C
CipiaConnexion

Politique de gestion des données

Volet technique et opérationnel — version du 4 mai 2026

1. Objet et articulation avec la politique de confidentialité

Le présent document complète la politique de confidentialité de Cipia. Là où la politique de confidentialité décrit les droits des personnes et les finalités du traitement, le présent document décrit les modalités techniques et opérationnelles mises en œuvre par Haruna SARL pour traiter, sécuriser et conserver ces données — y compris les flux IA, le chiffrement, les sauvegardes et la procédure de violation.

2. Cadre normatif

Haruna SARL, éditeur du Service Cipia, traite les données personnelles de ses utilisateurs conformément :

  • au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »)
  • à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »)
  • aux lignes directrices et recommandations de la CNIL
  • aux lignes directrices du Comité européen de la protection des données (CEPD)
  • à la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004

3. Principes appliqués

Haruna SARL met en œuvre les principes fondamentaux du RGPD (article 5) :

  • Licéité, loyauté, transparence : chaque traitement repose sur une base légale claire et est documenté dans un registre des traitements
  • Limitation des finalités : les données sont collectées pour des finalités déterminées et explicites, propres au Service de veille réglementaire
  • Minimisation : seules les données strictement nécessaires sont collectées (pas de SIRET pour l'avocat indépendant qui n'exporte pas de PDF audit, par exemple)
  • Exactitude : un processus de mise à jour et de correction est disponible dans l'espace personnel de chaque utilisateur
  • Limitation de conservation : les données sont conservées pour la durée strictement nécessaire (voir section 6)
  • Intégrité et confidentialité : les mesures techniques et organisationnelles sont détaillées en section 8
  • Responsabilité : Haruna SARL peut démontrer à tout moment sa conformité via la documentation interne

4. Responsable de traitement et contact

  • Responsable de traitement : Haruna SARL, représentée par sa gérante Madame Alina Constantin. Référent RGPD interne : Stéphane Jambu (directeur de la publication).
  • Contact RGPD : contact@cipia.fr
  • Coordonnées postales : voir mentions légales

Haruna SARL n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD à ce jour. La fonction de référent RGPD interne est assurée par Stéphane Jambu, joignable à l'adresse ci-dessus. Un DPO externe sera désigné si les seuils ou la nature des traitements l'imposent à l'avenir.

5. Cartographie des traitements

TraitementBase légaleDonnées
Gestion des comptes utilisateurExécution du contratIdentité, email, mot de passe chiffré
Newsletter gratuite (Cipia Newsletter)ConsentementEmail, secteur préféré
Abonnements payants (Solo, Cabinet)Exécution du contratIdentité, coordonnées facturation, historique Stripe
Export PDF de veilleExécution du contratProfil professionnel (cabinet, SIRET/NDE le cas échéant)
Classification IA des contenus publicsIntérêt légitime (exécution du Service)Textes officiels publics uniquement (pas de données utilisateur)
Support clientIntérêt légitimeEmail, contenu de la demande
Sécurité et journalisationIntérêt légitime / obligation légaleLogs d'accès, adresse IP
Statistiques agrégéesIntérêt légitimeDonnées anonymisées d'usage

6. Durées de conservation

CatégorieDurée activeArchivage
Compte utilisateurDurée d'utilisation du Service3 ans après dernière connexion
Données de facturationDurée du contrat10 ans (obligation comptable, art. L.123-22 C. com.)
Preuve de consentement newsletterDurée de l'abonnement3 ans après désinscription
Logs techniques6 mois
Demandes de support2 ans après clôture

À l'issue des durées ci-dessus, les données sont supprimées ou anonymisées de façon irréversible.

7. Sous-traitants et transferts hors UE

Haruna SARL recourt à des sous-traitants qualifiés, chacun lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :

Sous-traitantRôleLocalisation
Hetzner Online GmbHHébergement applicatif et base de données (datacenter UE)Allemagne (UE)
Stripe Payments Europe Ltd.Traitement des paiements et tokenisation des cartes (PCI-DSS)Irlande (UE)
Sendinblue SAS (Brevo)Envoi de la newsletter hebdomadaireFrance (UE)
Resend, Inc.Emails transactionnelsUSA (CCT)
Anthropic PBCClassification IA de textes publicsUSA (CCT)
OVH SASNom de domaineFrance (UE)

Transferts hors UE :les transferts vers les sous-traitants établis aux États-Unis sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914), complétées par les mesures supplémentaires prévues par les recommandations CEPD 01/2020. Aucune donnée personnelle sensible au sens de l'article 9 du RGPD n'est traitée.

La liste des sous-traitants est tenue à jour et communiquée par email aux clients abonnés au moins 30 jours avant l'ajout d'un nouveau sous-traitant susceptible de traiter leurs données.

8. Mesures techniques et organisationnelles de sécurité

Haruna SARL applique les mesures suivantes :

  • Chiffrement en transit : TLS 1.3, HSTS actif, certificats Let's Encrypt renouvelés automatiquement
  • Chiffrement au repos : volumes disque chiffrés côté hébergeur, mots de passe stockés via bcrypt (coût ≥ 12), base SQLite stockée sur volume chiffré accessible uniquement via SSH root
  • Authentification : sessions signées et chiffrées via iron-session, protection CSRF, rate limiting des endpoints sensibles
  • Cloisonnement : accès serveur limité à un nombre restreint de postes administrateurs authentifiés par clé SSH
  • Sauvegardes : sauvegardes quotidiennes automatiques de la base de données, chiffrées et archivées sur un stockage distinct
  • Journalisation : logs d'accès applicatifs et d'administration conservés 6 mois
  • Mises à jour : application régulière des correctifs de sécurité (OS, dépendances applicatives)
  • Sensibilisation : les personnes habilitées à accéder aux données sont formées aux bonnes pratiques

9. Traitement par intelligence artificielle (Anthropic Claude)

Cipias'appuie sur le modèle Claude (Anthropic PBC) pour résumer et classer les textes officiels collectés. Les caractéristiques clés du flux IA sont les suivantes :

  • Données envoyées à l'IA : exclusivement des textes officiels publics (Légifrance, BOAMP, BOFiP, Journal officiel, contenus HAS, ANSES, ordres professionnels, OPCO, Régions). Aucune donnée personnelle utilisateur n'est transmise à l'IA.
  • Finalité : résumer, classer selon la taxonomie du secteur de l'abonné (indicateurs Qualiopi 23-26, principes HACCP, recommandations HAS, jurisprudences, BOFiP) et estimer un niveau d'impact.
  • Données utilisateur : seuls les paramètres de filtrage (secteur, mots-clés, région) restent dans la base Haruna SARL. Ils ne sont pas envoyés à Anthropic.
  • Pas d'entraînement : l'API Anthropic utilisée par Cipia n'exploite pas les contenus envoyés pour entraîner ses modèles, conformément aux conditions commerciales d'Anthropic.
  • Encadrement : transferts vers Anthropic (USA) couverts par les Clauses Contractuelles Types (décision 2021/914).

10. Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, chaque utilisateur dispose des droits suivants :

  • Accès (art. 15) : obtenir copie des données le concernant
  • Rectification (art. 16) : corriger des données inexactes ou incomplètes
  • Effacement (art. 17) : obtenir la suppression des données, sous réserve des obligations légales de conservation
  • Limitation (art. 18) : demander la suspension du traitement
  • Portabilité (art. 20) : recevoir ses données dans un format structuré et lisible par machine
  • Opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime
  • Directives post-mortem : définir le sort des données après décès (art. 85 de la loi Informatique et Libertés)
  • Retrait du consentement : à tout moment, sans effet rétroactif

Modalités d'exercice : toute demande peut être adressée par email à contact@cipia.fr, accompagnée d'une copie d'une pièce d'identité. Haruna SARL répond dans un délai maximum d'un mois, prolongeable de deux mois pour les demandes complexes (art. 12 RGPD). L'exercice des droits est gratuit, sauf demandes manifestement abusives.

11. Gestion des violations de données

En cas de violation de données personnelles (fuite, accès non autorisé, perte, divulgation accidentelle), Haruna SARL met en œuvre la procédure suivante, conforme aux articles 33 et 34 du RGPD :

  1. Identification et qualification de la violation dans les meilleurs délais
  2. Caractérisation : nature, volume de données, catégories de personnes concernées, conséquences probables, mesures correctives
  3. Notification à la CNIL dans un délai maximum de 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes
  4. Information des personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé
  5. Documentation interne de l'incident dans le registre des violations
  6. Analyse post-incident et mise en œuvre d'actions correctives durables

12. Cookies et traceurs

Cipian'utilise que des cookies strictement nécessaires au fonctionnement du Service (authentification, sécurité CSRF, jeton Stripe pendant une transaction). Ces cookies sont exemptés de consentement au sens de l'article 82 de la loi Informatique et Libertés. Aucun cookie de mesure d'audience tierce, aucun cookie publicitaire et aucun traceur tiers n'est déposé.

Si des outils de mesure d'audience ou d'aide à l'amélioration du Service venaient à être ajoutés, un bandeau de consentement conforme aux lignes directrices CNIL serait mis en place.

13. Registre des traitements

Conformément à l'article 30 du RGPD, Haruna SARL tient un registre interne des activités de traitement. Ce registre, mis à jour régulièrement, est tenu à la disposition de la CNIL sur demande.

14. Réclamation auprès de l'autorité de contrôle

Tout utilisateur qui estime que le traitement de ses données ne respecte pas la réglementation peut introduire une réclamation auprès de la CNIL :

  • Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Téléphone : +33 (0)1 53 73 22 22
  • Site : www.cnil.fr

15. Évolutions de la présente politique

Haruna SARL peut être amenée à faire évoluer cette politique pour tenir compte d'évolutions légales, réglementaires ou techniques. Les modifications substantielles font l'objet d'une information aux utilisateurs par email et/ou par une bannière dans le Service, au moins 30 jours avant leur entrée en vigueur.

Dernière mise à jour : 4 mai 2026