Politique de confidentialité
Dernière mise à jour : 10/06/2026
La présente politique décrit la manière dont CapLegal (« l'Éditeur », « nous », « le Service ») collecte, utilise et protège les données personnelles des utilisateurs du Service, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable de traitement
Le responsable de traitement est CapLegal, dont les coordonnées figurent dans les mentions légales. Pour toute question relative à la protection des données ou pour exercer vos droits : contact@caplegal.fr.
2. Données collectées
- Données de compte et d'organisation: adresse email, nom et prénom, organisation d'appartenance, rôle (administrateur ou membre), préférence newsletter, horodatages d'acceptation des CGU/CGV.
- Données de profil professionnel renseignées lors de l'onboarding : secteur d'activité, taille de l'entreprise, fonctions exercées.
- Contenus utilisateurs: conversations avec l'assistant, documents téléversés (scan, analyse multi-documents, revue de clauses, import PDF dans la bibliothèque de conformité), brouillons générés et leur version éditée (DUERP, PAPRIPACT, modèles de clauses, registre, AIPD), réponses au diagnostic de conformité, résultats de vérification de fraîcheur, échéances, projets.
- Données d'organisation (marque blanche): nom, adresse postale, email et téléphone de contact de l'organisation, et le cas échéant logo téléversé pour personnaliser les documents exportés. Le logo est stocké dans un bucket privé, accessible uniquement aux membres autorisés de l'organisation.
- Données techniques: adresse IP, user-agent, logs serveur (horodatages, codes de réponse, identifiants techniques), cookies de session. L'adresse IP est également utilisée ponctuellement comme identifiant pour le rate-limiting sur les endpoints publics.
- Jetons d'intégration: un jeton aléatoire est associé au flux iCal d'échéances pour permettre la synchronisation avec un agenda externe sans authentification. Ce jeton est révocable à tout moment.
- Données de paiement: identifiant client Stripe, statut de l'abonnement, plan souscrit, dates, montants. Aucune coordonnée bancaire (PAN, CVV, IBAN) n'est stockée par CapLegal ; elles sont traitées exclusivement par Stripe.
- Données de communication: emails transactionnels (confirmation de compte, rappels d'échéance, factures), horodatages d'envoi et de livraison.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du Service (compte, chat, analyses, génération de documents, diagnostic, projets, échéances) | Exécution du contrat (art. 6.1.b RGPD) |
| Gestion des organisations et invitations | Exécution du contrat (art. 6.1.b) |
| Facturation, comptabilité et lutte contre la fraude | Obligation légale (art. 6.1.c) et intérêt légitime (art. 6.1.f) |
| Sécurité du Service, lutte contre l'abus, rate-limiting | Intérêt légitime (art. 6.1.f) |
| Rappels d'échéance par email | Exécution du contrat (art. 6.1.b) |
| Communication marketing et newsletter | Consentement (art. 6.1.a) |
| Amélioration du Service et statistiques anonymisées | Intérêt légitime (art. 6.1.f) |
4. Durée de conservation
- Compte actif: tant que l'utilisateur dispose d'un compte.
- Compte inactif: suppression automatique après trois (3) ans d'inactivité, après une relance par email.
- Contenus utilisateurs (documents, brouillons, conversations) : pendant la durée du compte.
- Données comptables et factures Stripe : 10 ans (obligation légale).
- Préférence newsletter : conservée tant que le profil existe (la préférence « désabonné » reste effective même après suppression du compte, pour éviter une réinscription involontaire).
5. Destinataires et sous-traitants
Vos données sont accessibles aux personnels habilités de CapLegal et aux sous-traitants suivants, encadrés par un accord conforme à l'article 28 du RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification, stockage fichiers | UE (Francfort) |
| Vercel Inc. | Hébergement applicatif et API | UE / USA — CCT + DPF |
| Cloudflare, Inc. | Stockage objet (R2) pour les documents importés et générés, CDN | UE / USA — CCT + DPF |
| OpenAI Ireland Ltd. | Modèles de langage et bases vectorielles (assistant, analyses, génération de brouillons) | UE / USA |
| Resend Inc. | Envoi des emails transactionnels et rappels d'échéance | UE / USA — DPF |
| Stripe Payments Europe Ltd. | Traitement des paiements et émission des factures | UE (Irlande) |
| Upstash Inc. | Rate-limiting applicatif (cache mémoire à TTL court : compteurs par utilisateur ou par IP) | UE (Francfort) |
Les transferts hors UE éventuels sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (CCT 2021) et/ou par le cadre Data Privacy Framework (DPF) UE-États-Unis.
6. Données envoyées aux modèles d'IA
Les requêtes formulées dans le chat, les contenus de documents analysés et les paramètres de génération sont transmis aux API d'OpenAI pour produire la réponse. Conformément à la politique professionnelle d'OpenAI applicable à l'API, ces données ne sont pas utilisées pour entraîner les modèles et sont conservées au maximum 30 jours pour la détection d'abus, sauf opt-out spécifique. Nous vous recommandons de ne pas inclure de données sensibles inutiles dans vos requêtes.
Pour la vérification de fraîcheur des documents de conformité, seules les références juridiques détectées (numéros d'articles, codes, règlements) sont envoyées au modèle pour interrogation du corpus. Pour un document importé au format PDF, le fichier complet est transmis à OpenAI le temps de l'analyse.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, et le droit de définir des directives relatives au sort de vos données après votre décès. Vous pouvez retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci.
Pour exercer ces droits : contact@caplegal.fr. Nous répondons sous un mois (prolongeable de deux mois pour les demandes complexes).
Vous pouvez vous désabonner de la newsletter à tout moment depuis la page /newsletter sans avoir à vous authentifier.
8. Cookies et traceurs
CapLegal utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service (session, authentification, préférences d'interface), qui ne requièrent pas de consentement (article 82 de la loi Informatique et Libertés). Les éventuels cookies de mesure d'audience anonymisée sont déposés sur la base d'une exemption CNIL (lignes directrices). Aucun cookie publicitaire ou traceur tiers n'est utilisé sans consentement préalable.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au risque (art. 32 RGPD) :
- chiffrement TLS 1.2+ de bout en bout pour les flux applicatifs ;
- chiffrement au repos des bases de données et du stockage objet ;
- hachage des mots de passe (Argon2 / bcrypt côté Supabase) ;
- gestion stricte des accès (moindre privilège) ;
- journalisation, sauvegardes régulières et testées ;
- rate-limiting applicatif sur les endpoints sensibles pour limiter les abus et les attaques par force brute ;
- séparation stricte entre les ressources publiques (textes juridiques, documents de référence) et les ressources privées de l'organisation (documents importés, logos, brouillons), ces dernières n'étant accessibles qu'aux membres autorisés via des URL signées à durée de validité limitée ;
- tests de sécurité et revues de code des fonctionnalités sensibles.
En cas de violation de données présentant un risque pour vos droits et libertés, nous notifions la CNIL dans les 72 heures et vous informons individuellement en cas de risque élevé (art. 33 et 34 RGPD).
10. Données sensibles
Le Service n'est pas destiné à traiter des données sensibles au sens de l'article 9 du RGPD (santé, opinions politiques, convictions, données biométriques, orientation sexuelle, etc.) ni des données d'infractions (art. 10). Nous vous recommandons de ne pas téléverser de documents contenant ces catégories d'informations à propos de tiers identifiables sans base légale appropriée.
11. Décisions automatisées
Les scores de conformité, classifications et suggestions affichés par le Service sont des aides à la décision indicatives et révisables. Ils ne produisent pas d'effet juridique à votre égard et ne sauraient être considérés comme des décisions automatisées au sens de l'article 22 du RGPD.
12. Modifications
La présente politique peut évoluer. Toute modification substantielle sera notifiée par email ou via le Service.