Politique de confidentialité
Dernière mise à jour : 6 mai 2026
SARL INFRANAT (« Infrasign », « nous ») accorde une importance capitale à la protection de vos données personnelles. La présente politique décrit quelles données nous collectons, pourquoi, comment nous les utilisons et vos droits.
1. Responsable du traitement
SARL INFRANAT — 254 rue Vendôme, 69003 Lyon, France
DPO (Délégué à la Protection des Données) : Jonathan CLAIS — dpo@infrasign.fr
2. Données collectées
2.1 Données du compte (utilisateurs Infrasign)
- Nom, prénom, adresse email professionnelle
- Numéro de téléphone mobile (pour l'OTP SMS)
- Nom de la société
- Informations de facturation (via Stripe — nous ne stockons pas vos données de carte bancaire)
2.2 Données de signature (signataires)
- Nom et prénom du signataire (fournis par l'utilisateur Infrasign)
- Adresse email du signataire
- Numéro de téléphone mobile (pour l'OTP SMS de vérification d'identité)
- Adresse IP et User-Agent lors de la signature
- Horodatage de chaque action (ouverture, lecture, authentification OTP, signature)
- Métadonnées du document (titre, hash SHA-256)
2.3 Données de tracking lecture
- Pages consultées, temps passé par page, scroll
- Score d'engagement (0–100)
- Statut du funnel (COLD › VERY_HOT)
2.4 Données de navigation
- Cookies techniques (session, CSRF)
- Logs serveur (IP, date, ressource demandée) — conservation 12 mois maximum
- Cookies analytiques (avec votre consentement uniquement)
3. Base légale des traitements
| Traitement | Base légale |
|---|---|
| Gestion du compte et des abonnements | Exécution du contrat (CGV) |
| Identification du signataire (OTP SMS) | Intérêt légitime + Obligation légale (eIDAS) |
| Audit trail et valeur probante | Obligation légale (Code Civil art. 1366) |
| Facturation et comptabilité | Obligation légale |
| Envoi d'emails transactionnels | Exécution du contrat |
| Cookies analytiques | Consentement |
| Newsletter (si applicable) | Consentement |
4. Durée de conservation
| Catégorie | Durée | Justification |
|---|---|---|
| Documents signés + audit trail | 10 ans | Valeur probante (prescription décennale) |
| Données de compte actif | Durée de l'abonnement + 3 ans | Gestion des litiges |
| Données de compte clôturé | 3 ans après clôture | Intérêt légitime (litiges) |
| Logs de connexion | 12 mois | Sécurité informatique |
| OTP SMS (logs) | 5 ans | Preuve d'identité |
| Données de facturation | 10 ans | Obligation comptable |
| Cookies analytiques | 13 mois | Recommandation CNIL |
5. Destinataires des données
Vos données peuvent être transmises aux sous-traitants suivants, exclusivement pour les besoins du service :
- Stripe Inc. — Traitement des paiements (États-Unis, Clauses Contractuelles Types)
- Twilio Inc. — Envoi des OTP SMS (États-Unis, Clauses Contractuelles Types)
- INFRANAT — Hébergement des données (France)
Nous ne vendons jamais vos données à des tiers.
6. Vos droits RGPD
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer à un traitement basé sur l'intérêt légitime
- Droit à la limitation : geler temporairement un traitement
- Droit de retrait du consentement : à tout moment, sans affecter la licéité des traitements antérieurs
Pour exercer vos droits : dpo@infrasign.fr ou par courrier à l'adresse du siège. Délai de réponse : 30 jours.
En cas de réclamation non résolue, vous pouvez saisir la CNIL : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris.
7. Sécurité des données
Infrasign met en œuvre les mesures de sécurité suivantes :
- Chiffrement des données en transit (TLS 1.3)
- Chiffrement des données au repos (AES-256)
- Hachage des mots de passe (bcrypt)
- Authentification à deux facteurs disponible pour les comptes
- Journalisation et surveillance des accès
- Tests de pénétration annuels
8. Transferts hors UE
Certains sous-traitants (Stripe, Twilio) sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne, conformément à l'article 46 du RGPD.
9. Modifications
La présente politique peut être mise à jour. En cas de modification substantielle, vous serez informé par email. La date de dernière mise à jour est indiquée en haut de ce document.