Confidentialité

Politique de confidentialité

Dernière mise à jour : 2 mai 2026

La présente politique de confidentialité décrit la manière dont Cloudustry SAS, éditrice du service Doxaa, collecte, utilise et protège les données personnelles des utilisateurs du site doxaa.eu et du Service Doxaa, dans le respect du règlement (UE) 2016/679 du 27 avril 2016 (le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

01Responsable du traitement

Le responsable du traitement des données personnelles collectées via Doxaa est :

Société: Cloudustry SAS
Siège social: 5 rue de la Fontaine — 13100 Aix-en-Provence — France
SIREN: 953 818 481
Contact général: contact@doxaa.fr
Délégué à la protection des données (DPO): contact@doxaa.fr

02Données collectées

Doxaa collecte les catégories de données suivantes :

2.1 Données fournies par l'utilisateur

Formulaire d'audit gratuit : nom du cabinet ou de l'étude, adresse e-mail professionnelle, métier, ville principale d'exercice.
Création de compte : nom, prénom, adresse e-mail professionnelle, mot de passe (stocké chiffré), nom du cabinet, fonction, ville.
Souscription d'un Plan : coordonnées de facturation (raison sociale, adresse, numéro de TVA le cas échéant). Les fonctionnalités de paiement seront activées au lancement public du Service ; le prestataire de paiement retenu, certifié PCI-DSS, sera précisé dans cette politique avant toute mise en production. Doxaa ne stockera en aucun cas de numéro de carte ni de cryptogramme.
Communications : contenu des messages échangés avec le support, retours de bêta, demandes adressées au DPO.

2.2 Données collectées automatiquement

Données de connexion : adresse IP, date et heure de connexion, type de navigateur, système d'exploitation, identifiants de session.
Données d'usage : pages consultées, fonctionnalités utilisées, événements techniques, logs de sécurité.

2.3 Données publiques agrégées par le Service

Pour produire les rapports et scores Doxaa, le Service interroge automatiquement des modèles d'intelligence artificielle génératives publics et collecte les réponses obtenues. Aucune donnée personnelle de tiers n'est extraite ni stockée dans ce cadre : seules sont conservées les mentions du cabinet de l'Utilisateur et de ses confrères publiquement référencés.

Aucune donnée client, dossier ou correspondance n'est demandée ni traitée par Doxaa. Le secret professionnel et la déontologie de l'Utilisateur sont strictement préservés.

03Finalités et bases légales

Audit gratuit: Production et envoi du rapport personnalisé sous 48 h ouvrées — base légale : exécution de mesures précontractuelles prises à la demande de l'Utilisateur (art. 6.1.b RGPD).
Compte et abonnement: Création et gestion du compte, fourniture du Service, facturation — base légale : exécution du contrat (art. 6.1.b RGPD).
Sécurité et lutte contre la fraude: Détection des accès non autorisés, journalisation des événements de sécurité — base légale : intérêt légitime (art. 6.1.f RGPD).
Communications opérationnelles: Envoi des rapports hebdomadaires, alertes, notifications de service — base légale : exécution du contrat.
Communications commerciales: Newsletter, annonces produit, invitations — base légale : consentement (art. 6.1.a RGPD), désabonnement possible à tout moment.
Obligations légales: Conservation des factures et pièces comptables — base légale : obligation légale (art. 6.1.c RGPD).

04Destinataires des données

Vos données personnelles sont destinées exclusivement aux personnels habilités de Cloudustry SAS et à ses sous-traitants techniques agissant sur instruction documentée et sous obligation de confidentialité. Les sous-traitants intervenant à la date des présentes sont :

Vercel Inc.: Hébergement du site et des données applicatives — région Paris (cdg1). Contenus servis et stockés au sein de l'Union européenne.

Vos données ne sont en aucun cas vendues, louées ou cédées à des tiers à des fins commerciales. Elles peuvent être communiquées à des autorités administratives ou judiciaires sur réquisition légale.

05Transferts hors Union européenne

Cloudustry SAS privilégie des sous-traitants établis ou opérant au sein de l'Union européenne. Lorsque le recours à un sous-traitant établi hors UE devient nécessaire (par exemple Vercel Inc. pour son entité américaine, dont la région d'hébergement utilisée reste Paris), il est encadré par les clauses contractuelles types adoptées par la Commission européenne, et complété, le cas échéant, par des mesures techniques supplémentaires (chiffrement, pseudonymisation).

06Durées de conservation

Données de l'audit gratuit (sans suite): Conservées pendant 12 mois à des fins de relance commerciale, puis supprimées.
Compte et données de service: Conservées pendant toute la durée du Plan, puis 24 mois après résiliation à des fins de relation commerciale.
Factures et pièces comptables: 10 ans à compter de la clôture de l'exercice (article L.123-22 du Code de commerce).
Logs techniques et de sécurité: 12 mois maximum.
Cookies: 13 mois maximum.
Communications commerciales: Jusqu'à retrait du consentement, puis 3 ans en archivage intermédiaire.

07Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès : obtenir la confirmation que vos données sont traitées et, le cas échéant, en obtenir copie.
Droit de rectification : faire corriger des données inexactes ou incomplètes vous concernant.
Droit à l'effacement : demander la suppression de vos données dans les cas prévus par le RGPD.
Droit à la limitation du traitement : demander le gel temporaire du traitement.
Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition : vous opposer, à tout moment, à un traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
Droit de définir des directives post-mortem sur le sort de vos données après votre décès.
Droit de retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci.

Pour exercer ces droits, écrivez à contact@doxaa.fr en justifiant de votre identité. Une réponse vous sera apportée dans un délai d'un mois, prorogeable de deux mois en cas de complexité ou de nombre élevé de demandes.

08Secret professionnel

Doxaa s'adresse à des professionnels soumis au secret professionnel (notaires, avocats, experts-comptables, conseils juridiques). Le Service est conçu pour fonctionner sans aucune donnée couverte par ce secret :

aucune donnée client ou dossier de l'Utilisateur n'est collectée ou traitée ;
aucune correspondance ou pièce d'un dossier n'est transmise à Doxaa ;
seules sont analysées les informations publiques relatives au cabinet et les réponses publiques des modèles d'IA monitorés.

Cloudustry SAS s'interdit toute exploitation, par quelque moyen que ce soit, des données auxquelles elle pourrait avoir accès accidentellement et qui seraient couvertes par le secret professionnel.

09Sécurité

Cloudustry SAS met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

chiffrement des données en transit (TLS 1.2 minimum) et au repos ;
authentification renforcée des accès administrateurs (MFA) ;
stockage des mots de passe avec hachage et sel (bcrypt/argon2) ;
journalisation des accès aux données et revue régulière des habilitations ;
sauvegardes chiffrées, plan de reprise documenté ;
tests de sécurité internes et procédure de divulgation responsable ouverte à contact@doxaa.fr.

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Cloudustry SAS notifiera la CNIL dans les 72 heures et informera les personnes concernées dans les meilleurs délais.

10Cookies

Doxaa utilise un nombre minimum de cookies, classés en deux catégories :

Cookies strictement nécessaires (session d'authentification, jeton de sécurité, préférences d'affichage). Ces cookies ne nécessitent pas votre consentement en application de l'article 82 de la loi Informatique et Libertés.
Cookies de mesure d'audience anonyme (à venir, le cas échéant). Si une solution d'audience est mise en place, elle privilégiera des outils sans transfert hors UE et exemptés de consentement (configuration conforme aux recommandations de la CNIL).

Aucun cookie publicitaire ni cookie de tracking inter-sites n'est déposé par Doxaa.

11DPO et réclamation

Pour toute question relative au traitement de vos données ou pour exercer vos droits, vous pouvez contacter notre délégué à la protection des données :

DPO — Doxaa
Cloudustry SAS — 5 rue de la Fontaine — 13100 Aix-en-Provence
contact@doxaa.fr

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :

en ligne : cnil.fr/fr/plaintes
par courrier : CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07.

12Modifications

La présente politique de confidentialité est susceptible d'évoluer. Toute modification substantielle vous sera notifiée par courriel ou par un avis sur le site, au moins quinze (15) jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.