Politique de confidentialité (RGPD)

Sommaire

Responsable du traitement
Données personnelles collectées
Finalités et bases légales
Sous-traitants et destinataires
Durée de conservation
Sécurité des données
Cookies et traceurs
Vos droits RGPD
Modifications de la politique

Cette politique de confidentialité s'applique à tous les utilisateurs du site signersynthese.fr. Elle est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée dite "Informatique et Libertés".

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le site signersynthese.fr est :

Société

Securit Expert (SAS)

Siège social

12, passage d'Enfer, 75014 Paris, France

RCS

Paris 902 308 790

Email contact RGPD

[email protected]

Délégué à la Protection des Données (DPO)

Securit Expert assume directement le rôle de responsable du traitement. Pour toute question relative à vos données : [email protected]

2. Données personnelles collectées

Dans le cadre de l'utilisation du Service, nous collectons les catégories de données suivantes :

2.1 Données fournies par l'utilisateur

Identité du signataire : prénom, nom complet
Coordonnées : adresse email, numéro de téléphone mobile (au format E.164)
Document à signer : fichier PDF (synthèse INPI) téléversé volontairement par le Client. Ce fichier peut contenir des données personnelles (état civil, adresse, numéro SIREN, montants…). Le Client est seul responsable du contenu de son document.

2.2 Données collectées automatiquement

Adresse IP (anonymisée immédiatement par hashage SHA-256 + sel cryptographique avant tout stockage — l'IP en clair n'est jamais conservée)
User-Agent (navigateur et système d'exploitation, tronqué à 200 caractères)
Identifiant de session technique (généré côté client, pour suivre le parcours sans authentification)
Horodatage des actions effectuées (upload, soumission du formulaire, paiement…)

2.3 Données de paiement

Les données de carte bancaire ne transitent jamais par les serveurs du Vendeur. Elles sont collectées et traitées directement par notre prestataire de paiement Stripe Payments Europe Ltd, certifié PCI-DSS niveau 1. Securit Expert reçoit uniquement un identifiant de transaction et le statut du paiement.

2.4 Données collectées par notre prestataire de signature qualifiée (Universign)

Pour la vérification d'identité conforme PVID exigée pour la signature qualifiée eIDAS, le prestataire Universign collecte directement, lors de l'étape de signature sur smartphone :

Photographie recto-verso de la pièce d'identité du signataire
Selfie (photographie du visage) pour reconnaissance biométrique
Code SMS d'authentification
Données techniques liées à la session de signature

Ces données sont collectées, traitées et conservées exclusivement par Universign en sa qualité de Prestataire de Services de Confiance Qualifié (TSP), conformément au règlement eIDAS. Elles ne transitent pas par nos serveurs. Voir la politique de confidentialité d'Universign.

3. Finalités et bases légales

Finalité

Base légale

Exécution du Service de signature électronique qualifiée

Exécution du contrat (art. 6.1.b RGPD)

Vérification d'identité (PVID)

Obligation légale (eIDAS) + Exécution du contrat

Gestion du paiement

Exécution du contrat

Émission et conservation de la facturation

Obligation légale (Code de commerce)

Service client (réponses aux demandes)

Intérêt légitime (art. 6.1.f RGPD)

Statistiques internes anonymisées (analytics du parcours)

Intérêt légitime — données pseudonymisées

Lutte contre la fraude

Intérêt légitime + Obligation légale

4. Sous-traitants et destinataires

Vos données personnelles sont accessibles uniquement aux personnes habilitées de Securit Expert et à nos sous-traitants techniques, sélectionnés pour leurs garanties RGPD :

Sous-traitant

Finalité — Localisation

Stripe Payments Europe Ltd

Traitement du paiement par carte bancaire — Irlande (UE)

Cryptolog International (Universign by Signaturit Group)

Signature électronique qualifiée + vérification d'identité PVID — France (UE)

Railway Corp.

Hébergement applicatif (serveurs à Amsterdam, Pays-Bas — UE) — société établie aux États-Unis, encadrée par Clauses Contractuelles Types

Cloudflare, Inc.

Routage DNS, CDN edge et protection DDoS — points de présence en UE (notamment Paris, Amsterdam, Francfort) — société établie aux États-Unis, encadrée par Clauses Contractuelles Types

Aucune donnée personnelle n'est cédée, vendue ou transmise à des tiers à des fins commerciales ou marketing.

L'infrastructure d'hébergement principale (serveurs Railway accueillant le site et la base de données) est physiquement située à Amsterdam (Pays-Bas), donc au sein de l'Union européenne. Les sociétés Railway Corp. et Cloudflare, Inc. étant établies aux États-Unis, tout transfert ou accès indirect aux données est encadré par les Clauses Contractuelles Types de la Commission européenne (décision (UE) 2021/914), garantissant un niveau de protection équivalent au RGPD.

5. Durée de conservation

Type de donnée

Durée

Document PDF téléversé (en clair sur nos serveurs)

Conservé 30 jours sur nos serveurs après transmission à Universign, à des fins de support technique (vérification, ré-émission en cas d'incident). Suppression automatique au-delà. Universign conserve ensuite le document signé conformément à ses obligations TSP eIDAS.

Coordonnées du signataire (nom, email, téléphone)

Conservées pendant la durée nécessaire à l'exécution du contrat puis archivées 10 ans au titre des obligations comptables (art. L.123-22 du Code de commerce).

Données de facturation

10 ans (obligation comptable)

Identifiants Stripe (PaymentIntent ID, etc.)

10 ans (suivi comptable et anti-fraude)

Identifiants Universign (transaction ID)

Durée légale de conservation des preuves de signature (typiquement 10 ans, conformément aux exigences de Securit Expert et d'Universign).

Logs techniques (IP hashée, User-Agent)

13 mois maximum (recommandation CNIL)

Données du dashboard analytics interne

Données pseudonymisées conservées tant que nécessaire à l'amélioration du service. L'IP en clair n'est jamais conservée (uniquement le hash).

6. Sécurité des données

Securit Expert met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité de vos données personnelles :

Chiffrement en transit : toutes les communications avec le site utilisent le protocole HTTPS / TLS 1.3 (chiffrement SSL 256 bits)
Hashage des IP : les adresses IP des visiteurs ne sont jamais stockées en clair — uniquement leur hash SHA-256 avec sel cryptographique
Conversion en PDF/A avant transmission à Universign (intégrité du document)
Suppression locale immédiate du PDF téléversé après transmission au prestataire de signature
Authentification renforcée de l'accès au back-office administrateur (cookies de session signés HMAC, rate-limiting)
Sous-traitants certifiés : Stripe (PCI-DSS niveau 1), Universign (TSP qualifié eIDAS, certifié ANSSI)

7. Cookies et traceurs

Le site signersynthese.fr utilise un nombre minimal de cookies, exclusivement techniques et fonctionnels :

Finalité — Durée

msq_admin_session

Cookie de session de l'administrateur du site (back-office). HttpOnly, Secure, SameSite=Strict. Durée : 8 heures. Concerne uniquement l'administrateur, pas les utilisateurs publics.

sessionStorage navigateur

Identifiant de session technique généré côté client pour suivre le parcours d'inscription sans authentification (analytics interne). Effacé à la fermeture de l'onglet.

Cookies tiers Stripe

Posés uniquement lors de l'étape de paiement, par Stripe directement, pour la sécurité et l'anti-fraude. Voir la politique cookies de Stripe.

Le site n'utilise aucun cookie publicitaire ni de mesure d'audience tiers (Google Analytics, Facebook Pixel, etc.). Aucun consentement préalable n'est requis pour les cookies strictement nécessaires au fonctionnement (recommandation CNIL).

8. Vos droits RGPD

Conformément au RGPD et à la loi "Informatique et Libertés", vous disposez des droits suivants :

Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir la copie
Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
Droit à l'effacement / "droit à l'oubli" (art. 17) : faire supprimer vos données, sauf obligation légale de conservation
Droit à la limitation du traitement (art. 18)
Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
Droit d'opposition (art. 21) : vous opposer au traitement pour motifs légitimes
Droit de retirer votre consentement à tout moment, sans que cela compromette la légalité du traitement effectué auparavant
Droit de définir des directives post-mortem sur le sort de vos données (art. 85 loi Informatique et Libertés)

Pour exercer l'un de ces droits, contactez-nous à [email protected] en précisant "Demande RGPD" en objet, accompagnée d'une preuve d'identité (copie de pièce d'identité). Nous nous engageons à répondre dans un délai maximum de 1 mois, prolongeable de 2 mois en cas de demande complexe (art. 12 RGPD).

9. Modifications de la politique

La présente politique de confidentialité peut être modifiée à tout moment, notamment pour tenir compte d'évolutions légales, jurisprudentielles, techniques ou organisationnelles. La version applicable est celle en vigueur à la date de votre commande, accessible sur le site avec sa date de mise à jour.

En cas de modification substantielle, les utilisateurs ayant fourni leur email seront informés par courriel.