Documents légaux
Politique de confidentialité
Cette politique décrit comment Clarsign collecte, utilise et protège les données personnelles dans le cadre de la fourniture du Service. Elle est rédigée dans un objectif de clarté et de conformité au Règlement (UE) 2016/679 (« RGPD ») et à la loi Informatique et Libertés.
Responsable du traitement
Le responsable de traitement est la société Clarsign SAS, dont le siège social est situé 12 rue de la Paix, 75002 Paris, immatriculée au RCS de Paris sous le numéro 932 145 678.
Pour toute question relative à vos données personnelles : privacy@clarsign.fr. Le délégué à la protection des données peut être contacté à : dpo@clarsign.fr.
Données collectées
Selon les fonctionnalités utilisées, Clarsign collecte les catégories de données suivantes :
| Catégorie | Exemples | Source |
|---|---|---|
| Identification | Nom, prénom, e-mail, mot de passe (haché) | Fournis par vous |
| Compte & usage | Préférences, historique d'analyses, journaux d'accès | Générés par l'usage |
| Documents | Contrats importés, métadonnées (titre, taille, type) | Fournis par vous |
| Facturation | Raison sociale, adresse | Fournis par vous |
| Données techniques | Adresse IP, agent utilisateur, événements de sécurité | Collectées automatiquement |
Finalités et bases légales
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Fourniture du Service (compte, analyses) | Exécution du contrat | Pendant l'abonnement + 30 jours |
| Facturation et obligations comptables | Obligation légale | 10 ans (art. L.123-22 C. com.) |
| Sécurité, prévention de la fraude, journaux | Intérêt légitime | 12 mois maximum |
| Mesure d'audience et amélioration du Service | Consentement (cookies) / Intérêt légitime | 13 mois (cookies) |
| Communication marketing | Consentement / Intérêt légitime (clients) | 3 ans après le dernier contact |
| Réponse aux demandes de droits | Obligation légale | 3 ans |
Documents soumis à l'analyse
Les documents importés sont traités à seule fin de produire l'analyse demandée. Ils sont chiffrés au repos (AES-256) et en transit (TLS 1.3), accessibles uniquement par vous et, le cas échéant, par les membres autorisés de votre organisation. Ils sont supprimés au plus tard trente (30) jours après la fin du traitement, ou immédiatement sur demande.
Destinataires et sous-traitants
Les données sont accessibles aux équipes de Clarsign strictement habilitées (support, ingénierie, sécurité) et à un nombre restreint de sous-traitants, listés dans la page DPA, agissant sur instruction et liés par des engagements contractuels équivalents au RGPD.
Transferts hors Union européenne
Les données sont hébergées dans l'Union européenne. Lorsqu'un transfert hors UE est nécessaire, il s'effectue sur le fondement d'une décision d'adéquation, ou à défaut, des Clauses contractuelles types de la Commission européenne, complétées de mesures techniques (chiffrement, pseudonymisation) et organisationnelles appropriées.
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données
- Droit de rectification des données inexactes
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité
- Droit d'opposition, notamment au traitement à des fins de prospection
- Droit de définir des directives post mortem
- Droit de retirer votre consentement à tout moment
Pour exercer ces droits : privacy@clarsign.fr, en joignant un justificatif d'identité si nécessaire. Vous disposez par ailleurs du droit d'introduire une réclamation auprès de la CNIL (cnil.fr).
Sécurité
- Chiffrement TLS 1.3 en transit, AES-256 au repos
- Cloisonnement par locataire et contrôle d'accès basé sur les rôles
- Authentification forte des accès administrateurs
- Journalisation des accès et alertes en temps réel
- Sauvegardes chiffrées et tests de restauration réguliers
- Tests d'intrusion annuels et revues de code de sécurité
Notification des incidents
En cas de violation de données présentant un risque pour les personnes concernées, Clarsign notifie la CNIL dans les 72 heures et informe les personnes concernées dans les meilleurs délais lorsque le risque est élevé, conformément aux articles 33 et 34 du RGPD.
Modifications
Cette politique peut évoluer. La version applicable est celle publiée à la date de votre consultation. En cas d'évolution substantielle, vous serez informé par e-mail ou via l'interface du Service.