Politique de confidentialité
Dernière mise à jour : 24 décembre 2024
Introduction
La protection de vos données personnelles est une priorité pour NANEO, éditeur de Nanilex. La présente Politique de confidentialité a pour objectif de vous informer sur la manière dont nous collectons, utilisons, partageons et protégeons vos données personnelles.
Cette politique s'applique à l'ensemble des services proposés par Nanilex, accessibles via app.nanilex.fr et nanilex.fr.
En utilisant nos services, vous acceptez les pratiques décrites dans la présente politique.
1. Responsable du traitement
NANEO
Société par Actions Simplifiée (SAS)
930 route des Dolines, 06560 Valbonne, France
Email : contact@nanilex.fr
DPO : dpo@nanilex.fr
2. Données collectées
Nous collectons différentes catégories de données personnelles :
2.1 Données d'identification et de compte
- Nom, prénom
- Adresse email
- Mot de passe (stocké sous forme de hash chiffré)
- Identifiants OAuth (Google, Apple, Microsoft) le cas échéant
2.2 Données professionnelles
- Nom du cabinet
- Numéro SIRET
- Taux horaire
- Rôle/profil (avocat indépendant, membre de cabinet, etc.)
2.3 Données de facturation
- Raison sociale
- Adresse de facturation
- Numéro de TVA
- Identifiant client Stripe (les données bancaires sont gérées par Stripe)
2.4 Données d'utilisation
- Dossiers créés et leur contenu
- Documents téléchargés
- Contacts enregistrés
- Événements de calendrier
- Entrées de temps et factures
- Conversations avec l'assistant IA
- Historique de recherche
2.5 Données techniques
- Adresse IP (anonymisée pour l'analytics)
- Type de navigateur et système d'exploitation
- Date et heure de connexion
- Pages visitées
- Appareils de confiance (pour la 2FA)
2.6 Données de sécurité
- Journaux d'authentification (tentatives de connexion)
- Secret TOTP chiffré (si 2FA activée)
- Codes de secours (stockés sous forme de hash)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte | Exécution du contrat |
| Fourniture des services Nanilex | Exécution du contrat |
| Traitement des paiements | Exécution du contrat |
| Analyse et amélioration du service | Intérêt légitime |
| Mesure d'audience (Matomo) | Intérêt légitime (exemption CNIL) |
| Envoi de communications relatives au service | Exécution du contrat |
| Envoi de communications marketing | Consentement |
| Sécurité et prévention de la fraude | Intérêt légitime / Obligation légale |
| Respect des obligations légales | Obligation légale |
4. Destinataires des données
Vos données peuvent être partagées avec les catégories de destinataires suivantes :
4.1 Sous-traitants techniques
| Prestataire | Service | Localisation |
|---|---|---|
| OVH Cloud | Infrastructure (Kubernetes, PostgreSQL, Redis, S3) | France (Gravelines) |
| Brevo | Emails transactionnels | France / UE |
| Matomo (auto-hébergé) | Analytics | France (OVH) |
| Stripe | Paiements | UE (Irlande)* |
| Mistral AI | Intelligence artificielle (défaut) | France / UE |
| OpenAI | Intelligence artificielle (fallback) | États-Unis** |
| AR24 | Courriers recommandés | France |
* Stripe est une société américaine mais les données de paiement sont traitées en UE (Irlande).
** OpenAI n'est utilisé qu'en cas d'indisponibilité de Mistral AI. Aucune donnée personnelle identifiable n'est transmise. Voir section 5.
4.2 Fournisseurs de données
- Pappers : informations sur les entreprises
- Infogreffe : documents légaux d'entreprises
- INSEE Sirene : données d'immatriculation
- Legifrance : textes juridiques
4.3 Autres destinataires
- Autorités compétentes en cas d'obligation légale
- Conseils juridiques et comptables de NANEO (sous confidentialité)
5. Intelligence artificielle et données
Nanilex utilise des modèles d'intelligence artificielle pour analyser vos documents et générer du contenu. Par défaut, nous utilisons Mistral AI, un fournisseur français, pour maximiser la souveraineté de vos données. OpenAI (GPT-4) n'est utilisé qu'en cas d'indisponibilité de Mistral AI.
5.1 Fournisseur par défaut : Mistral AI (France)
- Société française basée à Paris
- Données traitées en France / Union Européenne
- Non soumis au Cloud Act américain
- Conforme RGPD et AI Act
5.2 Fournisseur de secours : OpenAI (États-Unis)
Utilisé uniquement en cas d'indisponibilité de Mistral AI :
- Aucune donnée personnelle identifiable (nom, email, SIRET) n'est transmise
- Opt-out du training confirmé par contrat (API Business)
- Data Processing Agreement (DPA) signé
5.3 Mesures de protection communes
- Contenu des documents anonymisé avant envoi
- Les conversations sont isolées par utilisateur
- Option de traitement local (RAG) pour les documents sensibles
- Aucun fournisseur IA n'utilise vos données pour entraîner ses modèles
6. Cookies et traceurs
6.1 Matomo Analytics
Nous utilisons Matomo, une solution d'analyse d'audience respectueuse de la vie privée :
- Aucun cookie n'est déposé (mode cookieless)
- Adresses IP anonymisées (2 octets masqués)
- Données hébergées en France (OVH)
- Paramètre « Do Not Track » respecté
- Aucun partage avec des tiers
Conformément aux recommandations de la CNIL, cette mesure d'audience strictement nécessaire est exemptée de consentement.
6.2 Stockage local
Nous utilisons le stockage local (localStorage) de votre navigateur pour :
- Votre token d'authentification (sécurité)
- Vos préférences de consentement
- L'identifiant de votre cabinet
Ces données ne sont pas transmises à des tiers et restent sur votre appareil.
6.3 Cookies tiers
Stripe peut déposer des cookies pour la sécurité des paiements. Ces cookies sont strictement nécessaires au fonctionnement du service de paiement.
7. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée de la relation + 30 jours après suppression |
| Dossiers et documents | Durée de la relation + 30 jours après suppression |
| Preuves d'envoi LRAR | 10 ans (obligation légale) |
| Données de facturation | 10 ans (obligation comptable) |
| Journaux de sécurité | 1 an |
| Journaux de consentement | 5 ans |
| Analytics (Matomo) | 26 mois |
8. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
8.1 Mesures techniques
- Chiffrement en transit : TLS 1.3 pour toutes les communications
- Chiffrement au repos : AES-256 pour les documents (AWS S3 KMS)
- Mots de passe : hashés avec bcrypt (10 rounds)
- Secrets 2FA : chiffrés avec AES-256-GCM
- Tokens : JWT avec expiration courte + refresh tokens
8.2 Mesures organisationnelles
- Accès aux données limité au personnel habilité
- Formation du personnel à la protection des données
- Audits de sécurité réguliers
- Procédure de gestion des incidents
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
9.1 Droit d'accès
Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
9.2 Droit de rectification
Vous pouvez faire corriger vos données inexactes ou incomplètes directement dans les paramètres de votre compte.
9.3 Droit à l'effacement (« droit à l'oubli »)
Vous pouvez demander la suppression de vos données depuis les paramètres de votre compte. Un délai de grâce de 30 jours vous permet d'annuler cette demande. Passé ce délai, vos données personnelles sont anonymisées.
Certaines données peuvent être conservées pour des obligations légales (facturation, preuves LRAR).
9.4 Droit à la portabilité
Vous pouvez demander l'export de vos données dans un format structuré et lisible par machine.
9.5 Droit d'opposition
Vous pouvez vous opposer au traitement de vos données à des fins de prospection commerciale.
9.6 Droit à la limitation
Vous pouvez demander la limitation du traitement de vos données dans certaines circonstances.
9.7 Directives post-mortem
Vous pouvez définir des directives relatives au sort de vos données après votre décès.
9.8 Exercice de vos droits
Pour exercer vos droits, contactez-nous :
- Par email : dpo@nanilex.fr
- Par courrier : NANEO - DPO, 930 route des Dolines, 06560 Valbonne
Nous répondrons dans un délai d'un mois (prolongeable de deux mois en cas de demande complexe).
9.9 Réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site : www.cnil.fr
10. Transferts internationaux
Vos données sont principalement traitées au sein de l'Union Européenne, et prioritairement en France.
Par défaut, l'intelligence artificielle utilise Mistral AI (France) : aucun transfert hors UE n'est effectué.
En cas de fallback sur OpenAI (hébergé aux États-Unis), nous nous assurons que des garanties appropriées sont en place :
- Clauses Contractuelles Types de la Commission Européenne
- Aucune donnée personnelle identifiable transmise
- Accord de traitement des données (DPA) avec OpenAI
- Opt-out du training sur nos données
Pour les paiements, Stripe traite les données en Union Européenne (Irlande) malgré son siège américain.
11. Mineurs
Le Service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données concernant des mineurs. Si nous apprenons avoir collecté des données d'un mineur, nous les supprimerons dans les plus brefs délais.
12. Modifications
Nous pouvons modifier cette Politique de confidentialité à tout moment. En cas de modification substantielle, nous vous informerons par email ou via une notification dans l'application.
Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.
13. Contact
Pour toute question concernant cette Politique de confidentialité ou le traitement de vos données :
- Email DPO : dpo@nanilex.fr
- Email général : contact@nanilex.fr
- Courrier : NANEO - DPO, 930 route des Dolines, 06560 Valbonne, France