Politique de Confidentialité
LEGAFLOW
Plateforme de conformité pour agences de créateurs de contenu
POLITIQUE DE CONFIDENTIALITÉ
Protection des données à caractère personnel
Version 1.0
Date d'entrée en vigueur : 15 avril 2026 | Dernière mise à jour : 15 avril 2026
| ÉDITEUR — OMAZEO SP. Z O.O. — Plac Bankowy 2, 00-095 Warszawa, Pologne — KRS : 0000879770 | NIP : 7842524687 | REGON : 387980205 — Capital social : 20 000 PLN, intégralement libéré |
|---|
1. Identité du Responsable du Traitement et nature de la plateforme
1.1. Éditeur et Responsable du Traitement
La présente Politique de Confidentialité (la « Politique ») est éditée par OMAZEO SP. Z O.O., société à responsabilité limitée de droit polonais, immatriculée au Registre national des sociétés polonais (KRS) sous le numéro 0000879770, identifiée fiscalement sous le numéro NIP 7842524687, sous le numéro statistique REGON 387980205, dotée d'un capital social de vingt mille zlotys polonais (20 000 PLN) intégralement libéré et dont le siège social est sis Plac Bankowy 2, 00-095 Varsovie (Pologne) (la « Société », « LegaFlow », « nous »). La Société agit en qualité de Responsable du Traitement des Données à Caractère Personnel au sens de l'article 4, point 7), du règlement (UE) 2016/679 (le règlement général sur la protection des données, ou « RGPD ») pour les activités de Traitement décrites dans la présente Politique, sauf indication expresse contraire.
1.2. Nature de la plateforme
LegaFlow est une solution technologique propriétaire exploitée en mode logiciel-en-tant-que-service (SaaS). La plateforme est conçue exclusivement à destination d'utilisateurs professionnels — à savoir des Agences encadrant des Créateurs de Contenu actifs sur des plateformes tierces de monétisation. La plateforme automatise le déploiement de questionnaires de conformité structurés, recueille et analyse les réponses des Créateurs de Contenu enrôlés, calcule des indicateurs algorithmiques de risque, agrège ces indicateurs en tableaux de bord au niveau de l'Agence selon un principe strict de privacy by design, produit des Rapports de Conformité au format PDF exportables, tient des pistes d'audit infalsifiables en mode « ajout uniquement » et administre le Programme d'Assistance Juridique de Défense discrétionnaire.
LegaFlow est un service inter-entreprises (B2B). Seules les Agences sont abonnées à la plateforme ; les Agences doivent être des opérateurs professionnels dûment immatriculés (voir l'article 4.1 des Conditions Générales de Service). Les Créateurs de Contenu ne sont pas clients de la Société et ne versent aucune somme à la Société ; ils sont enrôlés par les Agences en qualité d'utilisateurs finaux et interagissent avec la plateforme par l'intermédiaire de comptes ouverts par ou pour le compte des Agences. La présente Politique décrit néanmoins les droits des Créateurs de Contenu, des utilisateurs côté Agence et de toute autre personne physique dont les Données à Caractère Personnel font l'objet d'un Traitement par la Société.
1.3. Champ d'application
La présente Politique s'applique au Traitement des Données à Caractère Personnel en lien avec : (i) le site internet legaflow.io et tous les sous-domaines exploités par la Société ; (ii) la plateforme LegaFlow et l'ensemble des services associés ; (iii) la prospection commerciale et les interactions de vente ; (iv) le support client et la gestion des comptes ; (v) le Programme d'Assistance Juridique de Défense discrétionnaire ; et (vi) les opérations internes de la Société, dans la mesure où des Données à Caractère Personnel sont traitées.
1.4. Droit applicable
En tant que Responsable du Traitement établi en Pologne, la Société est, à titre principal, soumise au RGPD ; à la loi polonaise du 10 mai 2018 sur la protection des données à caractère personnel (Dz. U. 2018 poz. 1000, telle que modifiée) ; à la loi polonaise du 18 juillet 2002 sur les services électroniques ; au droit polonais des télécommunications et à la loi du 12 juillet 2024 sur les communications électroniques ; ainsi qu'aux orientations du Président de l'Office polonais de la protection des données à caractère personnel (Urząd Ochrony Danych Osobowych, « UODO »). Lorsque la Société propose ses services à des personnes concernées d'autres juridictions ou observe leur comportement, elle se conforme en outre au droit applicable de ces juridictions (voir articles 12 à 15). Pour les utilisateurs auxquels le droit français s'applique, la Société se conforme à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés) et aux orientations de la Commission Nationale de l'Informatique et des Libertés (CNIL).
2. Répartition des rôles au regard du droit de la protection des données
Le rôle de la Société au regard du droit de la protection des données varie selon la nature de l'activité de Traitement. Le présent article décrit cette répartition.
2.1. La Société agit en qualité de Responsable du Traitement
La Société agit en qualité de Responsable du Traitement s'agissant :
- des données de compte et de facturation des utilisateurs côté Agence (nom, courriel professionnel, fonction, identifiants de connexion, identifiant du moyen de paiement) ;
- des données de mesure d'audience collectées sur legaflow.io (limitées à une mesure préservant la vie privée — voir la Politique en matière de Cookies) ;
- des données de développement commercial relatives aux prospects ;
- des données traitées pour la conformité aux obligations légales propres à la Société (comptabilité, fiscalité, lutte contre le blanchiment, criblage sanctions, signalement d'incidents de sécurité, données KYB relatives aux Agences) ;
- des Données à Caractère Personnel des Créateurs de Contenu traitées dans le cadre du Programme d'Assistance Juridique de Défense lorsque la Société finance effectivement la défense juridique (intake, vérification de conflits d'intérêts, décisions de prise en charge, documents de récupération et de subrogation).
2.2. La Société agit en qualité de Responsable conjoint avec l'Agence
La Société et chaque Agence agissent en qualité de Responsables conjoints du traitement au sens de l'article 26 du RGPD s'agissant :
- de la vérification d'identité des Créateurs de Contenu via Veriff (fait de l'enrôlement, résultat de la vérification, confirmation de majorité, criblage sanctions) ;
- de la conception, de la fréquence de déploiement et des paramètres algorithmiques produisant le Score de Risque pour les Questionnaires — la Société conçoit la méthodologie ; l'Agence détermine quand et à quels Créateurs de Contenu les Questionnaires sont déployés.
Un Accord de Responsabilité Conjointe est incorporé par référence à l'Accord de Traitement des Données (« ATD ») conclu entre la Société et chaque Agence. L'ATD répartit les responsabilités en matière d'information des Créateurs de Contenu, de gestion de leurs demandes d'exercice des droits et de coopération avec les autorités de contrôle. L'essentiel de cet accord est mis à la disposition des Créateurs de Contenu sur demande à dpo@legaflow.io.
2.3. La Société agit en qualité de Sous-Traitant pour le compte de l'Agence
La Société agit en qualité de Sous-Traitant au sens de l'article 28 du RGPD pour le compte de l'Agence s'agissant :
- des réponses aux Questionnaires soumises par les Créateurs de Contenu à des questions déployées par l'Agence ;
- des documents téléversés par l'Agence (contrats, politiques, notifications, correspondances) à des fins d'analyse ou de conservation ;
- des notes, étiquettes et annotations internes de conformité saisies par les utilisateurs côté Agence ;
- des communications échangées via les fonctionnalités de messagerie de la plateforme.
L'Agence est Responsable du Traitement de ces données. La Société les traite sur la seule base des instructions documentées de l'Agence et de l'ATD conclu avec elle. Les Créateurs de Contenu souhaitant exercer des droits relatifs à ces données doivent en principe contacter en premier lieu leur Agence ; la Société accompagnera l'Agence dans la gestion de ces demandes et ne procédera à aucune divulgation, modification ou suppression unilatérale de ces données sans instruction de l'Agence, sauf obligation légale.
2.4. Relation avec les Créateurs de Contenu
La Société n'a aucune relation contractuelle directe avec les Créateurs de Contenu pris individuellement. Chaque Créateur de Contenu est engagé par et contractuellement lié à une Agence. Les Créateurs de Contenu ne versent aucune somme à la Société. Néanmoins, certains Traitements affectent directement les Créateurs de Contenu, qui bénéficient en conséquence des droits énoncés à la présente Politique en complément des droits qu'ils tirent de leur contrat avec l'Agence. Les Créateurs de Contenu peuvent contacter directement la Société à dpo@legaflow.io pour exercer ces droits.
3. Définitions
« Données à Caractère Personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
« Catégories particulières de Données à Caractère Personnel » désigne les Données à Caractère Personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques traitées aux fins d'identifier une personne de manière unique, les données de santé et les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
« Traitement » désigne toute opération réalisée sur des Données à Caractère Personnel, en ce compris la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, l'extraction, la consultation, l'utilisation, la communication, le rapprochement, la combinaison, la limitation, l'effacement ou la destruction.
« Responsable du Traitement » désigne la personne physique ou morale qui détermine les finalités et les moyens du Traitement.
« Sous-Traitant » désigne la personne physique ou morale qui traite des Données à Caractère Personnel pour le compte du Responsable du Traitement.
« Responsables conjoints du traitement » désigne deux Responsables du Traitement ou plus qui déterminent conjointement les finalités et les moyens du Traitement.
« Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle les Données à Caractère Personnel se rapportent.
« Agence » désigne toute personne morale ou tout entrepreneur individuel dûment immatriculé souscrivant à la plateforme LegaFlow.
« Créateur de Contenu » désigne toute personne physique majeure engagée par une Agence et enrôlée par celle-ci sur la plateforme LegaFlow.
« KYB » désigne le « Know-Your-Business », processus de vérification d'identité conduit sur les Agences.
« KYC » désigne le « Know-Your-Customer », processus de vérification d'identité conduit sur les Créateurs de Contenu via Veriff.
« Score de Risque » désigne l'indicateur algorithmique compris entre 0 et 100 produit par la plateforme à partir des réponses aux Questionnaires.
« Questionnaire » désigne un questionnaire structuré administré par la plateforme aux Créateurs de Contenu.
« Rapport de Conformité » désigne un document PDF structuré produit par la plateforme synthétisant la posture de conformité d'une Agence.
4. Catégories de Données à Caractère Personnel traitées
4.1. Utilisateurs côté Agence — Données KYB
Dans le cadre de l'onboarding, de l'inscription et du suivi continu des Agences, la Société traite des données KYB pouvant inclure : dénomination sociale complète ; forme juridique ; numéro d'immatriculation au registre du commerce ; identifiant fiscal ; numéros statistiques ; adresse du siège social ; pays d'exploitation ; preuve des bénéficiaires effectifs ultimes (noms, dates de naissance, nationalité des personnes physiques détenant 25 % ou plus) ; documents corporatifs (extraits, statuts, déclarations des représentants habilités) ; attestations de résidence fiscale ; résultats du criblage sur listes de sanctions. En outre, pour chaque compte d'utilisateur côté Agence : nom complet ; courriel professionnel ; téléphone professionnel ; intitulé de poste ; identifiants de connexion (hachés et salés) ; jetons de session ; journaux d'authentification ; métadonnées de terminal et de navigateur ; adresse IP ; échanges avec le support ; données de facturation (raison sociale, numéro de TVA, adresse du siège, identifiant du moyen de paiement). Les numéros de carte de paiement complets ne sont jamais conservés par la Société ; ils sont tokenisés par Stripe.
4.2. Créateurs de Contenu — Données KYC et données issues des Questionnaires
Les catégories suivantes de Données à Caractère Personnel relatives aux Créateurs de Contenu font l'objet d'un Traitement par l'intermédiaire de la plateforme :
- Données d'identification KYC (via Veriff) : nom légal complet ; date de naissance ; nationalité ; document d'identité émis par une autorité publique ; photographie du document d'identité ; image faciale capturée en direct aux fins de l'appariement biométrique Veriff ; résultats de criblage sur listes de sanctions et de personnes politiquement exposées (PPE) ;
- Données de contact : adresse électronique professionnelle ; téléphone professionnel ;
- Données d'engagement : nom de scène ou pseudonyme ; plateformes tierces de monétisation utilisées ; identifiants sur lesdites plateformes ; date d'engagement par l'Agence ; contrat écrit conclu entre le Créateur et l'Agence (téléversé par l'Agence) ;
- Données issues des Questionnaires : réponses libres et structurées portant sur les conditions de travail, le consentement continu, le bien-être physique et mental, la satisfaction à l'égard de l'Agence et tout incident signalé ;
- Données dérivées : Score de Risque, indicateurs de tendance, déclencheurs d'alerte, états de revue ;
- Données d'audit : journal horodaté de chaque déploiement de Questionnaire, soumission, consultation, génération de rapport et action sur tableau de bord, avec hachage SHA-256 garantissant l'inviolabilité ;
- Données d'intake AJD (le cas échéant) : faits du litige, identité de la contrepartie, chronologie, documents, informations relatives à la vérification des conflits d'intérêts, décisions de prise en charge, documents de récupération et de subrogation.
4.3. Catégories particulières de Données à Caractère Personnel
La plateforme opérant dans le secteur du contenu pour adultes, les réponses aux Questionnaires et les documents téléversés sont susceptibles de contenir des Catégories particulières de Données à Caractère Personnel — notamment des données concernant la vie sexuelle ou l'orientation sexuelle, des données de santé (en ce compris la santé mentale) et des données biométriques (Veriff). La Société applique les garanties renforcées exigées par l'article 9 du RGPD. Les données relevant d'une Catégorie particulière ne sont traitées que sur le fondement : (a) du consentement explicite recueilli par l'Agence auprès du Créateur de Contenu lors de l'enrôlement et renouvelé par l'intermédiaire des Questionnaires périodiques (article 9, paragraphe 2, point a), du RGPD) ; ou (b) de la constatation, de l'exercice ou de la défense de droits en justice (article 9, paragraphe 2, point f), du RGPD) dans le cadre du Programme d'Assistance Juridique de Défense. Les Créateurs de Contenu peuvent retirer leur consentement à tout moment en contactant leur Agence ou en écrivant à dpo@legaflow.io.
4.4. Visiteurs du site internet
Adresse IP (tronquée pour la mesure d'audience) ; type de navigateur ; système d'exploitation ; URL de provenance ; pages visitées ; durée ; langue ; cookies de préférence. La Société utilise une mesure d'audience auto-hébergée préservant la vie privée, avec troncature des adresses IP. La Société ne dépose aucun pixel publicitaire émanant de Meta, Google Ads, TikTok, LinkedIn ou réseaux similaires. Voir la Politique en matière de Cookies pour le détail.
4.5. Contacts professionnels
Nom complet ; courriel professionnel ; téléphone professionnel ; employeur ; intitulé de poste ; historique des correspondances ; données contractuelles et de facturation.
5. Finalités du Traitement et bases légales
La Société ne traite des Données à Caractère Personnel que pour des finalités déterminées, explicites et légitimes, et uniquement sur la base d'un fondement juridique valable au titre des articles 6 et, le cas échéant, 9 du RGPD.
| Finalité | Catégories | Base légale | Conservation |
|---|---|---|---|
| Fourniture de la plateforme aux Agences. | Données utilisateur Agence, données Créateur téléversées par l'Agence. | Exécution contractuelle (article 6, paragraphe 1, point b)) avec l'Agence. | Durée de l'Abonnement + 5 ans. |
| Vérification KYB des Agences. | Documents corporatifs, données BE, criblage sanctions. | Exécution contractuelle + obligation légale (LBC-FT, sanctions). | 5 ans après la fin de la relation d'affaires. |
| Vérification d'identité KYC via Veriff. | Biométrie, document d'identité, contrôle de majorité. | Consentement (article 9, paragraphe 2, point a)) + obligation légale (vérification d'âge). | 5 ans à compter de la vérification. |
| Questionnaires périodiques et calcul du Score de Risque. | Réponses aux Questionnaires, indicateurs dérivés. | Consentement (article 9, paragraphe 2, point a)) pour les contenus relevant des Catégories particulières ; intérêt légitime (article 6, paragraphe 1, point f)) pour les contenus non sensibles. | 5 ans à compter du Questionnaire. |
| Journaux d'audit infalsifiables. | Métadonnées d'événements hachées. | Obligation légale + intérêt légitime (intégrité probatoire). | 5 ans minimum. |
| Facturation, comptabilité, fiscalité (TVA notamment). | Données de facturation des Agences, factures. | Obligation légale (article 6, paragraphe 1, point c)) — loi polonaise sur la comptabilité du 29 septembre 1994. | 10 ans. |
| Support client. | Correspondances, métadonnées de compte. | Exécution contractuelle + intérêt légitime. | 3 ans à compter de la clôture. |
| Prévention de la fraude et sécurité. | Journaux, IP, métadonnées de terminal. | Intérêt légitime (article 6, paragraphe 1, point f)) — sécurité de l'information. | 12 mois ; davantage en cas d'incident. |
| Vente et prospection. | Données de contact professionnel. | Intérêt légitime ; consentement pour la prospection par courrier électronique lorsque cela est requis. | 3 ans à compter du dernier contact. |
| Administration du Programme AJD. | Données relatives aux différends Créateur/Agence. | Intérêt légitime + consentement + constatation, exercice ou défense de droits en justice (article 9, paragraphe 2, point f)). | 10 ans. |
| Conformité aux obligations légales. | Variable. | Obligation légale (article 6, paragraphe 1, point c)). | Selon les exigences légales. |
6. Sources des Données à Caractère Personnel
La Société obtient les Données à Caractère Personnel auprès des sources suivantes :
- directement auprès des utilisateurs côté Agence lors de la création de comptes, de la souscription, de l'usage de la plateforme ou de la prise de contact avec le support ;
- directement auprès des Créateurs de Contenu lorsqu'ils accomplissent le parcours KYC Veriff et soumettent les Questionnaires ;
- auprès des Agences lorsqu'elles téléversent des contrats ou enrôlent des Créateurs ;
- auprès de Veriff OÜ (résultats du KYC et signaux de criblage) ;
- auprès de Stripe (jetons de moyens de paiement, statut de paiement, signaux de fraude) ;
- auprès des registres publics, bureaux de crédit et listes de sanctions (à des fins de KYB et de criblage sanctions) ;
- auprès de la télémétrie de sécurité de la Société (journaux d'authentification, alertes d'anomalie) ;
- auprès de contacts professionnels qui transmettent volontairement leurs données via des formulaires, des courriels ou lors d'événements.
7. Décisions automatisées et Score de Risque
7.1. Nature du Score de Risque
La plateforme calcule un Score de Risque algorithmique (compris entre 0 et 100) pour chaque Créateur de Contenu enrôlé, à partir des réponses aux Questionnaires, de la cadence de soumission, des résultats Veriff et des éléments documentaires fournis par l'Agence. Le Score de Risque sert à produire des alertes de conformité et à alimenter le tableau de bord de l'Agence. Il s'agit d'un indicateur interne d'aide à la décision ; il ne détermine, à lui seul, aucune issue en dehors de la plateforme.
7.2. Garanties au titre de l'article 22 du RGPD
Le Score de Risque ne constitue pas une décision entièrement automatisée produisant des effets juridiques ou affectant de manière significativement similaire le Créateur de Contenu au sens de l'article 22, paragraphe 1, du RGPD. Il fait l'objet d'une revue par l'Agence (et, dans certains cas, par l'équipe conformité de la Société) avant toute action conséquente. Lorsqu'un Score de Risque (ou tout autre résultat automatisé) pourrait contribuer à une décision produisant des effets juridiques ou affectant de manière significativement similaire une personne concernée — par exemple, suspension d'enrôlement, exclusion du Programme AJD ou signalement aux autorités —, la personne concernée a le droit : (a) d'obtenir une intervention humaine en écrivant à dpo@legaflow.io ; (b) d'exprimer son point de vue ; et (c) de contester la décision. La Société n'utilise pas le Score de Risque comme fondement exclusif d'une décision produisant des effets juridiques ou affectant de manière significativement similaire un Créateur de Contenu.
8. Destinataires et Sous-traitants ultérieurs
8.1. Destinataires internes
Les Données à Caractère Personnel ne sont accessibles, en interne, qu'aux membres autorisés du personnel de la Société (conformité, ingénierie, juridique, support, sécurité, finances) selon le principe du « besoin d'en connaître », sous réserve d'obligations contractuelles et légales de confidentialité et de contrôles d'accès fondés sur les rôles.
8.2. Sous-traitants ultérieurs
La Société recourt aux catégories suivantes de Sous-traitants ultérieurs, chacun lié par une convention écrite de traitement des données reprenant les obligations de l'article 28 du RGPD et, le cas échéant, les Clauses Contractuelles Types de l'UE ou l'International Data Transfer Agreement (IDTA) du Royaume-Uni.
| Sous-traitant ultérieur | Finalité | Lieu | Mécanisme de transfert |
|---|---|---|---|
| Veriff OÜ | Vérification d'identité KYC, confirmation de majorité, criblage sanctions. | Estonie (UE) | UE — aucun mécanisme additionnel |
| Stripe Payments Europe, Ltd. / Stripe, Inc. | Traitement des paiements, tokenisation, facturation, détection de fraude. | Irlande (UE), États-Unis | CCT UE + mesures supplémentaires ; IDTA UK |
| Hetzner Online GmbH / OVH SAS / AWS EU (Frankfurt) | Hébergement de la Plateforme, stockage de bases de données. | Allemagne / France (UE) | UE — aucun mécanisme additionnel |
| Twilio SendGrid (locataire UE) | Courriels transactionnels et de notification. | Irlande (UE) | UE ; CCT pour repli US |
| Sentry / Datadog (locataire UE) | Supervision des erreurs et des performances. | UE | Locataire UE |
| Intercom ou Crisp (locataire UE) | Messagerie de support client. | UE | Locataire UE |
| Cabinets d'avocats spécialisés et Cabinets Partenaires | Défense juridique au titre du Programme AJD, conseils réglementaires. | Pays de l'affaire | Au cas par cas ; secret professionnel |
La liste à jour des Sous-traitants ultérieurs est publiée à l'adresse legaflow.io/subprocessors. Les Agences peuvent s'inscrire aux notifications de nouveaux Sous-traitants ultérieurs avec un droit d'opposition de trente (30) jours.
8.3. Tiers
Les Données à Caractère Personnel peuvent également être communiquées : (a) à l'Agence ayant enrôlé le Créateur de Contenu, aux fins de la gestion de la conformité de l'Agence ; (b) aux autorités compétentes, juridictions, régulateurs et administrations fiscales, lorsque la loi l'exige ou en réponse à une réquisition valable ; (c) aux conseils professionnels (avocats, commissaires aux comptes, experts-comptables) tenus au secret professionnel ; (d) aux successeurs en droit dans le cadre d'une fusion, acquisition ou réorganisation, sous réserve de protections équivalentes ; et (e) à toute autre partie sur la base du consentement documenté de la personne concernée.
8.4. Absence de vente, de partage, de publicité ciblée
La Société ne vend pas de Données à Caractère Personnel, ne loue pas de Données à Caractère Personnel, n'échange pas de Données à Caractère Personnel contre une contrepartie monétaire ou de toute autre valeur et ne partage pas de Données à Caractère Personnel à des fins de publicité comportementale inter-contextuelle. La Société n'utilise pas les Données à Caractère Personnel pour constituer des audiences publicitaires, ne les synchronise pas avec des plateformes publicitaires et n'autorise pas les Sous-traitants ultérieurs à utiliser les Données à Caractère Personnel pour leurs propres finalités.
9. Transferts internationaux de données
La Société traite les Données à Caractère Personnel principalement au sein de l'Espace Économique Européen. Lorsque des Données à Caractère Personnel sont transférées vers un pays situé hors de l'EEE et ne faisant pas l'objet d'une décision d'adéquation de la Commission européenne, la Société s'appuie sur l'une des garanties suivantes au titre du chapitre V du RGPD :
- Clauses Contractuelles Types de la Commission européenne (décision d'exécution (UE) 2021/914), complétées par des mesures techniques et organisationnelles appropriées ;
- International Data Transfer Agreement (IDTA) du Royaume-Uni ou addendum britannique aux CCT de l'UE ;
- Règles d'entreprise contraignantes (BCR) du destinataire, le cas échéant ;
- Consentement explicite de la personne concernée pour des transferts ponctuels et non systématiques, lorsque l'article 49 du RGPD le permet ;
- Constatation, exercice ou défense de droits en justice (article 49, paragraphe 1, point e), du RGPD) dans le cadre du Programme AJD.
Une copie des garanties applicables à un transfert spécifique peut être obtenue en écrivant à dpo@legaflow.io.
10. Conservation des données
Les Données à Caractère Personnel ne sont conservées que pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées et conformément aux durées de conservation indiquées au tableau de l'article 5. Les principales durées sont les suivantes :
- Données de compte des utilisateurs côté Agence : durée de l'Abonnement, augmentée de cinq (5) ans à compter de la résiliation, à des fins probatoires et de réclamations contractuelles au titre du droit civil polonais ;
- Registres KYB : cinq (5) ans après la fin de la relation d'affaires, conformément aux recommandations LBC-FT ;
- Registres KYC Veriff : cinq (5) ans à compter de la vérification ;
- Réponses aux Questionnaires et données du Score de Risque : cinq (5) ans à compter de chaque Questionnaire ;
- Journaux d'audit infalsifiables : cinq (5) ans minimum, prorogeables à dix (10) ans en cas de litige actif, d'enquête ou de demande réglementaire ;
- Documents de facturation et de comptabilité : dix (10) ans (loi polonaise sur la comptabilité du 29 septembre 1994 et exigences de l'administration fiscale) — pour les utilisateurs auxquels le droit français s'applique, l'article L.123-22 du Code de commerce français impose une conservation de dix (10) ans des livres et documents comptables ;
- Registres du Programme AJD : dix (10) ans à compter de la clôture du dossier, en cohérence avec les délais de prescription en matière de responsabilité professionnelle ;
- Données marketing et de prospection : trois (3) ans à compter de la dernière interaction ou jusqu'au retrait du consentement, la première de ces dates prévalant ;
- Journaux de sécurité : douze (12) mois pour les événements courants ; davantage si un incident est en cours d'investigation.
À l'expiration de la durée de conservation applicable, les Données à Caractère Personnel sont supprimées, anonymisées ou archivées dans un stockage à accès restreint pour la stricte durée d'une éventuelle obligation légale résiduelle.
11. Droits des personnes concernées
Les personnes concernées établies dans l'Espace Économique Européen, au Royaume-Uni et en Suisse disposent des droits suivants au titre, respectivement, du RGPD, du UK GDPR et de la nFADP suisse. La Société répondra aux demandes vérifiables dans un délai d'un (1) mois à compter de la réception, prorogeable de deux (2) mois supplémentaires en cas de besoin compte tenu de la complexité et du nombre de demandes (article 12, paragraphe 3, du RGPD) :
- (a) droit d'accès (article 15 du RGPD) — obtenir confirmation du Traitement et copie des données ;
- (b) droit de rectification (article 16) — faire corriger des données inexactes ou incomplètes ;
- (c) droit à l'effacement / « droit à l'oubli » (article 17) — sous réserve des obligations légales de conservation ;
- (d) droit à la limitation du Traitement (article 18) ;
- (e) droit à la portabilité des données (article 20) — recevoir les données dans un format structuré et exploitable par machine ;
- (f) droit d'opposition (article 21), en ce compris un droit absolu d'opposition au Traitement à des fins de prospection ;
- (g) droit de ne pas faire l'objet d'une décision exclusivement automatisée (article 22) ;
- (h) droit de retirer son consentement à tout moment lorsque le Traitement est fondé sur le consentement (article 7, paragraphe 3) ;
- (i) droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77 du RGPD ; article 15 du UK GDPR) ; voir article 17.
Les utilisateurs auxquels le droit français s'applique disposent en outre du droit de définir des directives relatives au sort de leurs Données à Caractère Personnel après leur décès, conformément à l'article 85 de la loi n° 78-17 du 6 janvier 1978 modifiée.
Les demandes doivent être adressées à dpo@legaflow.io accompagnées d'éléments suffisants pour vérifier l'identité du demandeur. Lorsque la demande porte sur des données traitées par la Société en qualité de Sous-Traitant pour le compte d'une Agence, la Société transmettra la demande à l'Agence et accompagnera son traitement.
12. Informations complémentaires pour la Pologne et l'Espace Économique Européen
En sa qualité de Responsable du Traitement établi à Varsovie (Pologne), la Société est soumise au contrôle du Président de l'Office polonais de la protection des données à caractère personnel (Prezes Urzędu Ochrony Danych Osobowych, « UODO »). Les personnes concernées établies en Pologne ou dans tout autre État membre de l'EEE peuvent exercer leurs droits issus du RGPD en écrivant à dpo@legaflow.io et peuvent, à tout moment et sans préjudice de tout autre recours administratif ou juridictionnel, introduire une réclamation auprès de l'UODO ou de l'autorité de contrôle de leur État membre de résidence habituelle, de leur lieu de travail ou du lieu où la violation alléguée a eu lieu (article 77 du RGPD).
Pour les personnes concernées établies en France, l'autorité de contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, cnil.fr.
La Société a volontairement désigné un Délégué à la Protection des Données (DPO) au sens des articles 37 à 39 du RGPD. Le DPO peut être contacté à l'adresse dpo@legaflow.io ou par voie postale à OMAZEO SP. Z O.O., Plac Bankowy 2, 00-095 Varsovie, Pologne, à l'attention du DPO.
La Société se conforme à la loi polonaise du 10 mai 2018 sur la protection des données à caractère personnel et aux orientations de l'UODO, en ce compris en matière de Traitement de données biométriques, de documentation du consentement et de gestion des violations de données.
13. Informations complémentaires pour les résidents du Royaume-Uni
Pour les personnes concernées établies au Royaume-Uni, la Société se conforme au UK GDPR et au Data Protection Act 2018. Les réclamations peuvent être introduites auprès de l'Information Commissioner's Office (ICO), Wycliffe House, Water Lane, Wilmslow SK9 5AF, ico.org.uk. Lorsque l'article 27 du UK GDPR l'exige, la Société a désigné un représentant au Royaume-Uni dont les coordonnées sont publiées à l'adresse legaflow.io/legal/representatives.
14. Informations complémentaires pour les résidents de Californie
Le présent article complète la Politique et s'applique aux Personal Information des résidents de l'État de Californie au sens du California Consumer Privacy Act tel que modifié par le California Privacy Rights Act (CCPA/CPRA).
14.1. Catégories collectées et sources
Au cours des douze (12) derniers mois, la Société a collecté les catégories suivantes de Personal Information : identifiants ; informations commerciales ; activité internet ou autre activité réseau électronique ; géolocalisation (approximative) ; informations professionnelles ; sensitive Personal Information (pour les Créateurs de Contenu : identifiants gouvernementaux, identifiants biométriques via Veriff, données concernant la vie sexuelle ou l'orientation sexuelle). Les sources et les finalités sont décrites aux articles 5 et 6.
14.2. Absence de vente, de partage, de publicité ciblée
La Société ne vend pas de Personal Information et ne partage pas de Personal Information à des fins de publicité comportementale inter-contextuelle au sens du CPRA. La Société respecte le signal Global Privacy Control (GPC).
14.3. Droits des résidents de Californie
Les résidents de Californie disposent des droits suivants : (a) connaître les Personal Information collectées, utilisées, divulguées et vendues/partagées ; (b) supprimer leurs Personal Information, sous réserve des exceptions légales ; (c) corriger les Personal Information inexactes ; (d) refuser la vente ou le partage (sans objet — la Société n'en pratique aucun) ; (e) limiter l'usage et la divulgation des sensitive Personal Information ; (f) ne pas faire l'objet de discrimination du fait de l'exercice de leurs droits CPRA ; et (g) portabilité. Pour exercer ces droits, les résidents de Californie peuvent écrire à dpo@legaflow.io ou utiliser le lien « Do Not Sell or Share My Personal Information » publié sur legaflow.io. Les agents autorisés peuvent introduire des demandes sur présentation d'une autorisation écrite.
15. Informations complémentaires pour d'autres juridictions
15.1. Brésil (LGPD)
Pour les personnes concernées établies au Brésil, la Société se conforme à la Lei Geral de Proteção de Dados brésilienne (LGPD, loi 13.709/2018). Les Données à Caractère Personnel sont traitées sur les bases prévues à l'article 7 de la LGPD (pour les données non sensibles) et à l'article 11 de la LGPD (pour les données sensibles). Les personnes concernées disposent des droits prévus à l'article 18 de la LGPD (confirmation, accès, correction, anonymisation, portabilité, suppression, information sur le partage, information sur le consentement, retrait du consentement). Les demandes peuvent être adressées à dpo@legaflow.io. La Société a désigné un Encarregado de Dados (dpo@legaflow.io) au sens de l'article 41 de la LGPD. Les réclamations peuvent être introduites auprès de l'Autoridade Nacional de Proteção de Dados (ANPD, gov.br/anpd).
15.2. Suisse (nLPD)
Pour les personnes concernées établies en Suisse, la Société se conforme à la loi fédérale sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023. Les personnes concernées disposent de droits d'accès, de rectification, d'effacement et d'opposition équivalents à ceux énoncés à l'article 11. Les réclamations peuvent être introduites auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne.
15.3. Autres juridictions
Le cas échéant, la Société se conforme à toute autre loi applicable en matière de protection des données dans les juridictions où ses services sont proposés (en ce compris notamment le décret-loi fédéral des Émirats arabes unis n° 45 de 2021 sur la protection des données à caractère personnel, la PIPEDA canadienne, le Privacy Act 1988 australien). Des informations spécifiques et des droits additionnels sont mis à disposition sur demande à dpo@legaflow.io.
16. Mesures de sécurité
La Société met en œuvre des mesures techniques et organisationnelles adaptées aux risques présentés par le Traitement, au sens de l'article 32 du RGPD, en ce compris :
- Chiffrement AES-256 des Données à Caractère Personnel au repos et chiffrement TLS 1.2+ en transit ;
- Contrôle d'accès fondé sur les rôles selon le principe du moindre privilège ;
- Authentification multifacteur pour l'ensemble des comptes à privilèges ;
- Journaux d'audit en mode « ajout uniquement » avec hachage SHA-256 et vérification périodique d'intégrité ;
- Cloisonnement (tenant isolation) entre les Agences ;
- Analyses de vulnérabilité et tests d'intrusion réguliers par des tiers indépendants ;
- Cycle de développement logiciel sécurisé avec revue de code, analyse statique et surveillance des dépendances ;
- Plan de réponse aux incidents avec astreinte 24h/24 et 7j/7 et chemins d'escalade définis ;
- Vérifications préalables des antécédents, engagements de confidentialité et formations à la protection des données pour le personnel ;
- Tests annuels au minimum des plans de continuité d'activité et de reprise après sinistre ;
- Évaluation des risques fournisseurs préalable à l'engagement et réévaluation périodique.
Aucune mesure de sécurité n'est parfaite. La Société ne garantit pas une sécurité absolue et exclut expressément toute garantie en ce sens.
17. Notification des violations de données
En cas de violation de Données à Caractère Personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, la Société :
- notifiera l'autorité de contrôle compétente (à titre principal, l'UODO ; pour la France, la CNIL) sans délai indu et, si possible, au plus tard soixante-douze (72) heures après en avoir pris connaissance (article 33 du RGPD) ;
- notifiera les Agences affectées dans les soixante-douze (72) heures suivant la prise de connaissance d'une violation affectant leurs données ;
- communiquera la violation aux personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD) ;
- documentera l'ensemble des violations, des mesures correctives prises et des enseignements tirés.
18. Autorités de contrôle
Les personnes concernées disposent du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, à savoir notamment :
- Pologne (à titre principal) : Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Varsovie, uodo.gov.pl ;
- France : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, cnil.fr ;
- Espace Économique Européen : autorité de contrôle de l'État membre de résidence habituelle, du lieu de travail ou du lieu de la violation alléguée de la personne concernée ;
- Royaume-Uni : Information Commissioner's Office (ICO), ico.org.uk ;
- Brésil : Autoridade Nacional de Proteção de Dados (ANPD), gov.br/anpd ;
- Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), edoeb.admin.ch ;
- Californie : California Privacy Protection Agency (CPPA), cppa.ca.gov.
19. Modifications
La Société peut modifier la présente Politique de temps à autre afin de refléter les évolutions du droit, des technologies ou de ses pratiques commerciales. Les modifications substantielles sont notifiées aux Agences par courriel et publiées sur la plateforme et le site internet legaflow.io au moins trente (30) jours avant leur date d'effet, sauf entrée en vigueur anticipée requise par la loi. La date de la version la plus récente est indiquée en tête du présent document. La poursuite de l'utilisation de la plateforme après la date d'effet d'une modification vaut acceptation de la Politique modifiée.
20. Contact
Toute question, demande ou réclamation relative à la présente Politique ou au Traitement de Données à Caractère Personnel peut être adressée à :
- Toutes demandes (générales, support, commerciales) : support@legaflow.io
- Protection des données, Délégué à la Protection des Données et exercice des droits issus du RGPD : dpo@legaflow.io
- Voie postale : OMAZEO SP. Z O.O., Plac Bankowy 2, 00-095 Varsovie, Pologne
21. Acceptation et droit applicable
En créant un compte, en utilisant la plateforme LegaFlow, en souscrivant aux services LegaFlow ou en transmettant de toute autre manière des Données à Caractère Personnel à OMAZEO SP. Z O.O., la personne concernée reconnaît avoir pris connaissance et compris la présente Politique de Confidentialité. Le cas échéant, des consentements explicites distincts sont recueillis dans le cadre du parcours de création de compte, du parcours de vérification Veriff et du parcours de déploiement des Questionnaires ; ces consentements peuvent être retirés à tout moment en contactant dpo@legaflow.io.
La présente Politique de Confidentialité est régie par le droit polonais et est rédigée en langue anglaise dans sa version originale, qui fait foi. Lorsque la Société publie des traductions, en ce compris la présente version française, la version anglaise prévaut en cas de divergence. Les dispositions impératives du droit de la protection des données applicable à la résidence habituelle d'une personne concernée demeurent applicables.