🔒 Sécurité & RGPD

Vos documents restent les vôtres

Vous traitez des données sensibles de vos clients. Nous appliquons des standards adaptés à un usage professionnel d'expertise comptable.

📄

Aucun stockage des documents

Vos PDF et images ne sont jamais sauvegardés. Ils transitent uniquement le temps de l'analyse.

🔐

Connexions chiffrées

Toutes les communications utilisent HTTPS/TLS. Cookies sécurisés HttpOnly + SameSite=Strict.

🇪🇺

Hébergement Europe

Infrastructure principale Netlify EU (Francfort). Sous-traitant IA encadré par clauses contractuelles types.

🚫

Aucun usage commercial

Vos analyses ne sont jamais revendues, jamais utilisées pour entraîner des IA, jamais partagées.

1. Vos documents analysés

Quand vous glissez un PDF ou une image dans Lisible Compta :

Le fichier est encodé en mémoire dans votre navigateur, puis envoyé chiffré (TLS 1.3) à notre serveur.
Notre serveur le transmet immédiatement à notre sous-traitant IA (Anthropic) pour analyse.
Une fois la réponse reçue, le fichier est oublié. Aucune copie n'est conservée sur nos serveurs.

Seul le texte de l'analyse (et les questions/réponses du chat) est conservé dans votre historique, pour vous permettre d'y revenir. Le fichier original lui-même est volatile.

2. Vos données de compte

Donnée	Comment c'est protégé
Email professionnel	Stocké dans Netlify Blobs (UE), accessible uniquement via session authentifiée.
Mot de passe	Hashé avec PBKDF2 (SHA-256, 120 000 itérations, sel aléatoire). Le mot de passe en clair n'est jamais conservé, jamais loggé.
Nom du cabinet	Stocké en clair (besoin légitime pour l'affichage).
Session de connexion	Cookie HttpOnly + Secure + SameSite=Strict, expirant après 30 jours d'inactivité.
Historique d'analyses	Stocké dans Netlify Blobs (UE), associé à votre compte. Suppression possible à tout moment.

3. Sous-traitants identifiés

Conformément au RGPD (article 28), voici la liste exhaustive de nos sous-traitants :

Sous-traitant	Rôle	Localisation
Netlify, Inc.	Hébergement de l'application et stockage de votre compte (Netlify Blobs).	USA, avec serveurs Edge en UE (région Francfort par défaut).
Anthropic PBC	Analyse de vos documents par modèle d'IA (Claude).	USA. Encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne.

Transparence sur le transfert hors UE : Anthropic est une société américaine. Vos documents sont donc temporairement transmis aux USA pour traitement par leur API. Anthropic s'engage contractuellement à ne pas conserver les données envoyées via API au-delà de 30 jours, et à ne pas les utiliser pour l'entraînement de leurs modèles. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914).

4. Vos droits RGPD

En tant qu'utilisateur, vous disposez à tout moment des droits suivants :

Accès : obtenir une copie de toutes les données vous concernant que nous détenons.
Rectification : corriger toute donnée inexacte (nom, email, etc.).
Effacement (« droit à l'oubli ») : supprimer définitivement votre compte et toutes les données associées (historique d'analyses inclus).
Portabilité : recevoir vos données dans un format structuré et lisible (JSON).
Opposition : refuser certains traitements.
Limitation : restreindre temporairement le traitement de vos données.

Pour exercer un droit, écrivez à contact@cazifami.fr. Nous répondons sous 30 jours maximum (souvent sous 72h).

5. Conservation des données

Type de donnée	Durée de conservation
Documents analysés (PDF, images)	Aucune conservation (volatile)
Compte utilisateur (email, cabinet, mot de passe hashé)	Tant que le compte est actif. Supprimé sous 30 jours après demande.
Historique des analyses (texte uniquement)	Tant que vous le souhaitez. Suppression possible à tout moment.
Logs techniques (anonymisés)	30 jours maximum, à des fins de sécurité.
Données de facturation	10 ans (obligation légale comptable).

6. Sécurité technique en détail

Chiffrement en transit : TLS 1.3 sur toutes les communications (HTTPS obligatoire, redirect automatique).
Chiffrement au repos : les Netlify Blobs sont chiffrés AES-256 côté serveur.
Protection des sessions : cookie HttpOnly (non accessible en JavaScript), Secure (HTTPS uniquement), SameSite=Strict (anti-CSRF).
Protection des mots de passe : PBKDF2-SHA256 avec 120 000 itérations et sel aléatoire de 16 octets par utilisateur. Comparaison à temps constant pour éviter les attaques temporelles.
Headers de sécurité : X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin.
Pas de tracking publicitaire : ni Google Analytics, ni pixels Meta/LinkedIn. Aucune donnée comportementale n'est partagée à des tiers.

7. En cas de violation de données

Conformément à l'article 33 du RGPD, en cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, nous nous engageons à :

Notifier la CNIL dans les 72 heures de la prise de connaissance.
Informer les utilisateurs concernés sans délai injustifié, par email.
Documenter l'incident et les mesures correctives prises.

Une question, un doute, un droit à exercer ?

📧 Email : contact@cazifami.fr

🏢 Adresse : SAS CAZIFAMI · Saint-Romain-au-Mont-d'Or, France

⏱️ Délai de réponse : 30 jours maximum (souvent sous 72h)

Dernière mise à jour : 6 mai 2026 — Version 1.0