Politique de confidentialité

Dernière mise à jour : février 2026

1. Responsable du traitement

MERX POLEOS SAS
Société par actions simplifiée au capital de 49 800 euros
8 Boulevard Marchant Duplessis, 37000 Tours, France
SIRET : 849 451 166 00029 · RCS Tours · TVA : FR65849451166
Représentée par son Président, Pierre Seigne
Email : [email protected]

1 bis. Délégué à la Protection des Données (DPO)

Conformément aux articles 37 à 39 du RGPD, MERX POLEOS a désigné un Délégué à la Protection des Données :

Pierre Seigne
Email : dpo@disalex.com
Adresse postale : 8 Boulevard Marchant Duplessis, 37000 Tours

Vous pouvez contacter directement le DPO pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits (accès, rectification, effacement, portabilité, limitation, opposition).

2. Données collectées

Données d'inscription

Nom, prénom, adresse email professionnelle, nom du cabinet, spécialité juridique.

Données d'utilisation

Dossiers créés, messages échangés avec l'IA, documents générés, pièces uploadées (chiffrées en AES-256).

Données techniques

Adresse IP, logs de connexion, type de navigateur, horodatage des actions (logs d'audit).

Données de paiement

Traitées exclusivement par Stripe. Nous ne stockons jamais vos données bancaires.

3. Finalités du traitement

• Fourniture du service — Permettre l'utilisation de la plateforme (base juridique : exécution du contrat, art. 6.1.b RGPD)
• Gestion du compte — Inscription, authentification, facturation (exécution du contrat)
• Amélioration du service — Statistiques d'usage anonymisées (intérêt légitime, art. 6.1.f RGPD)
• Communication — Emails d'onboarding et informations produit (intérêt légitime) ; newsletters marketing uniquement avec consentement (art. 6.1.a RGPD)
• Sécurité — Prévention des fraudes, logs d'audit (intérêt légitime et obligation légale, art. 6.1.c RGPD)

4. Sous-traitants

• OVH SAS (hébergement) — Roubaix, France. Données stockées en France.
• Fournisseur IA (API d'intelligence artificielle) — États-Unis. Les données sont transmises pour le traitement des requêtes IA, conservées maximum 7 jours dans les logs API, puis supprimées. Aucune donnée n'est utilisée pour entraîner les modèles. Un DPA (Data Processing Addendum) encadre cette sous-traitance.
• Stripe Inc. (paiement en ligne) — Certifié PCI-DSS niveau 1. Les données bancaires sont traitées exclusivement par Stripe.

5. Transferts hors Union Européenne

Le recours à l'API d'intelligence artificielle implique un transfert de données vers les États-Unis. Ce transfert est encadré par :

• Les clauses contractuelles types (CCT) adoptées par la Commission européenne
• Le EU-US Data Privacy Framework
• Des mesures techniques complémentaires (chiffrement en transit, pseudonymisation quand possible)

6. Durées de conservation

• Données de compte : durée de l'abonnement + 3 ans (prescription civile)
• Données de dossiers : supprimées à la demande de l'utilisateur ou 30 jours après clôture du compte
• Logs de connexion : 12 mois (obligation légale, art. 6 II de la LCEN)
• Logs d'audit : 12 mois
• Données de facturation : 10 ans (obligation comptable, art. L.123-22 du Code de commerce)
• Données de contact (formulaire) : 3 ans à compter du dernier contact

7. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie
• Droit de rectification : faire corriger des données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données
• Droit à la limitation : demander la suspension du traitement dans certains cas
• Droit à la portabilité : recevoir vos données dans un format structuré et interopérable
• Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime

Pour exercer ces droits : [email protected]

Nous nous engageons à répondre dans un délai d'un mois. Ce délai peut être prolongé de deux mois compte tenu de la complexité de la demande.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr

8. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement AES-256 de toutes les données au repos
• Communications protégées par TLS 1.2+
• Mots de passe hashés avec bcrypt
• Rate limiting et protection anti-brute-force
• Headers de sécurité HTTP (HSTS, CSP, X-Frame-Options)
• Logs d'audit traçant chaque action
• Sauvegardes quotidiennes chiffrées

9. Modifications

Nous nous réservons le droit de modifier la présente politique. En cas de modification substantielle, les utilisateurs seront informés par email au moins 30 jours avant l'entrée en vigueur des changements.