Politique de Confidentialité
Version v1.0 — effective au
IM Consulting SASU, éditeur de la plateforme Zigne, accorde une importance particulière à la protection de vos données personnelles. La présente politique décrit comment vos données sont collectées, utilisées et protégées, en conformité avec le Règlement général sur la protection des données (RGPD — règlement UE 2016/679) et la loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Responsable de traitement
Le responsable du traitement des données à caractère personnel collectées via Zigne est :
IM Consulting (SASU)
Représentant légal : Mickaël Ilic, Président
Email : privacy@zigne.fr
2. Délégué à la Protection des Données (DPO)
En application de l'article 37 du RGPD, IM Consulting n'a pas l'obligation légale de désigner un DPO dès lors que son activité (a) ne constitue pas une autorité ou un organisme public ; (b) ne réalise pas un suivi régulier et systématique des personnes à grande échelle au titre de l'activité principale ; (c) ne traite pas à grande échelle des catégories particulières de données (art. 9 RGPD).
Toutefois, un point de contact unique est désigné pour toute question relative à la protection des données personnelles : privacy@zigne.fr.
3. Catégories de données collectées
| Catégorie | Exemples | Source |
|---|---|---|
| Identification compte | Email, nom, prénom, mot de passe haché | Saisie utilisateur |
| Facturation | Nom, adresse, mode de paiement (tokenisé via Stripe) | Saisie utilisateur |
| Identification signataire | Email, nom, prénom, téléphone | Utilisateur / signataire |
| KYC (Pro optionnel) | Pièce d'identité, selfie, résultat de vérification | Veriff / Onfido |
| Documents signés | PDF contractuels téléversés | Utilisateur |
| Métadonnées de signature | IP, user-agent, horodatage UTC, hash SHA-256 | Collecte automatique |
| Logs techniques | Journal des connexions, accès, modifications | Collecte automatique |
| Communications | Emails transactionnels envoyés / reçus | Via Brevo |
4. Finalités et bases légales (RGPD art. 6)
| Finalité | Base légale | Article RGPD |
|---|---|---|
| Exécution du service de signature | Contrat | art. 6.1.b |
| Gestion du compte et de l'abonnement | Contrat | art. 6.1.b |
| Facturation et comptabilité | Obligation légale | art. 6.1.c |
| Lutte anti-blanchiment (KYC Pro) | Obligation légale | art. 6.1.c (L561-12 CMF) |
| Sécurité de la plateforme (logs) | Intérêt légitime | art. 6.1.f |
| Prospection commerciale clients | Intérêt légitime | art. 6.1.f |
| Prospection commerciale prospects | Consentement | art. 6.1.a |
| Statistiques d'audience | Intérêt légitime | art. 6.1.f |
5. Destinataires et sous-traitants
Liste des sous-traitants mobilisés par Zigne :
| Sous-traitant | Finalité | Localisation | Transfert |
|---|---|---|---|
| Supabase Inc. | Hébergement BDD + stockage | AWS EU (Paris / Irlande / Francfort) | Traitement UE |
| Vercel Inc. | Hébergement front-end + Edge | Edge EU prioritaire | SCC + DPF |
| Stripe Payments Europe Ltd | Traitement paiement | Irlande + US | SCC + DPF |
| Brevo SAS | Email transactionnel + SMS | France (Paris) | Traitement UE |
| Veriff OÜ (option KYC) | Vérification d'identité | Estonie (UE) | Traitement UE |
| Onfido Ltd (option KYC alt.) | Vérification d'identité | Royaume-Uni | Adéquation UE-UK |
6. Transferts hors Union Européenne
Certains sous-traitants ont des entités aux États-Unis (Stripe, Vercel). Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne (décision 2021/914) et par l'EU-US Data Privacy Framework (DPF) — Stripe et Vercel sont certifiés.
7. Durées de conservation
| Catégorie | Durée active | Justification |
|---|---|---|
| Compte Utilisateur actif | Durée de la relation contractuelle | Relation commerciale |
| Documents signés (PDF + preuve) | 10 ans à compter de la signature | Art. L110-4 C. com |
| Logs de signature / dossier de preuve | 10 ans | Force probante |
| Données KYC | Durée relation + 5 ans | Art. L561-12 CMF |
| Factures | 10 ans | Art. L102 B LPF |
| Logs de connexion techniques | 12 mois | Sécurité (art. 32 RGPD) |
| Cookies (si non-exemptés) | 13 mois max | Reco CNIL |
| Données prospects | 3 ans dernier contact | Référentiel CNIL |
Articulation droit à l'effacement / obligation de conservation :les demandes d'effacement (art. 17 RGPD) pour les Documents signés et dossiers de preuve ne pourront être exécutées qu'à l'expiration du délai légal de conservation de 10 ans. Cette limitation est fondée sur l'article 17.3.b RGPD (respect d'une obligation légale) et 17.3.e (constatation, exercice ou défense de droits en justice).
8. Droits des personnes concernées
Vous disposez des droits suivants :
- Accès (art. 15) — demande à privacy@zigne.fr, réponse sous 30 jours.
- Rectification (art. 16) — depuis l'espace personnel ou via privacy@zigne.fr.
- Effacement (art. 17) — sous réserve des obligations de conservation (§ 7).
- Limitation (art. 18) — sur demande motivée.
- Portabilité (art. 20) — export JSON/CSV des données fournies.
- Opposition (art. 21) — à tout moment pour la prospection.
- Retrait du consentement (art. 7.3) — à tout moment, sans effet rétroactif.
- Directives post-mortem (art. 84 LIL) — désignation possible sur demande.
Procédure : demande écrite à privacy@zigne.fr avec copie d'une pièce d'identité en cas de doute. Réponse sous un mois, prolongeable de deux mois en cas de demande complexe (art. 12.3 RGPD).
Recours : en cas de réponse insatisfaisante, vous pouvez saisir la CNIL : cnil.fr/fr/plaintes ou par courrier à CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
9. Sécurité (RGPD art. 32)
Zigne met en œuvre les mesures techniques et organisationnelles suivantes :
- chiffrement TLS 1.3 pour tous les échanges entre le navigateur et les serveurs ;
- chiffrement au repos (at-rest) des données stockées sur Supabase (AES-256) ;
- chiffrement des documents PDF signés par hash SHA-256 intégré ;
- authentification par mot de passe (minimum 12 caractères) + 2FA optionnel ;
- journalisation des accès sensibles (lecture, modification, suppression) ;
- séparation des environnements (prod / staging / dev) ;
- sauvegardes quotidiennes chiffrées, rétention 30 jours.
10. Cookies
Zigne utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session, CSRF, préférences de langue) ainsi qu'un outil de mesure d'audience (Vercel Analytics) configuré conformément à l'exemption CNIL (anonymisation, durée ≤ 13 mois, pas de partage tiers). Aucun cookie publicitaire ou de tracking cross-site n'est déposé.