Politique de confidentialité

Préambule

LEXTEUR (ci-après « LEXTEUR ») s'engage à protéger la vie privée et les données personnelles de ses utilisateurs, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés). La présente politique de confidentialité décrit les conditions dans lesquelles vos données personnelles sont collectées, traitées et protégées dans le cadre de l'utilisation du service LEXTEUR.

Responsable du traitement

Le responsable du traitement des données personnelles est LEXTEUR, représentée par son dirigeant. Pour toute question relative à la protection de vos données, vous pouvez contacter notre Délégué à la Protection des Données (DPO) à l'adresse : dpo@lexteur.com.

Données personnelles collectées

Dans le cadre de la fourniture du service, LEXTEUR collecte les catégories de données suivantes, limitées au strict nécessaire (principe de minimisation, article 5.1.c du RGPD) :

• Données d'identification : nom, prénom, adresse email professionnelle, renseignés lors de la création du compte
• Données techniques de connexion : adresse IP, type et version du navigateur, système d'exploitation, horodatages de connexion, collectés automatiquement pour la sécurité du service
• Données d'utilisation du service : nombre d'analyses effectuées, date de création des dossiers, statistiques d'usage agrégées
• Données de facturation : traitées exclusivement par notre prestataire Stripe Inc. — LEXTEUR ne collecte, ne stocke et n'a accès à aucun numéro de carte bancaire ni donnée de paiement sensible

IMPORTANT : LEXTEUR ne collecte, ne stocke et n'a pas accès au contenu de vos documents juridiques ni aux données personnelles de vos clients. L'intégralité du traitement documentaire (extraction de texte, reconnaissance de caractères, anonymisation) est exécutée localement sur votre poste de travail via l'application desktop. Seul le texte préalablement anonymisé par tokenisation (remplacement des données identifiantes par des jetons génériques de type [PERSONNE_1], [ADRESSE_1]) est transmis au service d'analyse. Ce mécanisme est conçu pour préserver le secret professionnel de l'avocat (article 66-5 de la loi du 31 décembre 1971).

Finalités et bases légales du traitement

• Exécution du contrat (article 6.1.b du RGPD) : fourniture, gestion et amélioration du service LEXTEUR, gestion de votre compte utilisateur
• Exécution du contrat (article 6.1.b du RGPD) : gestion des abonnements, facturation et suivi des paiements
• Intérêt légitime (article 6.1.f du RGPD) : support client, réponse à vos demandes, communication relative au service
• Intérêt légitime (article 6.1.f du RGPD) : analyse statistique anonymisée de l'utilisation du service à des fins d'amélioration, sécurité et prévention des abus

Base légale des transferts hors UE

Certains de nos sous-traitants sont établis en dehors de l'Espace économique européen (EEE). Les transferts de données vers ces prestataires sont encadrés par des clauses contractuelles types (CCT) adoptées par la Commission européenne conformément à l'article 46.2.c du RGPD, ou par des décisions d'adéquation lorsqu'elles existent. Vous pouvez obtenir une copie des garanties mises en place en contactant dpo@lexteur.com.

Architecture de traitement local et secret professionnel

L'architecture de LEXTEUR est conçue pour garantir par conception (privacy by design, article 25 du RGPD) la protection des données de vos clients et de vos dossiers. Le traitement documentaire s'effectue intégralement sur votre poste de travail : (1) extraction du texte par reconnaissance optique embarquée (exécution locale), (2) détection des entités nominatives par moteur NER propriétaire (exécution locale), (3) tokenisation des données identifiantes en jetons pseudonymisés. Seul le texte anonymisé est transmis à l'API d'analyse (Anthropic). Cette architecture garantit qu'aucune donnée nominative de vos clients ne quitte votre poste de travail, préservant ainsi le secret professionnel de l'avocat.

Sous-traitants (article 28 du RGPD)

• Supabase Inc. (hébergement de la base de données utilisateurs, authentification) — Données hébergées dans la région UE (Francfort, Allemagne) — Transferts encadrés par CCT
• Stripe Inc. (traitement sécurisé des paiements, certifié PCI-DSS niveau 1) — Données transférées aux États-Unis — Transferts encadrés par le Data Privacy Framework UE-US et CCT
• Anthropic PBC (traitement par IA des textes anonymisés uniquement, aucune donnée identifiante transmise) — États-Unis — Transferts encadrés par CCT — Anthropic ne conserve pas les données transmises via l'API et ne les utilise pas pour entraîner ses modèles

LEXTEUR s'assure contractuellement que chaque sous-traitant offre des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, conformément aux exigences du RGPD. La liste des sous-traitants peut être mise à jour ; toute modification substantielle sera notifiée aux utilisateurs.

Durée de conservation des données

Données de compte (identification, profil) : conservées pendant toute la durée de la relation contractuelle, puis 3 ans après la dernière activité sur le compte (prescription civile de droit commun). Données de facturation : conservées 10 ans conformément aux obligations comptables et fiscales (article L.123-22 du Code de commerce). Données de connexion (logs techniques) : conservées 12 mois conformément à l'article L.34-1 du Code des postes et des communications électroniques. Documents et analyses : aucune conservation côté serveur — les documents sont traités localement et ne sont jamais stockés par LEXTEUR. Vous pouvez demander la suppression de vos données à tout moment (sous réserve des obligations légales de conservation) en contactant dpo@lexteur.com.

Cookies et traceurs

Le site lexteur.com utilise exclusivement des cookies strictement nécessaires au fonctionnement du service : cookie de session d'authentification et cookie de préférence de thème (clair/sombre) et de langue (FR/EN). Aucun cookie publicitaire, de profilage ou de mesure d'audience n'est déposé. Ces cookies essentiels ne nécessitent pas votre consentement préalable conformément à l'article 82 de la loi Informatique et Libertés.

Vos droits (articles 15 à 22 du RGPD)

Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (article 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie complète
• Droit de rectification (article 16) : faire corriger vos données inexactes ou incomplètes
• Droit à l'effacement (article 17) : obtenir la suppression de vos données, sous réserve des obligations légales de conservation
• Droit à la portabilité (article 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
• Droit d'opposition et de limitation (articles 18 et 21) : vous opposer au traitement de vos données ou en demander la limitation dans les cas prévus par le RGPD

Pour exercer l'un de ces droits, adressez votre demande accompagnée d'un justificatif d'identité à : dpo@lexteur.com. Nous nous engageons à répondre dans un délai d'un mois (article 12.3 du RGPD). En cas de difficulté dans l'exercice de vos droits, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

Mesures de sécurité techniques et organisationnelles

LEXTEUR met en œuvre des mesures de sécurité conformes à l'état de l'art (article 32 du RGPD) : chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, hashage des mots de passe (bcrypt), authentification PKCE, contrôle d'accès selon le principe du moindre privilège, surveillance continue des accès et audit régulier. Pour plus de détails, consultez notre page Sécurité.

Droits spécifiques — Californie (CCPA/CPRA)

Si vous résidez en Californie, vous disposez de droits supplémentaires en vertu du California Consumer Privacy Act (CCPA) et du California Privacy Rights Act (CPRA) : droit de connaître les catégories et finalités des données collectées, droit de suppression, droit de non-discrimination pour l'exercice de vos droits. LEXTEUR ne « vend » pas et ne « partage » pas vos données personnelles au sens du CCPA/CPRA. LEXTEUR ne pratique pas le profilage comportemental à des fins publicitaires.

Dispositions internationales

LEXTEUR s'engage à respecter les réglementations de protection des données dans les juridictions où le service est disponible. Pour les utilisateurs de l'Espace économique européen (EEE) et du Royaume-Uni : le traitement des données est conforme au RGPD et au UK GDPR. Pour les utilisateurs des Émirats Arabes Unis et du Moyen-Orient : le traitement respecte les lois locales applicables, y compris le DIFC Data Protection Law et l'ADGM Data Protection Regulations le cas échéant. Pour les utilisateurs des États-Unis : les droits spécifiques au niveau des États (Californie, Colorado, Connecticut, Virginia, Utah) sont respectés. Les transferts internationaux de données sont encadrés par les mécanismes appropriés (CCT, décisions d'adéquation, ou garanties équivalentes).

Protection des mineurs

Le service LEXTEUR est destiné exclusivement aux professionnels du droit majeurs. Nous ne collectons pas sciemment de données personnelles auprès de mineurs de moins de 18 ans (ou l'âge de la majorité dans la juridiction applicable). Si nous apprenons qu'un mineur a créé un compte, nous supprimerons immédiatement les données associées. Si vous avez connaissance qu'un mineur utilise le service, veuillez nous contacter à dpo@lexteur.com.

Modification de la politique de confidentialité

LEXTEUR se réserve le droit de modifier la présente politique de confidentialité afin de l'adapter aux évolutions réglementaires ou aux modifications du service. Toute modification substantielle sera portée à la connaissance des utilisateurs par email ou par notification dans l'application au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.