Politique de confidentialité

Dernière mise à jour : 29 juin 2026

1. Préambule

Comiror est une plateforme SaaS B2B de gestion, partage et validation de fichiers techniques (3D, PDF) destinée aux bureaux d'études, dessinateurs et donneurs d'ordre. Cette politique décrit comment nous collectons, traitons et protégeons vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française Informatique et Libertés modifiée.

2. Responsable du traitement

Julien RIAND, entrepreneur individuel, exerçant sous le nom commercial Comiror
Adresse : Cognac, France
SIREN : 884 705 542
Email RGPD : rgpd@comiror.com

3. Données collectées

3.1 Données de compte

  • Email (identifiant de connexion)
  • Nom et prénom (affichage et signature)
  • Mot de passe (haché, jamais stocké en clair)
  • Date d'inscription, dernière connexion
  • Organisation(s) à laquelle vous appartenez et votre rôle

3.2 Données d'usage

  • Contenus que vous créez : fichiers techniques (3D, DXF, PDF), nodes (clients, affaires, dossiers), annotations, notes, tâches, commentaires
  • Métadonnées techniques nécessaires au service : adresse IP, identifiant de session, navigateur, horodatages d'actions
  • Logs d'erreurs anonymisés (via Sentry) pour le diagnostic technique

3.3 Données de signature électronique

Lors d'une signature électronique conforme eIDAS, nous collectons et conservons : nom, prénom, email, adresse IP au moment de la signature, navigateur, mention manuscrite, hash du document signé, horodatage serveur. Ces données constituent le « fichier de preuve » exigé par le règlement eIDAS et les articles R123-173 du Code de commerce.

4. Finalités et bases légales

FinalitéBase légale (RGPD art. 6)Durée de conservation
Fourniture du service (compte, collaboration)Exécution du contratDurée de l'abonnement + 30 jours
Sécurité et détection d'abus (logs, IP)Intérêt légitime12 mois
Signatures électroniques (preuve juridique)Obligation légale10 ans (art. R123-173 Code de commerce)
Facturation et obligations comptablesObligation légale10 ans
Communication transactionnelle (emails service)Exécution du contratDurée de l'abonnement

5. Sous-traitants

Nous faisons appel à des sous-traitants techniques pour héberger et opérer le service. Tous sont soumis à un accord de traitement de données (DPA) conforme à l'article 28 du RGPD :

Sous-traitantRôleLocalisation
SupabaseBase de données, authentification, stockage de fichiersUnion européenne (Irlande)
VercelHébergement de l'application web et des fonctions serveurUnion européenne (Irlande, Dublin)
CloudflareNom de domaine, DNS et protection réseauÉtats-Unis / réseau mondial (garanties contractuelles SCC)
HetznerWorker de conversion de fichiers CAO (STEP / IGES)Finlande (Helsinki)
SentryMonitoring d'erreurs (logs anonymisés)Union européenne (région Frankfurt)
ResendEnvoi d'emails transactionnelsÉtats-Unis (sous garanties contractuelles SCC)

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès et de rectification — votre profil est éditable depuis la page Paramètres
  • Droit à la portabilité (art. 20) — exportez l'ensemble de vos données au format JSON depuis Paramètres → Mes données
  • Droit à l'effacement (art. 17) — demandez la suppression de votre compte depuis Paramètres → Supprimer mon compte. Délai de grâce de 30 jours pendant lequel la demande peut être annulée.
  • Droit d'opposition et de limitation — contactez le responsable du traitement
  • Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr)

7. Politique de suppression de compte

Lorsque vous demandez la suppression de votre compte, nous appliquons une politique à trois niveaux :

  1. Données personnelles brutes (email, nom, mot de passe, IP, dernier login) : effacement immédiat à l'exécution de la demande, après le délai de grâce de 30 jours.
  2. Données collaboratives partagées (fichiers, nodes, notes, tâches que vous avez créés dans des organisations dont vous êtes membre) : votre lien d'auteur est anonymisé. Les contributions restent visibles aux autres membres avec la mention « Utilisateur supprimé ». Cette pratique préserve l'intégrité des espaces de travail partagés et est cohérente avec celle de Notion, Linear, Slack et Figma.
  3. Preuves de signature électronique (eIDAS) : conservation pendant 10 ans conformément à l'article R123-173 du Code de commerce, dérogation prévue par l'article 17.3(b) du RGPD pour obligation légale. Votre nom et email restent associés à ces signatures pour préserver leur valeur juridique probante. Au terme des 10 ans, ces données sont purgées.

8. Cookies

Comiror utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, préférences UI). Aucun cookie de tracking publicitaire ou d'analyse comportementale n'est posé. À ce titre, le consentement préalable n'est pas requis (article 82 de la loi Informatique et Libertés).

9. Sécurité

Les données sont chiffrées en transit (HTTPS / TLS 1.3) et au repos (chiffrement disque côté Supabase et Vercel). Les mots de passe sont hachés avec bcrypt. L'accès aux données est protégé par Row Level Security (RLS) PostgreSQL : un utilisateur ne peut accéder qu'aux données de son organisation. La signature électronique est gérée en interne avec horodatage, adresse IP, mention manuscrite et empreinte (hash) du document, constituant un faisceau de preuves recevable au titre du règlement eIDAS.

10. Modifications

Nous nous réservons le droit de mettre à jour cette politique. Toute modification substantielle vous sera notifiée par email à l'adresse associée à votre compte, au moins 30 jours avant son entrée en vigueur.

11. Contact

Pour exercer vos droits ou pour toute question relative au traitement de vos données personnelles :
Email : rgpd@comiror.com
Adresse postale : Cognac, France
Délai de réponse : 30 jours calendaires à compter de la réception de votre demande (articles 12 et 15 du RGPD).