Politique de confidentialité

Version du 21 février 2026 — Conforme au Règlement (UE) 2016/679 (RGPD)

Vos données vous appartiennent. Cette politique explique de façon transparente comment DocuSafe les collecte, les utilise et les protège, conformément au RGPD et à la loi Informatique et Libertés.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

DocuSafe SAS

Contact RGPD : privacy@docusafe.online

Délégué à la Protection des Données (DPO) : privacy@docusafe.online

2. Données collectées et bases légales (Art. 6 RGPD)

DocuSafe collecte uniquement les données strictement nécessaires à la fourniture du Service (principe de minimisation — Art. 5 RGPD). Voici le détail de chaque traitement :

DonnéesFinalitéBase légale (Art. 6 RGPD)
Email, nom, mot de passe (haché)Création et gestion du compteExécution du contrat (6.1.b)
Documents téléversésStockage sécurisé, classification IAExécution du contrat (6.1.b)
Données de paiement (token Stripe)Facturation et gestion abonnementExécution du contrat (6.1.b) + Obligation légale (6.1.c)
Adresse IP, logs de connexionSécurité, détection de fraudeIntérêt légitime (6.1.f)
Langue, préférences, thèmePersonnalisation de l'interfaceExécution du contrat (6.1.b)
Date d'acceptation des CGUPreuve du consentementObligation légale (6.1.c) + Intérêt légitime (6.1.f)
Données d'usage (statistiques anonymisées)Amélioration du serviceIntérêt légitime (6.1.f)

3. Chiffrement et sécurité des données

DocuSafe applique le principe de chiffrement de bout en bout pour vos documents :

  • Chaque document est chiffré avec une clé de chiffrement personnelle unique à votre compte (algorithme AES-256-GCM), dérivée d'une clé maître stockée séparément ;
  • Les documents ne sont déchiffrés qu'à la demande, au moment de votre consultation, et uniquement pour votre compte ;
  • Les mots de passe sont hachés avec bcrypt (facteur de travail ≥ 12) — DocuSafe n'a pas accès à votre mot de passe en clair ;
  • Toutes les communications sont chiffrées via TLS 1.3 ;
  • L'accès aux données de production est restreint aux seuls membres autorisés de l'équipe DocuSafe, avec journalisation des accès.

4. Sous-traitants et transferts de données

DocuSafe fait appel aux sous-traitants suivants, sélectionnés pour leurs garanties en matière de protection des données (Art. 28 RGPD) :

Sous-traitantRôleLocalisationGarantie
Railway TechnologiesHébergement applicatifUSA (UE disponible)Clauses contractuelles types UE
Cloudflare R2Stockage objet chiffréUSA / UEClauses contractuelles types UE
Stripe Inc.PaiementUSA / UECertifié PCI-DSS, CCT UE
ResendEnvoi d'e-mails transactionnelsUSAClauses contractuelles types UE
Google LLCOAuth (connexion Google), IA (Gemini)USA / UEClauses contractuelles types UE
PlanetScale / Neon (ou équivalent)Base de donnéesUSA / UEClauses contractuelles types UE

Les transferts vers des pays hors UE reposent sur les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, conformément à l'article 46 RGPD. Aucune donnée n'est transférée vers des pays ne disposant pas d'un niveau de protection adéquat sans garanties appropriées.

5. Durées de conservation

DonnéeDurée de conservation
Données de compte actifDurée de la relation contractuelle
Documents utilisateurDurée de la relation contractuelle + 30 jours après résiliation
Données de facturation et factures10 ans (obligation comptable légale)
Logs de connexion et sécurité12 mois (L34-1 CPCE)
Preuve d'acceptation des CGU5 ans après la fin de la relation contractuelle
Compte inactif (plan gratuit)24 mois d'inactivité puis suppression avec préavis par e-mail

6. Intelligence artificielle et traitement de vos documents

DocuSafe utilise des modèles d'intelligence artificielle (Google Gemini) pour analyser et classifier vos documents. Ce traitement intervient uniquement :

  • à votre demande explicite (lors du téléversement ou via DocuBot) ;
  • via des requêtes sécurisées à l'API de Google, sans stockage permanent des données par Google pour l'entraînement de leurs modèles (conformément à nos accords de sous-traitance) ;
  • sur des documents déchiffrés temporairement le temps de l'analyse, puis rechiffrés immédiatement.

Vous pouvez désactiver l'analyse IA automatique dans les paramètres de votre compte. DocuSafe n'utilise pas vos documents pour entraîner ses propres modèles d'IA.

7. Vos droits (Art. 12 à 22 RGPD)

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (Art. 15) : obtenir une copie de vos données ;
  • Droit de rectification (Art. 16) : corriger des données inexactes ;
  • Droit à l'effacement / "droit à l'oubli" (Art. 17) : demander la suppression de vos données (sous réserve des obligations légales de conservation) ;
  • Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine ;
  • Droit d'opposition (Art. 21) : vous opposer au traitement basé sur l'intérêt légitime ;
  • Droit à la limitation du traitement (Art. 18) : restreindre temporairement le traitement de vos données ;
  • Droit de retrait du consentement : si le traitement est basé sur votre consentement, vous pouvez le retirer à tout moment sans affecter la licéité des traitements antérieurs.

Pour exercer ces droits, contactez-nous à privacy@docusafe.online. Nous répondrons dans un délai d'un mois (Art. 12 RGPD). En cas de demande complexe, ce délai peut être prolongé de deux mois supplémentaires, avec information préalable.

Vous devrez fournir une pièce d'identité pour les demandes d'accès, de rectification ou d'effacement, afin de nous permettre de vérifier votre identité et protéger vos données.

8. Droit de réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Téléphone : +33 (0)1 53 73 22 22

Site web : www.cnil.fr

9. Cookies et traceurs

DocuSafe utilise uniquement des cookies strictement nécessaires au fonctionnement du Service, exemptés de consentement selon les lignes directrices de la CNIL :

CookieFinalitéDurée
next-auth.session-tokenMaintien de la session de connexion30 jours
next-auth.csrf-tokenProtection contre les attaques CSRFSession
docusafe-languageMémorisation de la langue choisie1 an (localStorage)

Nous n'utilisons aucun cookie de traçage publicitaire, de profilage ou analytique tiers. Aucun cookie non essentiel n'est déposé sans votre consentement préalable.

10. Notification en cas de violation de données (Art. 33-34 RGPD)

En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour vos droits et libertés, DocuSafe s'engage à :

  • notifier la CNIL dans les 72 heures suivant la prise de connaissance (Art. 33 RGPD) ;
  • vous informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (Art. 34 RGPD), avec description de la nature de la violation, des données concernées et des mesures prises.

11. Données de mineurs

Le Service n'est pas destiné aux personnes de moins de 16 ans. DocuSafe ne collecte pas sciemment de données personnelles de mineurs de moins de 16 ans. Si nous apprenons qu'un compte a été créé par une personne de moins de 16 ans sans consentement parental, nous supprimerons ce compte et les données associées dans les meilleurs délais.

Si vous estimez que votre enfant de moins de 16 ans a créé un compte, contactez-nous à privacy@docusafe.online.

12. Modifications de la politique de confidentialité

DocuSafe peut mettre à jour cette politique de confidentialité. En cas de modification substantielle, vous en serez informé par e-mail et/ou notification dans le Service, et une nouvelle acceptation pourra vous être demandée. La version en vigueur est toujours accessible sur cette page. La date de dernière mise à jour figure en haut de ce document.

13. Contact

Pour toute question relative à cette politique ou pour exercer vos droits :

← Retour à l'accueilConditions d'utilisation →