Mentions légales
Politique de confidentialité
Dernière mise à jour : 3 juin 2026
La présente politique décrit comment DOUSSI (« nous ») collecte, utilise, conserve et protège vos données personnelles dans le cadre de son service de gestion électronique de documents (GED).
Cette politique est conforme au Règlement Général sur la Protection des Données (UE 2016/679 — RGPD) et à la loi Informatique et Libertés modifiée du 20 juin 2018.
1. Responsable du traitement
Le responsable de traitement est : OCEAN'S SAS (société par actions simplifiée au capital de 5 000 €, SIREN 850 771 924, RCS Aix-en-Provence), dont le siège social est situé 15 rue de la Colombière, 13960 Sausset-les-Pins, France. Contact : contact@oceans-partners.com.
Délégué à la Protection des Données (DPO) : aucun DPO n'est désigné à ce stade (seuil CNIL non atteint pour les obligations imposées par l'art. 37 du RGPD). Pour toute question relative à vos données, contactez le responsable de traitement à l'adresse ci-dessus.
2. Données collectées et finalités
| Catégorie de données | Finalité | Base légale (RGPD art. 6) | Durée |
|---|---|---|---|
| Identité (nom, email) | Création et gestion du compte | Exécution du contrat (b) | Durée du contrat + 3 ans |
| Données de connexion (IP, user-agent) | Sécurité, audit, prévention de la fraude | Intérêt légitime (f) | 12 mois |
| Documents déposés | Stockage, recherche, partage par lien | Exécution du contrat (b) | Durée du contrat (corbeille 30 j puis suppression) |
| Journal d'audit (actions sur documents) | Traçabilité, sécurité, conformité | Intérêt légitime + obligation légale (f, c) | 3 ans |
| Logs IA (prompts envoyés + tokens consommés) | Quotas, facturation IA, prévention abus | Exécution du contrat + intérêt légitime (b, f) | 13 mois |
| Données de facturation | Émission de factures, comptabilité | Obligation légale (c) | 10 ans (Code de commerce) |
Aucune donnée sensible (au sens RGPD art. 9 : santé, religion, opinions politiques, etc.) n'est collectée par le service lui-même. Si vous chargez de telles données dans un document, vous restez responsable de leur traitement.
3. Destinataires et sous-traitants
Vos données sont accessibles uniquement aux personnes habilitées au sein de DOUSSI. Elles sont également traitées par les sous-traitants suivants, soumis à des accords de protection des données (DPA) :
| Sous-traitant | Rôle | Localisation | Transfert hors UE ? |
|---|---|---|---|
| Scaleway SAS | Hébergement serveurs + base de données | Paris, France | ❌ Non |
| Anthropic, PBC | Génération de résumés IA (Claude) sur documents chargés | États-Unis (Californie) | ⚠️ Oui — encadré par Clauses Contractuelles Types (CCT) UE |
| Brevo (ex-Sendinblue) | Envoi d'emails transactionnels (mot de passe, vérification) | Paris, France | ❌ Non |
Pour le transfert vers Anthropic (États-Unis), DOUSSI applique les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), assorties de mesures techniques complémentaires (limitation du contexte envoyé, anti prompt-injection, quota par tenant, opt-out par tenant — à venir).
4. Vos droits
Conformément au RGPD (art. 15 à 22), vous disposez des droits suivants sur vos données personnelles :
- Accès — obtenir une copie de vos données
- Rectification — corriger une donnée inexacte
- Effacement — demander la suppression (« droit à l'oubli »), sous réserve des obligations légales de conservation
- Opposition — vous opposer au traitement (notamment marketing)
- Limitation — demander à geler temporairement le traitement
- Portabilité — récupérer vos données dans un format structuré et lisible (CSV / JSON / archive ZIP)
- Directives post-mortem — définir le sort de vos données après votre décès
Pour exercer ces droits, envoyez votre demande à contact@oceans-partners.com. Nous répondrons dans un délai d'un mois (renouvelable deux mois en cas de complexité). Un justificatif d'identité peut être demandé.
En cas de désaccord, vous avez le droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.
5. Sécurité
- Hébergement en Union européenne (Paris, France)
- Chiffrement HTTPS/TLS de toutes les communications
- Mots de passe stockés sous forme de hash (bcrypt) — jamais en clair
- Étanchéité multi-tenant : chaque client dispose d'une base de données isolée
- Journal d'audit complet sur les accès aux documents
- Mises à jour de sécurité automatiques (CI/CD + audit composer)
- Quota et budget plafonnés sur les appels IA (anti-abus)
Roadmap sécurité : MFA admin, chiffrement des documents au repos (S3 SSE), opt-out IA par tenant — voir docs/conformite-rgpd-globale.md.
6. Cookies
Pour le détail des cookies utilisés, consultez notre politique cookies.
7. Modifications
Cette politique peut évoluer. En cas de modification substantielle (nouvelle finalité, nouveau sous-traitant hors UE, etc.), vous serez informé·e par email ou notification dans l'application. La date de dernière mise à jour est indiquée en haut de page.