Politique de confidentialité (RGPD)
1. Responsable du traitement
[À COMPLÉTER : dénomination sociale, adresse, SIREN, e-mail de contact ]. Contact données personnelles : [dpo@votre-domaine.fr].
2. Données traitées et finalités
| Données | Finalité | Base légale (art. 6 RGPD) |
|---|---|---|
| Compte émetteur : nom, e-mail, société, mot de passe (haché PBKDF2) | Fourniture du service | Exécution du contrat |
| Signataires : nom, e-mail | Envoi des invitations de signature | Intérêt légitime de l'émetteur / exécution d'un contrat |
| Preuve de signature : image de signature, horodatage, adresse IP, navigateur, vérification OTP, consentement | Constitution de la preuve de signature électronique (eIDAS) | Consentement explicite + intérêt légitime (preuve) |
| Documents déposés | Circuit de signature | Exécution du contrat |
3. Durée de conservation
Les documents, signatures et journaux d'audit sont conservés 90 jours après création de la demande, puis supprimés automatiquement. L'émetteur est invité à télécharger et archiver le document signé avant cette échéance. Les comptes inactifs peuvent être supprimés sur demande.
4. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. L'émetteur peut supprimer un document et son journal à tout moment, ou supprimer l'intégralité de son compte depuis son tableau de bord. Les signataires peuvent exercer leurs droits en écrivant à [dpo@votre-domaine.fr]. Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
5. Destinataires et sous-traitants
Les données ne sont ni vendues ni cédées. Sous-traitants : hébergeur [IONOS SE — datacenters UE] et service d'envoi d'e-mails [à compléter], liés par un accord de sous-traitance (art. 28 RGPD). Aucun transfert hors Union européenne.
6. Sécurité
Chiffrement TLS en transit, mots de passe hachés (PBKDF2, 260 000 itérations), liens de signature à jeton aléatoire à usage personnel, vérification d'identité par code OTP, journal d'audit horodaté, empreintes SHA-256 garantissant l'intégrité des documents, cloisonnement par compte.
7. Cookies
Un unique cookie technique de session (signavo_session), strictement nécessaire au
fonctionnement du service, exempté de consentement (délibération CNIL). Aucun cookie publicitaire ou de mesure d'audience.
8. Valeur juridique des signatures
Signavo produit des signatures électroniques simples au sens de l'article 25 du règlement eIDAS (UE) n°910/2014 : elles ne peuvent être refusées comme preuve en justice au seul motif de leur forme électronique. Le certificat d'audit (identité vérifiée, consentement, horodatage, empreintes SHA-256) constitue le faisceau de preuves. Pour les actes exigeant une signature qualifiée (actes notariés, certains marchés publics…), recourez à un prestataire de services de confiance qualifié (liste ANSSI).