Politique de confidentialité
Dernière mise à jour : 21 avril 2026 — Version 2.0
1. Double rôle RGPD de Conformitiel
Conformitiel intervient selon un double statut au sens du Règlement (UE) 2016/679 (RGPD) :
- Responsable de traitement (Art. 4.7 RGPD) pour les données personnelles des utilisateurs du service (professionnels souscripteurs) : identité, email professionnel, authentification, logs de connexion, facturation. OWK SAS détermine seule les finalités et moyens de ces traitements.
- Sous-traitant(Art. 4.8 et 28 RGPD) pour l'ensemble des données personnelles relatives aux tiers audités (dirigeants, bénéficiaires effectifs, personnes physiques criblées, associés) saisies ou générées dans le service par le Client. Le Client (professionnel assujetti LCB-FT) demeure responsable de traitement de ces données ; Conformitiel les traite exclusivement sur instructions documentées du Client, dans le cadre du Contrat de Sous-traitance (DPA) annexé aux CGU.
Le DPA est réputé accepté par l'acceptation des Conditions Générales d'Utilisation (Art. 1367 du Code civil — signature électronique simple). Il est librement consultable et peut être exporté au format PDF sur demande à dpo@conformitiel.fr.
2. Responsable du traitement et DPO
Responsable de traitement : OWK SAS, 160 Route de Cannes, 06130 Grasse, France.
Délégué à la Protection des Données (DPO) : dpo@conformitiel.fr
À défaut de désignation formelle d'un DPO externe à la date de la présente version, les demandes adressées à cette adresse sont traitées par la Direction de OWK SAS dans les mêmes délais et avec les mêmes garanties que si un DPO était désigné.
3. Données collectées
Les catégories de données traitées sont les suivantes :
3.1 Données des utilisateurs (Conformitiel = responsable)
- Nom, prénom, email professionnel
- Mot de passe (stocké sous forme de hash bcrypt)
- Secret d'authentification à deux facteurs (TOTP)
- Tokens de session, logs de connexion, adresse IP
- Données de facturation transmises à Stripe (nom organisation, SIREN, numéro d'immatriculation selon la profession)
3.2 Données des tiers audités (Conformitiel = sous-traitant)
- Identité des dirigeants (nom, prénom, fonction, date de prise de fonction) — source : API Recherche Entreprises gouv.fr / INPI
- Identité des bénéficiaires effectifs (nom, prénom, date de naissance, nationalité, pourcentage de détention) — source : INPI / Registre National des Bénéficiaires Effectifs
- Identité des personnes physiques criblées (nom, prénom, date de naissance, nationalité) — saisie Client
- Résultats de criblage contre les listes officielles de sanctions (UE, ONU, OFAC, HM Treasury) et contre la liste des Personnes Politiquement Exposées (PPE) de la HATVP
3.3 Données techniques et de sécurité
- Logs applicatifs, logs d'audit SHA-256 immuable, logs de sécurité
- Logs emails transactionnels (Resend)
- Cookies strictement nécessaires au fonctionnement
4. Finalités et bases juridiques
| Finalité | Base juridique | Catégories concernées |
|---|---|---|
| Exécution du contrat d'abonnement (compte, facturation, support) | Art. 6.1.b RGPD — exécution d'un contrat | Données utilisateurs (3.1) |
| Conformité LCB-FT du Client (audits, criblages, vigilance) | Art. 6.1.c RGPD — obligation légale (Art. L.561-1 et s. CMF) | Données des tiers audités (3.2) |
| Sécurité du service, prévention de la fraude, logs techniques | Art. 6.1.f RGPD — intérêt légitime | Logs techniques (3.3) |
| Obligations comptables et fiscales (facturation) | Art. 6.1.c RGPD — obligation légale (Art. L.123-22 C.com) | Données de facturation |
| Notifications emails transactionnels (bienvenue, alertes) | Art. 6.1.b RGPD — exécution du contrat | Email utilisateur |
5. Durées de conservation
| Catégorie de données | Durée | Base légale |
|---|---|---|
| Dossiers d'audit LCB-FT, KYC, BE, criblages | 5 ansaprès fin de la relation d'affaires | Art. L.561-12 CMF |
| Journal d'audit SHA-256 immuable (preuve) | 5 ans | Art. L.561-12 CMF + Art. 32 RGPD (intégrité) |
| Compte utilisateur et données d'identification | Durée de l'abonnement + 3 ans | Art. 2224 C.civ (prescription) |
| Sessions authentifiées | 30 jours glissants | Art. 6.1.f RGPD (sécurité) |
| Tokens magic-link | 15 minutes | Art. 6.1.b RGPD |
| Logs techniques et de sécurité | 12 mois | Recommandation CNIL |
| Logs emails transactionnels (Resend) | 6 mois | Art. 6.1.f RGPD |
| Factures et pièces comptables | 10 ans | Art. L.123-22 C.com |
| Tickets support et contact | 3 ans après dernier contact | Référentiel CNIL gestion commerciale |
| Cookies strictement nécessaires | Session | Art. 82 loi 78-17 (exemption) |
6. Destinataires et sous-traitants
Conformitiel recourt aux sous-traitants listés ci-dessous pour l'exécution du service. Tout changement fait l'objet d'une information préalable du Client avec un délai d'opposition de 30 jours conformément au DPA.
La liste complète, à jour et détaillée est disponible sur la page dédiée : /sous-traitants.
Principaux sous-traitants :
- OVH SAS (France, datacenters de Strasbourg) — hébergement applicatif et base de données
- Stripe Payments Europe Ltd (Irlande) — paiements et abonnements
- Resend Inc.(US) — envoi d'emails transactionnels
- Anthropic PBC et OpenAI OpCo LLC (US) — analyses IA optionnelles (opt-in Client avec sa propre clé API)
- OpenSanctions — base consolidée de sanctions et Personnes Politiquement Exposées, auto-hébergée sur l'infrastructure OVH Strasbourg (yente + Elasticsearch). Les requêtes de criblage sont effectuées en interne, aucune donnée n'est transmise à OpenSanctions gGmbH.
- FreeTSA.org (Autriche, UE) — horodatage qualifié RFC 3161 (hash SHA-256 uniquement, aucune donnée personnelle transmise)
Aucune donnée n'est transmise à des tiers à des fins commerciales ou publicitaires.
7. Transferts hors Union européenne
Certains sous-traitants sont des sociétés américaines. Conformitiel encadre tout transfert de données personnelles hors UE par les garanties suivantes, cumulativement lorsque pertinent :
- Clauses Contractuelles Types(Décision d'exécution UE 2021/914 du 4 juin 2021)
- Data Privacy Framework(Décision d'adéquation UE 2023/1795 du 10 juillet 2023) pour les sous-traitants américains certifiés
- Analyse d'Impact sur les Transferts conforme à la recommandation EDPB 01/2020
Analyse d'Impact sur la Protection des Données (AIPD) : une AIPD conformément à l'Art. 35 RGPD est réalisée pour les traitements d'analyse par IA (Anthropic, OpenAI) compte tenu du caractère automatisé et du potentiel de profilage indirect. Une synthèse est disponible sur demande écrite à dpo@conformitiel.fr.
Sources publiques (INPI, BODACC, API gouv.fr) : les consultations sont réalisées en lecture seule sans transmission sortante de données personnelles.
OFAC (US Treasury): l'interrogation est réalisée par téléchargement et comparaison locale de la liste consolidée SDN ; aucune donnée personnelle n'est transmise hors UE pour cette finalité. Cette modalité technique permet d'écarter la qualification de transfert hors UE au sens des Articles 44 et suivants du RGPD, tout en respectant l'obligation légale de criblage imposée par le Code Monétaire et Financier.
8. Sécurité (Art. 32 RGPD)
Conformitiel met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit TLS 1.3 (HTTPS forcé, HSTS)
- Chiffrement au repos des bases de données (AES-256)
- Authentification forte (MFA TOTP, magic-link, SSO en plan Structure+)
- Séparation des environnements (prod / préprod / dev)
- Sauvegardes journalières chiffrées, conservées 30 jours
- Horodatage qualifié RFC 3161 via FreeTSA pour les rapports
- Hachage SHA-256 des documents pour la chaîne de preuve
- Journal d'audit immuable pour chaque action utilisateur
- Revues de sécurité applicative et tests d'intrusion réguliers
- Principe du moindre privilège et traçabilité des accès sur 12 mois
9. Vos droits et comment les exercer
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir une copie de vos données
- Droit de rectification (Art. 16) : corriger des données inexactes
- Droit à l'effacement (Art. 17), sous réserve des limites légales (voir section 12)
- Droit à la limitation du traitement (Art. 18)
- Droit à la portabilité (Art. 20) — export ZIP certifié
- Droit d'opposition(Art. 21) pour les traitements fondés sur l'intérêt légitime
- Directives post-mortem (Art. 85 loi 78-17)
Pour exercer vos droits, adressez une demande à dpo@conformitiel.fr accompagnée de tout justificatif d'identité utile. Conformitiel s'engage à répondre dans un délai d'un mois, prorogeable de deux mois en cas de demande complexe (Art. 12.3 RGPD).
En cas de refus motivé ou d'absence de réponse, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
10. Notification de violation de données
En cas de violation de données à caractère personnel, Conformitiel notifie :
- Dans son rôle de Responsable de traitement (données des utilisateurs) : la CNIL dans les 72 heuresaprès en avoir eu connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque (Art. 33 RGPD). Les personnes concernées sont informées sans délai indu si un risque élevé est probable (Art. 34 RGPD).
- Dans son rôle de Sous-traitant (données des tiers audités) : le Client responsable de traitement est informé dans les meilleurs délais et au plus tard dans les 48 heures de la découverte de l'incident, avec tous les éléments nécessaires à sa propre notification à la CNIL (nature, catégories et volumétrie, conséquences, mesures prises). Voir Article 5 du DPA.
11. Information des tiers audités (Art. 14 RGPD)
Conformitiel intervient en qualité de sous-traitant. L'information des tiers audités (dirigeants, bénéficiaires effectifs, associés) au titre de l'Art. 14 RGPDrelève de l'obligation du Client en sa qualité de responsable de traitement.
Conformitiel met à disposition du Client un modèle de notice d'information conforme dans son espace Documentation.
L'obligation d'information peut toutefois être écartée dans les conditions prévues par l'Art. 14.5 RGPD(information impossible, effort disproportionné, obligation légale prévalente), notamment en application de l'Art. L.561-18 du Code Monétaire et Financier qui interdit de divulguer l'existence d'une déclaration de soupçon à Tracfin.
12. Archivage (soft-delete) et droit à l'oubli
Les dossiers d'audit ne sont pas immédiatement suppriméslorsque le Client déclenche leur « archivage » depuis l'interface.
Ce mécanisme (dit de soft-delete) maintient les données sous forme archivée jusqu'au terme des 5 ans imposés par l'Art. L.561-12 CMF, conformément à la dérogation prévue à l'Art. 17.3.b RGPD (respect d'une obligation légale) et à l'Art. 17.3.e RGPD (constatation, exercice ou défense de droits en justice).
Au terme de cette période, les données sont supprimées de manière sécurisée(overwrite cryptographique) selon une procédure documentée et tracée. Le Client peut demander la production d'un certificat de destruction.
13. Cookies
Le service Conformitiel utilise uniquement des cookies strictement nécessaires à son fonctionnement :
- Cookie de session authentifiée (NextAuth)
- Cookie de préférence de thème et CSRF
Ces cookies sont exemptés du recueil du consentement préalable en application de l'Art. 82 de la loi 78-17(dispositions transposant l'article 5.3 de la directive 2002/58/CE).
Aucun cookie publicitaire, aucun cookie de traçage, aucun cookie tiers n'est déposé.
14. Modifications de la politique
La présente politique peut être modifiée pour tenir compte d'évolutions légales, réglementaires ou techniques.
Toute modification substantielle est notifiée aux utilisateurs actifs par email avec un préavis de 30 jours avant entrée en vigueur, à l'exception des modifications imposées par la loi (RGPD, LCB-FT) qui sont applicables immédiatement.
L'historique des versions est conservé ; une précédente version peut être fournie sur demande à dpo@conformitiel.fr.