify) :
| Catégorie | Détail | Finalité |
|---|---|---|
| Commandes | Numéro, date, lignes d'articles, montants, taux et montants de TVA, devise, remboursements | Établissement des factures et avoirs |
| Clients | Nom, adresse e-mail, adresse de facturation et de livraison, le cas échéant raison sociale et n° de TVA intracommunautaire (B2B) | Mentions obligatoires des factures (identification de l'acheteur) |
| Boutique / vendeur | Domaine de la boutique, coordonnées et identifiants légaux du vendeur (SIREN, n° TVA) saisis par le marchand | Mentions obligatoires du vendeur, fonctionnement de l'app |
Facturio ne collecte aucune donnée bancaire des acheteurs, aucune donnée sensible, et ne dépose aucun cookie tiers (seuls des cookies techniques strictement nécessaires à la session d'administration Shopify sont utilisés dans l'interface embarquée).
3. Finalités et bases légales
- Génération de factures et d'avoirs légaux (Factur-X) : exécution du contrat de service avec le marchand et respect de ses obligations légales de facturation.
- Numérotation légale, journal d'activité et diagnostic : intérêt légitime (fiabilité et traçabilité exigées par la réglementation comptable et fiscale).
- Facturation de l'abonnement : gérée intégralement par Shopify Billing — RK1 ne traite aucune donnée de paiement.
Aucune prospection, aucun profilage, aucune décision automatisée, aucune vente de données.
4. Hébergement et sécurité
L'application et sa base de données sont hébergées sur l'infrastructure cloud de Railway Corp. (railway.com). Les échanges sont chiffrés en transit (TLS/HTTPS) et les données sont chiffrées au repos sur les volumes et la base PostgreSQL managée. L'accès aux systèmes de production est restreint à l'éditeur, protégé par authentification forte, et les opérations importantes sont journalisées. Lorsque l'hébergement implique un transfert hors de l'Union européenne, il est encadré par les clauses contractuelles types de la Commission européenne intégrées aux conditions de Railway.
5. Durées de conservation
- Pendant l'utilisation : les données sont conservées tant que l'app est installée, pour permettre la consultation et le re-téléchargement des factures.
- Après désinstallation : conformément aux règles Shopify, l'intégralité des
données de la boutique (factures, profil vendeur, sessions, journal) est
définitivement purgée à réception du webhook RGPD
shop/redact, envoyé par Shopify 48 heures après la désinstallation. Le marchand doit télécharger ses factures avant ce délai : il reste seul tenu de l'obligation légale de conservation de ses factures (10 ans, art. L123-22 du Code de commerce). - Demande d'effacement d'un client final (art. 17 RGPD) : les factures déjà émises mentionnant ce client sont conservées pendant la durée d'utilisation de l'app, car leur établissement et leur intégrité répondent à une obligation légale (art. 17 §3 b RGPD ; art. L123-22 C. com. et L102 B du Livre des procédures fiscales). Toute autre donnée relative à ce client est effacée.
6. Sous-traitants ultérieurs
| Sous-traitant | Service | Localisation |
|---|---|---|
| Railway Corp. | Hébergement de l'application, de la base de données et des documents de facture | États-Unis (infrastructure cloud ; transferts encadrés par clauses contractuelles types) |
| Shopify International Ltd / Shopify Inc. | Plateforme e-commerce source des données, facturation de l'abonnement (Shopify Billing) | Irlande / Canada (décision d'adéquation) |
Aucun autre destinataire. Les données ne sont jamais transmises à des régies publicitaires, courtiers en données ou réseaux sociaux.
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez de droits d'accès, de
rectification, d'effacement, de limitation, d'opposition et de portabilité. Les clients finaux
d'une boutique doivent d'abord s'adresser au marchand (responsable de traitement) ; Shopify
relaie automatiquement ces demandes à Facturio via les webhooks RGPD obligatoires
(customers/data_request, customers/redact, shop/redact),
auxquels l'app répond systématiquement.
Pour toute question ou exercice de droits : support@facturio-app.fr. Vous pouvez également saisir la CNIL (cnil.fr).
Privacy policy — English summary
Facturio is a Shopify app published by RK1 (SAS, 22 rue Drouot, 75009 Paris, France — SIREN 978 537 553, RCS Paris). It automatically generates legally compliant French electronic invoices and credit notes (Factur-X: PDF/A-3 + EN 16931 XML) on behalf of the merchants who install it.
- Data processed: order data (line items, amounts, VAT) and customer data
(name, email, billing/shipping address, business VAT number) accessed through the Shopify
API (
read_orders,read_customers— protected customer data), solely to generate legal invoices. No payment data, no sensitive data, no third-party cookies. - Roles: the merchant is the data controller for buyer data; RK1 acts as a processor under Art. 28 GDPR.
- Hosting & security: Railway Corp. cloud infrastructure; TLS in transit, encryption at rest (managed PostgreSQL); restricted access and audit logging. Transfers outside the EU are covered by Standard Contractual Clauses.
- Retention: data is kept while the app is installed. All shop data is
permanently deleted upon the
shop/redactGDPR webhook (48 h after uninstall). Customer erasure requests are honoured, except that already-issued invoices are retained as required by French law (10-year retention, Art. 17(3)(b) GDPR). - No sale of data, no advertising, no profiling. Sub-processors: Railway (hosting) and Shopify (platform & billing).
- Contact / data rights: support@facturio-app.fr.