Politique de confidentialité

1.Préambule

La présente Politique de confidentialité décrit la manière dont la SAS CAZIFAMI, éditrice du service LimpidePro (ci-après "nous", "l'Éditeur"), collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs du Service (ci-après "vous", "le Client").

Elle s'inscrit dans le cadre du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Elle complète les Conditions Générales de Vente et d'Utilisation et les Mentions légales, qui forment ensemble le cadre contractuel du Service.

2.Responsable du traitement

Le responsable du traitement, au sens de l'article 4.7 du RGPD, est :

SAS CAZIFAMI, capital social de 5 000 €
Siège social : 20 route de Collongues, 69270 Saint-Romain-au-Mont-d'Or
SIRET : 878 509 199 00013, RCS Lyon
Représentée par M. Yann Cazier, Président
Contact : contact@limpidepro.com

Délégué à la protection des données (DPO)

La désignation d'un DPO n'est pas obligatoire pour la SAS CAZIFAMI au regard de l'article 37 du RGPD. Néanmoins, un point de contact unique est désigné pour toutes les questions relatives à la protection des données :

Contact RGPD : contact@limpidepro.com (objet : « Demande RGPD »)

Qualité de l'Éditeur selon le type de données

L'Éditeur agit en deux qualités distinctes selon les données traitées :

Responsable de traitement pour les données de Compte (identité, identifiants, données de facturation, métriques d'usage du Service) ;
Sous-traitant au sens de l'article 28 du RGPD pour les données à caractère personnel contenues dans les Documents uploadés par le Client. Le Client en demeure responsable de traitement (cf. section 5).

3.Données collectées

3.1 — Données fournies directement par vous

Lors de la création du Compte et de l'utilisation du Service, vous nous communiquez :

votre adresse email professionnelle ;
un mot de passe (stocké sous forme de hash PBKDF2-SHA256, jamais en clair) ;
votre métier d'exercice (parmi une liste prédéfinie) ;
vos données de facturation (nom, raison sociale, adresse, n° TVA le cas échéant) ;
vos données de paiement (carte bancaire), traitées exclusivement par Stripe et jamais stockées par l'Éditeur ;
les Documents que vous soumettez au Service en vue d'analyse (cf. section 5) ;
les questions et instructions textuelles que vous formulez dans le cadre des Analyses.

3.2 — Données collectées automatiquement

Lors de l'utilisation du Service, nous collectons automatiquement :

vos identifiants techniques de connexion (cookie de session HttpOnly Secure) ;
l'adresse IP de connexion (à des fins de sécurité et de prévention de la fraude) ;
les caractéristiques techniques de votre navigateur (user-agent) et de votre appareil ;
les horodatages d'utilisation du Service (connexions, analyses lancées, fonctionnalités utilisées) ;
les logs techniques nécessaires au bon fonctionnement et à la sécurité (erreurs, latences, anomalies).

3.3 — Données reçues via nos sous-traitants

Nous recevons de Stripe, notre prestataire de paiement :

l'identifiant Stripe Customer associé à votre compte ;
le statut et les métadonnées de votre abonnement (plan, période d'essai, statut de paiement) ;
les marqueurs techniques permettant de générer une facture (4 derniers chiffres de carte, marque, expiration).

Aucune donnée bancaire complète n'est transmise à l'Éditeur.

3.4 — Données que nous ne collectons pas

L'Éditeur ne collecte ni ne traite :

vos coordonnées bancaires complètes (numéro PAN, cryptogramme, expiration complète) ;
de cookies publicitaires, marketing ou de tracking comportemental ;
de données issues de réseaux sociaux ou de courtiers en données ;
de données géolocalisées précises, autres que la géolocalisation IP par défaut au niveau du pays.

4.Finalités et bases légales du traitement

Les données collectées sont traitées pour les finalités suivantes, chacune fondée sur une base légale précise au sens de l'article 6 du RGPD :

Finalité	Base légale (art. 6 RGPD)	Données concernées
Création et gestion du Compte, accès au Service, fourniture des Analyses	Exécution du contrat (art. 6.1.b)	Email, mot de passe, métier, Documents, Analyses, identifiants techniques
Facturation, paiement, recouvrement	Exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c) — code de commerce, code général des impôts	Données de facturation, identifiant Stripe, historique des paiements
Support et assistance utilisateur	Exécution du contrat (art. 6.1.b)	Email, contenu des échanges, métadonnées du Compte
Sécurité, prévention de la fraude, intégrité technique du Service	Intérêt légitime (art. 6.1.f) — protection du Service et de ses utilisateurs	IP, user-agent, logs de connexion, comportements anormaux
Mesure d'audience anonyme et amélioration du Service	Intérêt légitime (art. 6.1.f) — pas de cookies tiers, pas de profilage individuel	Métriques agrégées, indicateurs d'usage non nominatifs
Notifications opérationnelles (confirmation d'inscription, fin de période d'essai, échec de paiement, modification CGV)	Exécution du contrat (art. 6.1.b)	Email, statut du Compte, statut Stripe
Communication commerciale (newsletter, nouveautés produit) — uniquement aux Clients existants pour des produits analogues	Intérêt légitime (art. 6.1.f) avec droit d'opposition à tout moment, conformément à l'art. L.34-5 al. 4 CPCE	Email, métier, métadonnées du Compte
Respect des obligations légales (réquisitions judiciaires, contrôles administratifs, lutte anti-blanchiment)	Obligation légale (art. 6.1.c)	Toutes les données nécessaires à la demande légitime

5.Documents uploadés et données qu'ils contiennent

Cette section traite spécifiquement des données contenues dans les Documents que vous soumettez au Service. Elle fait l'objet d'un traitement distinct car elle peut concerner des données sensibles et/ou des données relatives à des tiers.

5.1 — Qualité des parties

S'agissant des données à caractère personnel contenues dans les Documents :

Vous êtes responsable du traitement au sens de l'article 4.7 du RGPD ;
L'Éditeur agit en tant que sous-traitant au sens de l'article 4.8 et 28 du RGPD.

L'acceptation des CGV vaut accord de sous-traitance entre vous et l'Éditeur. Les conditions générales de cette sous-traitance figurent ci-dessous et complètent l'article 21 des CGV.

5.2 — Engagements de l'Éditeur en qualité de sous-traitant

L'Éditeur s'engage à :

traiter les Documents uniquement aux fins de production de l'Analyse demandée ;
ne pas exploiter le contenu des Documents à des fins commerciales, statistiques, d'entraînement de modèles d'IA, de profilage ou toute autre finalité étrangère à la prestation ;
ne transmettre les Documents qu'aux sous-traitants techniques strictement nécessaires (cf. section 6), sous régime contractuel équivalent ;
chiffrer les Documents en transit (TLS 1.3) et au repos ;
supprimer les Documents et les Analyses au terme du délai de conservation prévu en section 8, ou à votre demande ;
vous notifier dans les meilleurs délais, et au plus tard 72 heures après en avoir eu connaissance, toute violation de données affectant vos Documents (art. 33 RGPD).

5.3 — Vos engagements

Vous garantissez à l'Éditeur que :

vous disposez de la base légale appropriée pour traiter les données contenues dans les Documents que vous soumettez (consentement, exécution d'un contrat de mandat, intérêt légitime, etc.) ;
vous avez informé les personnes concernées, le cas échéant, du recours à un sous-traitant pour l'analyse de leurs données ;
la transmission des Documents au Service ne contrevient à aucune obligation de secret professionnel à laquelle vous êtes tenu (cf. article 18 des CGV) ;
vous êtes en mesure de répondre, de manière autonome, aux demandes d'exercice des droits émanant des personnes concernées par les données contenues dans les Documents.

5.4 — Catégories particulières (données sensibles)

Le Service n'est pas conçu pour le traitement de données dites "sensibles" au sens de l'article 9 du RGPD (origine raciale, opinions politiques, santé, vie sexuelle, etc.). Si les Documents que vous soumettez contiennent de telles données, vous reconnaissez que la responsabilité de leur traitement vous incombe entièrement, et que vous avez préalablement vérifié l'existence d'une dérogation prévue à l'article 9.2 du RGPD.

6.Sous-traitants techniques

Pour fournir le Service, l'Éditeur fait appel aux sous-traitants techniques suivants. Chacun d'eux est encadré par un accord de sous-traitance conforme à l'article 28 du RGPD.

Sous-traitant	Rôle	Localisation	Garanties
Anthropic, PBC	Modèles d'intelligence artificielle utilisés pour produire les Analyses	États-Unis	Régime contractuel Zero Data Retention : les Documents et Analyses ne sont pas conservés par Anthropic au-delà du temps strictement nécessaire au traitement, ne sont pas utilisés pour l'entraînement de modèles, ne sont accessibles à aucun opérateur Anthropic. Politique Anthropic
Netlify, Inc.	Hébergement web, CDN, exécution des fonctions serverless, stockage Netlify Blobs	États-Unis (stockage UE lorsque techniquement possible)	Conformité RGPD attestée par contrat. Politique Netlify
Stripe Payments Europe Ltd	Traitement des paiements, gestion des abonnements, facturation	Irlande (siège UE) avec maison-mère aux États-Unis	Certifié PCI-DSS niveau 1. Données bancaires jamais transmises à l'Éditeur. Politique Stripe
Resend, Inc.	Envoi des emails transactionnels (confirmation, fin d'essai, échec de paiement, etc.)	États-Unis	Pas de tracking pixel, pas de profilage destinataire. Politique Resend
Cloudflare, Inc.	Stockage objet R2 (le cas échéant pour les exports volumineux)	UE / États-Unis	Chiffrement au repos. Politique Cloudflare

L'Éditeur s'engage à informer le Client de toute évolution substantielle de cette liste, par publication d'une version mise à jour de la présente Politique. Les modifications sont opposables à compter de leur publication, sans préjudice du droit du Client de résilier l'Abonnement s'il s'oppose à un nouveau sous-traitant pour des motifs légitimes (art. 28.2 RGPD).

7.Transferts de données hors Union européenne

Comme indiqué en section 6, certains sous-traitants sont établis aux États-Unis ou opèrent une infrastructure mondiale. Ce traitement entraîne des transferts de données à caractère personnel hors de l'Union européenne (et plus généralement, hors de l'Espace économique européen).

7.1 — Cadre juridique des transferts

Conformément au chapitre V du RGPD, et à la suite de l'arrêt "Schrems II" de la Cour de justice de l'Union européenne (16 juillet 2020, C-311/18), tous les transferts hors UE effectués par l'Éditeur ou ses sous-traitants reposent sur l'une des garanties suivantes :

les Clauses contractuelles types adoptées par la Commission européenne par sa Décision d'exécution (UE) 2021/914 du 4 juin 2021 ;
la certification au Data Privacy Framework UE-USA (DPF) lorsqu'elle est applicable au sous-traitant concerné ;
le cas échéant, des règles d'entreprise contraignantes (BCR) approuvées par une autorité de contrôle européenne.

7.2 — Mesures complémentaires

Au-delà du cadre juridique, l'Éditeur impose à ses sous-traitants des mesures techniques complémentaires destinées à assurer un niveau de protection essentiellement équivalent à celui garanti dans l'Union :

chiffrement systématique des données en transit (TLS 1.3) et au repos ;
régime de Zero Data Retention contractuel avec Anthropic, écartant l'exposition des Documents et Analyses au personnel du sous-traitant ;
limitation stricte des sous-traitants ultérieurs (sub-processors) ;
obligation de notification dans les meilleurs délais en cas de demande d'accès des autorités d'un pays tiers.

Vous pouvez obtenir copie des garanties applicables (Clauses contractuelles types ou autres) en adressant une demande à contact@limpidepro.com.

8.Durées de conservation

Les durées de conservation appliquées par l'Éditeur sont les suivantes :

Catégorie de données	Durée de conservation	Fondement
Données de Compte (email, mot de passe, métier, identifiants)	Pendant toute la durée de l'Abonnement, puis 12 mois après la résiliation pour permettre une éventuelle réactivation	Exécution du contrat, intérêt légitime du Client
Documents uploadés et Analyses produites	180 jours à compter de leur création, puis suppression automatique. Vous pouvez à tout moment supprimer manuellement un Document ou une Analyse depuis votre tableau de bord.	Exécution du contrat (accès à l'historique), minimisation
Logs techniques (connexions, IP, user-agent, anomalies)	12 mois	Sécurité du Service, art. 6.1.f RGPD
Données de facturation (factures, justificatifs comptables)	10 ans	Article L.123-22 du Code de commerce
Données fiscales	6 ans	Article L.102 B du Livre des procédures fiscales
Données nécessaires au respect d'obligations légales spécifiques (réquisitions, contrôles)	Durée prévue par la loi applicable	Obligation légale (art. 6.1.c RGPD)
Cookies de session	30 jours maximum, ou jusqu'à déconnexion explicite	Exécution du contrat

À l'issue des durées indiquées, les données sont supprimées de manière sécurisée des systèmes de production. Des sauvegardes chiffrées peuvent toutefois subsister pour une durée maximale de 90 jours supplémentaires, dans le cadre du dispositif de continuité d'activité, avant suppression définitive.

9.Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données à caractère personnel :

Droit d'accès

Obtenir confirmation que vos données sont traitées et en recevoir une copie. Article 15 RGPD.

Droit de rectification

Faire corriger toute donnée inexacte ou incomplète vous concernant. Article 16 RGPD.

Droit à l'effacement

Demander la suppression de vos données, sous réserve des conservations légales obligatoires. Article 17 RGPD.

Droit à la limitation

Demander la suspension temporaire du traitement de vos données dans certains cas. Article 18 RGPD.

Droit à la portabilité

Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine. Article 20 RGPD.

Droit d'opposition

Vous opposer au traitement fondé sur l'intérêt légitime de l'Éditeur, ou à toute communication commerciale. Article 21 RGPD.

Droit aux directives post-mortem

Définir des directives sur le sort de vos données après votre décès. Article 85 loi Informatique et Libertés.

Droit à l'absence de décision automatisée

L'Éditeur ne prend aucune décision produisant des effets juridiques à votre égard sur le seul fondement d'un traitement automatisé. Article 22 RGPD.

Comment exercer vos droits

Vous pouvez exercer vos droits :

directement depuis votre Compte, pour les actions accessibles dans l'interface (modification du profil, suppression d'analyses, suppression du Compte) ;
par email à contact@limpidepro.com, en précisant l'objet « Demande RGPD » et le droit que vous souhaitez exercer ;
par courrier à : SAS CAZIFAMI — Demande RGPD — 20 route de Collongues, 69270 Saint-Romain-au-Mont-d'Or, France.

Pour des raisons de sécurité, l'Éditeur peut être amené à vous demander une preuve d'identité avant de répondre à votre demande, notamment si un doute existe sur l'identité du demandeur.

L'Éditeur s'engage à répondre dans un délai d'un (1) mois à compter de la réception de votre demande, prolongeable de deux mois pour les demandes complexes (art. 12.3 RGPD), avec information préalable du demandeur.

10.Sécurité des données

Conformément à l'article 32 du RGPD, l'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :

Mesures techniques

chiffrement systématique des flux en transit via TLS 1.3 ;
chiffrement au repos des données stockées (Netlify Blobs, R2) ;
hashing des mots de passe via PBKDF2-SHA256 avec sel aléatoire et 120 000 itérations (jamais de stockage en clair) ;
cookies de session HttpOnly, Secure, SameSite=Strict ;
politique stricte d'isolation des Comptes, sans accès croisé entre clients ;
infrastructure redondée et sauvegardée quotidiennement ;
journalisation des accès administratifs.

Mesures organisationnelles

limitation des accès aux seuls personnels strictement nécessaires (principe du moindre privilège) ;
obligation contractuelle de confidentialité du personnel et des sous-traitants ;
politique de gestion des incidents de sécurité et procédure de notification (72 h pour les violations affectant les données personnelles, conformément à l'art. 33 RGPD) ;
évaluation régulière des prestataires techniques.

Aucune mesure de sécurité ne pouvant être absolue, l'Éditeur ne peut garantir une sécurité parfaite, mais s'engage à appliquer l'état de l'art adapté à son activité et à la sensibilité des données traitées.

11.Cookies et traceurs

LimpidePro applique une politique cookies minimaliste : aucun cookie publicitaire, marketing ou de mesure d'audience tiers n'est déposé. Aucun bandeau de consentement cookies n'est nécessaire dans la mesure où seuls des cookies strictement nécessaires sont utilisés.

Cookie	Finalité	Durée	Base légale
`lp_sid`	Maintien de votre session connectée (cookie strictement nécessaire au service demandé)	30 jours, ou jusqu'à déconnexion	Exception "cookie strictement nécessaire" art. 82 loi Informatique et Libertés

Aucun cookie tiers de Google Analytics, Facebook Pixel, LinkedIn Insight Tag ou équivalent n'est déposé.

12.Mineurs

Le Service est exclusivement destiné aux professionnels majeurs, conformément à l'article 5 des CGV. Aucun traitement de données concernant un mineur n'est réalisé sciemment. Si l'Éditeur venait à constater qu'un Compte a été créé par un mineur, ce Compte sera fermé sans délai et les données associées supprimées.

13.Modification de la Politique

L'Éditeur peut modifier la présente Politique de confidentialité pour l'adapter aux évolutions du Service, à de nouveaux sous-traitants, ou à des évolutions juridiques. Les modifications substantielles seront notifiées au Client par email avec un préavis raisonnable.

La version en vigueur est toujours accessible à l'adresse limpidepro.com/confidentialite. Le Client est invité à la consulter périodiquement.

14.Contact et réclamation auprès de la CNIL

Contact direct

Pour toute question relative à la présente Politique ou à l'exercice de vos droits :

Email : contact@limpidepro.com (objet : « RGPD »)
Courrier : SAS CAZIFAMI — Demande RGPD — 20 route de Collongues, 69270 Saint-Romain-au-Mont-d'Or, France

Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le dispositif mis en place n'est pas conforme aux règles de protection des données, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr