Politique de confidentialité

Dernière mise à jour : 18/09/2025
Périmètre : service en ligne B2B d’aide à la rédaction, à l’analyse et à la structuration de documents juridiques, fondé sur des techniques d’intelligence artificielle .

1) Qui est responsable ?

• Responsable de traitement (RT) pour les données « compte & facturation », support, sécurité, prospection B2B : Lumen Juris – SAS au capital de 10 000 € – 14 rue Berthelot, 95410 Groslay, France – contact@lumenjuris.com.
• Sous-traitant pour les contenus que vous importez (documents) : Lumen Juris agit pour votre compte et sur vos instructions. Une annexe “accord de sous-traitance (DPA)” est fournie au contrat.

2) Hébergement & localisation des données

• Les données du Service (production + sauvegardes) sont hébergées en France chez Scaleway (centres de données en région parisienne et en Île-de-France).
• Nous n’effectuons aucun transfert hors UE pour l’exploitation du Service, sauf cas ponctuels clairement listés dans la liste des sous-traitants et encadrés par des garanties appropriées le cas échéant.

3) Quelles données traitons-nous ?

• Données de compte & facturation : identité, fonction, coordonnées pro, identifiants, préférences, logs d’accès, factures et moyens de paiement (tokenisés si prestataire de paiement), échanges support.
• Contenus importés : documents, modèles, prompts, annotations, journaux d’exécution liés au traitement (horodatages, tailles de fichiers, erreurs techniques).
• Mesure d’audience & cookies : uniquement après consentement pour les traceurs non nécessaires ; les cookies strictement nécessaires fonctionnent sans consentement.

4) Finalités et bases légales

• Fourniture du Service / exécution du contrat (art. 6-1-b RGPD) : ouverture de compte, authentification, traitement des contenus, facturation, assistance.
• Sécurité & amélioration (art. 6-1-f RGPD – intérêt légitime) : journalisation technique, lutte contre l’abus, optimisation de performance, qualité de service.
• Prospection B2B (art. 6-1-f RGPD) : envoi d’informations pertinentes à des adresses professionnelles ; vous pouvez vous opposer à tout moment.
• Cookies non essentiels (art. 6-1-a RGPD) : uniquement avec votre consentement.

5) IA et confidentialité renforcée

• Nature du Service. Le service exploite des modèles d’IA pour proposer des suggestions (ex. clauses, structuration, résumés, points d’attention). Il s’agit d’un outil d’assistance ; aucune décision n’est prise exclusivement de façon automatisée produisant des effets juridiques au sens de l’art. 22 RGPD.
• Aucun ré-entraînement par défaut. Les contenus importés ne sont pas utilisés pour ré-entraîner des modèles ni partagés pour entraîner des services tiers sans votre consentement explicite.
• Accès humain très limité. Aucun employé ne lit vos contenus, sauf sur demande explicite dans un ticket support, et pour un diagnostic technique précis, et sous engagement de confidentialité.
• Sources juridiques publiques. Le service peut interroger des données publiques (ex. Légifrance via PISTE) sans transmettre vos contenus en clair à ces sources ; les requêtes sont décorrélées de vos documents (par mots-clés, références, etc.).

6) Mesures de sécurité

Nous appliquons des mesures techniques et organisationnelles proportionnées :

• Chiffrement en transit (TLS) et au repos (chiffrement des volumes et des sauvegardes) ; gestion stricte des clés ; cloisonnement des environnements.
• Contrôles d’accès (MFA/SSO possibles), journalisation et revues d’accès, politiques de mots de passe, principe du moindre privilège.
• Surveillance (détection d’anomalies), sauvegardes chiffrées, plans de continuité/reprise.
• Processus d’intervention : procédure d’élévation temporaire d’accès sous justification et traçage systématique.

Source : https://www.cnil.fr/fr/securite-cloud-informatique-en-nuage

7) Durées de conservation

• Compte et facturation (RT) : pendant la relation contractuelle, puis 10 ans pour les pièces comptables/obligations légales.
• Journaux techniques (RT) : par défaut 90 jours (sécurité), sauf nécessité d’enquête.
• Contenus importés (ST) : jusqu’à suppression par le client ou résiliation ; purge déclenchée à la clôture (délai opérationnel maximum : 30 jours).
• Sauvegardes : rétention 30 jours (cycles immuables), puis suppression sécurisée.

8) Vos droits (RGPD)

Accès, rectification, effacement, limitation, opposition, portabilité, directives post-mortem.

• Pour les données RT (compte, facturation, prospection) : rgpd@lumenjuris.com.
• Pour les contenus (ST) : adressez-vous à votre administrateur/client RT (nous l’assistons pour répondre aux demandes).
  Nous répondons sous 1 mois (prorogeable selon complexité).

9) Décisions automatisées et profilage

Nous ne réalisons pas de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques. Le Service délivre une assistance et des scores/analyses à vérifier par l’utilisateur.

10) Cookies et traceurs

• Nécessaires : fonctionnement, sécurité, antifraude, préférences essentielles.
• Mesure d’audience et confort : désactivés par défaut et activés sur consentement ; refus aussi simple que l’acceptation ; retrait à tout moment via le module de préférences.
  → Voir la Politique Cookies détaillée.

11) Sous-traitants et destinataires

Nous recourons à des prestataires sélectionnés et engagés contractuellement (confidentialité, sécurité, RGPD) :

• Hébergement/Infra : Scaleway (France) , stockage, sauvegardes, services réseau.
• Paiement : Stripe, pour l’encaissement (données de paiement tokenisées).
• Hébergement web : o2switch (France)

12) Confidentialité contractuelle

En complément du RGPD, Lumen Juris s’engage à une confidentialité renforcée :

• NDA sur demande (ou clause de confidentialité au MSA/DPA).
• Accès humain sur autorisation (ticket) et journalisé.
• Journalisation et traçabilité disponibles à l’audit (sur préavis raisonnable).

13) Données sensibles et mineurs

• Les documents peuvent contenir des données dites particulières (art. 9 RGPD). En tant que RT, vous devez garantir la licéité (base légale, minimisation, information). Nous appliquons des mesures renforcées (chiffrement, cloisonnement).
• Le Service n’est pas destiné aux mineurs ; n’importez pas de données de mineurs sans base légale claire.

14) Conservation, suppression et portabilité des contenus (ST)

• Suppression immédiate à la demande via l’interface (si disponible) ou ticket administrateur.
• Export : nous proposons un export des contenus (format ouvert si possible) à la résiliation ou sur demande, dans des limites techniques raisonnables.

15) Violations de données

En cas d’incident de sécurité susceptible d’engendrer un risque pour les droits et libertés, notification à la CNIL sous 72 h et information des clients lorsque le risque est élevé, conformément aux art. 33–34 RGPD.

Source : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/

16) Prospection B2B

Nous pouvons contacter des adresses professionnelles en lien avec votre activité. Vous pouvez vous opposer à tout moment via le lien de désinscription ou par e-mail.

17) Transferts hors UE

Notre architecture cible l’UE/France. Si un sous-traitant hors UE est requis (rare) :

• usage de Clauses Contractuelles Types (SCCs) + évaluations de transfert + mesures supplémentaires (chiffrement, minimisation).

18) Délégué à la protection des données (DPO)

• Pour toute question : rgpd@lumenjuris.com.

19) Évolution de la présente politique

Nous pouvons mettre à jour cette politique pour refléter des évolutions légales, techniques ou opérationnelles. La version applicable est celle publiée à la date de consultation. En cas de changement majeur, nous informerons les administrateurs clients en amont.