Politique de confidentialité
Dernière mise à jour : 15 mai 2026
1. Préambule
Comiror est une plateforme SaaS B2B de gestion, partage et validation de fichiers techniques (3D, PDF) destinée aux bureaux d'études, dessinateurs et donneurs d'ordre. Cette politique décrit comment nous collectons, traitons et protégeons vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française Informatique et Libertés modifiée.
2. Responsable du traitement
[À compléter par le client : raison sociale, forme juridique, capital, SIREN, RCS, siège social, représentant légal, email DPO ou contact RGPD.]
3. Données collectées
3.1 Données de compte
- Email (identifiant de connexion)
- Nom et prénom (affichage et signature)
- Mot de passe (haché, jamais stocké en clair)
- Date d'inscription, dernière connexion
- Organisation(s) à laquelle vous appartenez et votre rôle
3.2 Données d'usage
- Contenus que vous créez : assets 3D, projets, annotations, messages, tâches, commentaires
- Métadonnées techniques nécessaires au service : adresse IP, identifiant de session, navigateur, horodatages d'actions
- Logs d'erreurs anonymisés (via Sentry) pour le diagnostic technique
3.3 Données de signature électronique
Lors d'une signature électronique conforme eIDAS, nous collectons et conservons : nom, prénom, email, adresse IP au moment de la signature, navigateur, mention manuscrite, hash du document signé, certificats émis par le prestataire de signature, horodatage qualifié. Ces données constituent le « fichier de preuve » exigé par le règlement eIDAS et les articles R123-173 du Code de commerce.
4. Finalités et bases légales
| Finalité | Base légale (RGPD art. 6) | Durée de conservation |
|---|---|---|
| Fourniture du service (compte, collaboration) | Exécution du contrat | Durée de l'abonnement + 30 jours |
| Sécurité et détection d'abus (logs, IP) | Intérêt légitime | 12 mois |
| Signatures électroniques (preuve juridique) | Obligation légale | 10 ans (art. R123-173 Code de commerce) |
| Facturation et obligations comptables | Obligation légale | 10 ans |
| Communication transactionnelle (emails service) | Exécution du contrat | Durée de l'abonnement |
5. Sous-traitants
Nous faisons appel à des sous-traitants techniques pour héberger et opérer le service. Tous sont soumis à un accord de traitement de données (DPA) conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données, authentification, stockage de fichiers | Union européenne |
| Vercel | Hébergement de l'application web et des fonctions serveur | Union européenne (région Paris) / États-Unis |
| Hetzner | Worker de conversion de fichiers CAO (STEP / IGES) | Finlande (Helsinki) |
| Sentry | Monitoring d'erreurs (logs anonymisés) | Union européenne (région Frankfurt) |
| Resend | Envoi d'emails transactionnels | États-Unis (sous garanties contractuelles SCC) |
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès et de rectification — votre profil est éditable depuis la page Paramètres
- Droit à la portabilité (art. 20) — exportez l'ensemble de vos données au format JSON depuis Paramètres → Mes données
- Droit à l'effacement (art. 17) — demandez la suppression de votre compte depuis Paramètres → Supprimer mon compte. Délai de grâce de 30 jours pendant lequel la demande peut être annulée.
- Droit d'opposition et de limitation — contactez le responsable du traitement
- Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr)
7. Politique de suppression de compte
Lorsque vous demandez la suppression de votre compte, nous appliquons une politique à trois niveaux :
- Données personnelles brutes (email, nom, mot de passe, IP, dernier login) : effacement immédiat à l'exécution de la demande, après le délai de grâce de 30 jours.
- Données collaboratives partagées (assets, annotations, messages, tâches que vous avez créés dans des organisations dont vous êtes membre) : votre lien d'auteur est anonymisé. Les contributions restent visibles aux autres membres avec la mention « Utilisateur supprimé ». Cette pratique préserve l'intégrité des espaces de travail partagés et est cohérente avec celle de Notion, Linear, Slack et Figma.
- Preuves de signature électronique (eIDAS) : conservation pendant 10 ans conformément à l'article R123-173 du Code de commerce, dérogation prévue par l'article 17.3(b) du RGPD pour obligation légale. Votre nom et email restent associés à ces signatures pour préserver leur valeur juridique probante. Au terme des 10 ans, ces données sont purgées.
8. Cookies
Comiror utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, préférences UI). Aucun cookie de tracking publicitaire ou d'analyse comportementale n'est posé. À ce titre, le consentement préalable n'est pas requis (article 82 de la loi Informatique et Libertés).
9. Sécurité
Les données sont chiffrées en transit (HTTPS / TLS 1.3) et au repos (chiffrement disque côté Supabase et Vercel). Les mots de passe sont hachés avec bcrypt. L'accès aux données est protégé par Row Level Security (RLS) PostgreSQL : un utilisateur ne peut accéder qu'aux données de son organisation. Les signatures électroniques utilisent les certificats qualifiés émis par notre partenaire Yousign (eIDAS).
10. Modifications
Nous nous réservons le droit de mettre à jour cette politique. Toute modification substantielle vous sera notifiée par email à l'adresse associée à votre compte, au moins 30 jours avant son entrée en vigueur.
11. Contact
[À compléter par le client : email du DPO, adresse postale du responsable du traitement, formulaire de contact.]