Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 12/06/2026

Plaidio traite des données personnelles particulièrement sensibles (données couvertes par le secret professionnel d'avocat). Notre engagement est clair : aucune donnée client ne quitte la France, et nos traitements sont conformes au RGPD ainsi qu'aux obligations déontologiques de la profession d'avocat.

1. Responsable du traitement

Le responsable du traitement est l'éditeur du service (cf. mentions légales). Pour toute question relative à vos données : [email protected].

2. Données collectées

Selon votre usage du service, nous traitons :

  • Données de compte : nom, prénom, email, mot de passe (haché via scrypt), nom du cabinet, rôle au sein du cabinet.
  • Données métier : dossiers, contacts (clients, parties adverses, juridictions), conventions d'honoraires, factures, temps passés, événements d'agenda, documents téléversés, messages RPVA.
  • Données techniques : journaux de connexion (date, heure, adresse IP, user-agent) conservés 12 mois pour des raisons de sécurité et de traçabilité réglementaire.
  • Données de paiement : traitées par notre prestataire Stripe. Plaidio ne stocke jamais les numéros de carte bancaire.

3. Finalités du traitement

  • Fournir et maintenir le service de gestion de cabinet (base contractuelle : exécution du contrat).
  • Assurer la sécurité du compte et prévenir les fraudes (intérêt légitime).
  • Respecter nos obligations légales (facturation, comptabilité, conservation FEC).
  • Vous adresser des communications relatives au service (informations sur la mise à jour, incident de sécurité, modification du contrat).
  • Améliorer le service (sur la base d'analyses anonymisées, et uniquement si vous y avez consenti via le bandeau cookies).

4. Hébergement et localisation

L'ensemble des données — base de données, fichiers, sauvegardes — est hébergé en France métropolitaine sur une infrastructure souveraine. Aucune donnée n'est transférée hors de l'Union européenne, à l'exception des données strictement nécessaires au paiement transmises à Stripe (Irlande, UE) sous contrat de sous-traitance conforme RGPD.

5. Durée de conservation

  • Compte utilisateur : pendant toute la durée de la relation contractuelle, puis suppression dans les 30 jours suivant la résiliation, sauf obligations de conservation comptables (factures conservées en pseudonymisé pendant 10 ans, conformément au Code de commerce).
  • Journaux de connexion : 12 mois.
  • Sauvegardes chiffrées : 30 jours glissants.

6. Partage des données

Les données ne sont partagées qu'avec les sous-traitants strictement nécessaires à la fourniture du service. La liste complète et à jour est détaillée ci-dessous (section 8) ainsi que dans notre Accord de Traitement des Données (DPA), Annexe 3.

7. Vos droits RGPD

Vous disposez des droits suivants sur vos données personnelles :

  • Accès : obtenir une copie de vos données.
  • Rectification : corriger une donnée inexacte.
  • Effacement : demander la suppression (sous réserve des obligations légales).
  • Limitation : restreindre certains traitements.
  • Portabilité : récupérer vos données dans un format structuré (JSON / CSV).
  • Opposition : vous opposer à un traitement spécifique.

Pour exercer ces droits : [email protected]. Réponse sous 30 jours. En cas de désaccord, vous pouvez saisir la CNIL.

8. Sous-traitants ultérieurs

Plaidio fait appel aux sous-traitants suivants pour fournir le service. Tous sont engagés contractuellement à respecter le RGPD et le secret professionnel d'avocat, conformément à notre DPA (article 4.4 et Annexe 3) :

  • Scaleway (France, Paris) — hébergement compute et stockage objet. ISO 27001, hébergeur souverain.
  • Brevo (France) — envoi d'emails transactionnels (invitations, notifications, alertes). DPA signé, ISO 27001.
  • Stripe Payments Europe Ltd. (Irlande, UE) — encaissement des abonnements et règlement des honoraires en ligne. PCI-DSS Niveau 1. Aucun numéro de carte n'est stocké par Plaidio.
  • Anthropic (États-Unis) — moteur d'intelligence artificielle Claude pour les fonctionnalités d'assistance (rédaction, synthèse, OCR). Transferts encadrés par les Clauses Contractuelles Types 2021/914 + Data Processing Addendum Anthropic. Aucune conservation au-delà de la requête, pas d'entraînement sur vos données. Désactivable depuis le panneau IA des paramètres (mode « Souverain strict »).
  • Documenso (France, instance auto-hébergée par l'éditeur) — signature électronique des conventions et bordereaux.
  • Sentry (Allemagne, UE) — observabilité applicative (traces d'erreur). Masquage actif des données métier (PII scrubbing).

Tout ajout ou remplacement d'un sous-traitant est notifié par email aux cabinets administrateurs au moins 30 jours avant son entrée en service, conformément à l'article 28.2 RGPD.

9. Sécurité

  • Authentification à 2 facteurs (TOTP) et passkeys (WebAuthn).
  • Mots de passe hachés via scrypt.
  • Données chiffrées en transit (TLS 1.3) et au repos (chiffrement disque + jetons OAuth chiffrés AES-256).
  • Sauvegardes automatiques quotidiennes.
  • Audit logs immuables sur les opérations sensibles.
  • L'ensemble des mesures techniques et organisationnelles est détaillé dans l'Annexe 2 du DPA.

10. Modifications

Toute modification substantielle de la présente politique est notifiée par email aux utilisateurs au moins 30 jours avant son entrée en vigueur.

© 2026 Plaidio. Document sous réserve de modification — version mise à jour en continu.