Politique de Confidentialité
Version 1.0 — En vigueur au 30 avril 2026
Préambule
La présente Politique de Confidentialité décrit la manière dont JOL Studio (« Nous », « l'Éditeur ») collecte, utilise et protège les données personnelles des utilisateurs du service CompliDoc (« le Service »), conformément :
- au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »)
- à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »)
- aux recommandations de la CNIL
1. Identité du responsable de traitement
Responsable de traitement : JOL Studio
- Adresse : 5 rue Frédéric Mistral, 83870 Signes, France
- Email : [email protected]
- SIREN : 102 132 958
JOL Studio agit en qualité de responsable de traitement pour les données des Utilisateurs (gérants, salariés des entreprises clientes ayant un accès direct au Service).
JOL Studio agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour les données des tiers téléversées par l'Utilisateur dans le Service (salariés inscrits au registre du personnel, candidats en onboarding, fournisseurs, clients de l'Utilisateur, etc.). Les modalités de ce traitement sont définies dans le Data Processing Agreement (DPA).
Contact DPO : Faute de désignation obligatoire d'un Délégué à la Protection des Données (DPO) pour les structures de notre taille, toute question ou demande relative aux données personnelles peut être adressée à [email protected].
2. Données collectées
2.1 Données fournies par l'Utilisateur
| Catégorie | Données | Finalité |
|---|---|---|
| Identification | Email, mot de passe (hashé), nom, prénom | Création de compte, connexion |
| Entreprise | Raison sociale, SIRET, adresse, code APE, effectif | Personnalisation des obligations légales |
| Documents | PDF/images uploadés (Kbis, contrats, factures) | Stockage et restitution à l'Utilisateur |
| Salariés | Nom, prénom, poste, date d'entrée, etc. | Tenue du registre du personnel |
| Notes de frais | Justificatifs scannés, montants, catégories | Gestion des notes de frais |
| Véhicules | Immatriculations, échéances CT/assurance | Gestion de flotte |
2.2 Données collectées automatiquement
| Catégorie | Données | Finalité |
|---|---|---|
| Logs techniques | Adresse IP, user-agent, horodatage | Sécurité, prévention de la fraude |
| Cookies essentiels | Token de session | Authentification |
Aucun cookie publicitaire, de profilage ou de tracking tiers n'est déposé.
2.3 Données issues de tiers (via OCR Gemini)
Lors du scan d'un justificatif via la fonction OCR, l'image est transmise à Google Gemini API (Google LLC, hébergement EU/US selon la région). Google traite l'image uniquement pour en extraire le texte structuré, et ne conserve pas ces images au-delà de la durée du traitement (max. 24 h), conformément à la politique de Google AI for Developers.
3. Bases légales
| Traitement | Base légale (art. 6 RGPD) |
|---|---|
| Création de compte, fourniture du Service | Exécution du contrat (b) |
| Facturation (Plan Payant) | Exécution du contrat (b) + obligation légale (c) |
| Sécurité, lutte contre la fraude | Intérêt légitime (f) |
| Envoi d'emails transactionnels (confirmation, alerte) | Exécution du contrat (b) |
| Envoi d'emails marketing | Consentement (a) — opt-in explicite |
| Conservation des factures | Obligation légale (c) — 10 ans |
4. Destinataires des données
Les données sont accessibles à :
- Le personnel autorisé de JOL Studio (1 personne actuellement : Loïc Josar)
- Les sous-traitants techniques suivants, encadrés par contrat conforme RGPD :
| Sous-traitant | Rôle | Localisation des données | Garanties |
|---|---|---|---|
| Cloudflare | Hébergement web (statique) | Anycast mondial, edge UE | DPA Cloudflare + SCC |
| Supabase | Base de données + Storage + Auth | eu-west-3 (Paris) | DPA Supabase + SCC |
| Stripe | Paiement abonnements | Irlande + USA | DPA Stripe + SCC |
| Google (Gemini API) | OCR à la demande | EU/USA | DPA Google + SCC |
| Backblaze B2 | Sauvegardes externes chiffrées | USA (West Coast) | DPA Backblaze + SCC |
| Apple | Distribution app iOS | Mondial | App Store DPA |
Aucune cession de données à des tiers à des fins commerciales n'est effectuée. Aucune vente de données.
5. Transferts hors UE
Certaines données peuvent transiter ou être stockées hors de l'Union Européenne (Cloudflare, Stripe pour les fraud checks, Backblaze, Apple, Google Gemini). Ces transferts sont encadrés par :
- des Clauses Contractuelles Types (« SCC ») de la Commission européenne
- les certifications Data Privacy Framework (DPF) lorsque applicable
- des engagements contractuels de confidentialité et de sécurité
L'Utilisateur peut demander une copie des garanties applicables à un transfert spécifique en contactant [email protected].
6. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte actif | Pendant toute la durée du contrat |
| Compte inactif (Plan Gratuit) | 24 mois après dernière connexion, puis suppression sur préavis email |
| Compte supprimé | Suppression effective sous 30 jours |
| Sauvegardes externes (B2) | 30 jours glissants |
| Factures | 10 ans (obligation comptable) |
| Logs techniques | 12 mois |
| Données fiscales/comptables | 6 ans (LPF art. L102B) |
7. Sécurité
Mesures techniques mises en œuvre :
- Chiffrement TLS 1.3 en transit (HTTPS obligatoire)
- Chiffrement AES-256 au repos (Supabase Storage)
- Row-Level Security (RLS) en base de données — isolation stricte par entreprise
- Stockage en région UE (Paris) pour la base et les fichiers
- Mots de passe hashés avec bcrypt
- Authentification multi-facteurs disponible (configurable par l'Utilisateur)
- Sauvegardes quotidiennes vers stockage externe indépendant chiffré (Backblaze B2)
- Audit régulier des accès et des permissions
Mesures organisationnelles :
- Accès aux données restreint au strict nécessaire
- Procédures de gestion d'incident documentées
- Notification CNIL sous 72 h en cas de violation, conformément à l'article 33 RGPD
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Comment l'exercer |
|---|---|
| Accès (art. 15) | Demande par email ou export via l'application |
| Rectification (art. 16) | Modification directe dans les paramètres |
| Effacement (« droit à l'oubli », art. 17) | Suppression du compte dans les paramètres |
| Limitation du traitement (art. 18) | Demande par email |
| Portabilité (art. 20) | Fonction « Exporter mes données » dans les paramètres → ZIP avec toutes vos données et fichiers |
| Opposition (art. 21) | Désinscription en bas de chaque email marketing |
| Retrait du consentement | À tout moment depuis les préférences emails |
| Définir un sort post-mortem | Voir art. 40-1 LIL — par testament numérique |
Réponse sous 30 jours maximum à toute demande, avec possibilité de prolongation de 2 mois pour les demandes complexes (art. 12-3 RGPD).
Recours : en cas de refus ou de réponse insatisfaisante, vous avez le droit d'introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes
9. Cookies
CompliDoc utilise uniquement les cookies suivants :
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
sb-access-token | Strictement nécessaire | Session d'authentification | 1 heure |
sb-refresh-token | Strictement nécessaire | Renouvellement automatique | 7 jours |
Aucun cookie publicitaire ou de mesure d'audience tierce. Conformément à l'article 82 LIL, les cookies strictement nécessaires sont exemptés du recueil de consentement.
Si Google Analytics ou autre traceur est ajouté à l'avenir, un bandeau de consentement RGPD-compliant sera implémenté.
10. Mineurs
CompliDoc est un service B2B. Les inscriptions de mineurs sont interdites. En cas de détection d'un compte ouvert par un mineur, celui-ci sera supprimé sans préavis et les données effacées.
11. Modifications de la Politique
La présente Politique peut être mise à jour. Toute modification matérielle sera notifiée par email aux Utilisateurs au moins 30 jours avant sa prise d'effet. La version en vigueur à un instant donné est celle accessible sur https://complidoc.org/confidentialite.
12. Contact
Pour toute question, demande d'exercice de droit ou réclamation :
Email : [email protected] Postal : JOL Studio, 5 rue Frédéric Mistral, 83870 Signes, France
CNIL :
- Tél : 01 53 73 22 22
- Web : https://www.cnil.fr
JOL Studio — CompliDoc — Politique de Confidentialité v1.0 — 30/04/2026
Retour à l'accueil