Retour à l'accueil

Politique de confidentialité

Version 1.0 — En vigueur depuis le 1ᵉʳ mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est Mytm-Group SAS, éditeur du service LegalSpark. Contact : [email protected].

2. Données collectées et finalités

Données du compte utilisateur

  • Email, nom complet, nom du cabinet, téléphone — identification, communication transactionnelle (base légale : contrat).
  • Mot de passe — hashé via bcrypt par Supabase Auth, jamais stocké en clair.
  • IP, user-agent — sécurité (anti-bruteforce, audit log) ; conservés 12 mois.

Données de facturation

  • Raison sociale, SIREN, adresse, TVA intracommunautaire — émission des factures (base légale : obligation comptable).
  • Empreinte de carte bancaire — traitée par Stripe (PCI-DSS niveau 1) ;Mytm-Group SAS ne stocke jamais le PAN ni le CVV.

Données métier (dossiers AGOA)

  • Plaquettes comptables, statuts, données extraites — exécution du service. Ces données concernent les sociétés clientes du cabinet ; Mytm-Group SAS agit en tant que sous-traitantde l'utilisateur professionnel (DPA disponible sur demande).

3. Sous-traitants et hébergement

  • OVH SAS (France) — hébergement de l'application et des données.
  • Stripe (Irlande, conforme au cadre RGPD via les CCTs) — traitement des paiements.
  • Yousign SAS(France) — signature électronique eIDAS qualifiée. Données transmises uniquement après instruction explicite de l'utilisateur.
  • Mistral AI (France) — OCR souverain des plaquettes ; aucune rétention au-delà du temps de traitement.
  • Anthropic(USA, conforme aux CCTs) — extraction structurée via Claude. Pas d'entraînement sur nos données (clause contractuelle « no training »).
  • Resend (USA, conforme aux CCTs) — envoi des emails transactionnels.

4. Durée de conservation

  • Compte actif : pendant toute la durée d'utilisation du service.
  • Compte inactif > 24 mois : email d'avertissement puis suppression.
  • Dossiers AGOA: conservés tant que le compte est actif. Supprimés à la clôture du compte (sauf demande explicite d'archivage légal).
  • Factures et écritures comptables : 10 ans (obligation légale art. L.123-22 C.com).
  • Logs de sécurité : 12 mois.

5. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Accès — consulter les données vous concernant (depuis Paramètres → Compte).
  • Rectification — corriger des données inexactes (depuis votre profil).
  • Effacement — supprimer définitivement votre compte et vos données (Paramètres → Compte → Supprimer mon compte). Suppression effective sous 30 jours.
  • Portabilité — export de vos dossiers en PDF (déjà en place) et données structurées sur demande.
  • Limitation et opposition — sur demande à [email protected].
  • Réclamation — vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

6. Sécurité

Mytm-Group SAS met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

  • chiffrement TLS 1.3 sur toutes les communications,
  • chiffrement at-rest des bases de données,
  • RLS (Row-Level Security) PostgreSQL pour l'isolation multi-tenant,
  • 2FA TOTP optionnel sur les comptes,
  • logs d'audit conservés 12 mois,
  • sauvegardes chiffrées quotidiennes.

7. Transferts hors UE

Le cœur du service (BDD, hébergement, OCR) est opéré exclusivement en France ou dans l'UE. Les transferts vers les USA (Anthropic, Resend) sont encadrés par les Clauses Contractuelles Types de la Commission européenne et limités au strict nécessaire.

8. Modifications

Cette politique peut être amendée. Toute modification substantielle est notifiée par email avec 30 jours de préavis.

Délégué à la protection des données : [email protected]