Politique de confidentialité
Dernière mise à jour : 2026-05-03
Statut : v1, rédigée par l’équipe Solve. Cohérente avec
legal_strategy.mdet06_TECHNIQUE.md/08_SCHEMA_DB.md. À faire relire par avocat ou DPO externe avant ouverture publique massive.Date d’entrée en vigueur :
[JJ/MM/AAAA]
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le Service Solve est :
[Raison sociale]
[Adresse du siège social]
[Numéro SIREN]
Représenté par [Nom du représentant légal]
Contact pour toute question relative à la protection des données :
rgpd@usesolve.fr
Délégué à la Protection des Données (DPO) ou référent RGPD :
[Nom du référent — ex. en MVP : David, fondateur. À externaliser à un DPO mutualisé à partir de 5 000 utilisateurs ou si demandes RGPD nombreuses.]
2. Données collectées
Solve collecte uniquement les données strictement nécessaires à la fourniture du Service. Le détail dépend de la phase d’utilisation :
2.1 Visite du site (avant toute interaction)
- Adresse IP (anonymisée et hashée pour les logs au-delà de 24 h)
- User-agent (navigateur, OS, version)
- Cookies techniques strictement nécessaires (session, anti-CSRF, Cloudflare)
- Données de navigation agrégées et anonymes (Plausible Analytics — sans cookie, conforme RGPD sans bannière)
2.2 Engagement dans le chat (avant paiement)
- Adresse email (validée par code à 6 chiffres)
- Contenu des messages échangés avec l’agent (transmis à Anthropic pour traitement)
- Identifiant de session
- Fingerprint navigateur léger (si activé en Phase 3+)
2.3 Demande de résiliation (commande payante)
- Identité complète : nom, prénom, date de naissance (si exigée par le cocontractant)
- Adresse postale complète
- Numéro de téléphone (pour la signature électronique par OTP SMS)
- Numéro client / numéro de contrat chez le cocontractant
- Pièces jointes éventuelles : copie de pièce d’identité, RIB, contrat original, justificatifs (déménagement, chômage, santé) — uniquement si la procédure du cocontractant les exige
- Données de paiement : traitées exclusivement par Stripe, jamais stockées par Solve
2.4 Données générées par Solve
- Mandat civil signé électroniquement (PDF horodaté)
- Lettre de résiliation rédigée et envoyée
- Preuves d’envoi (accusé de réception Maileva, message-id Resend, etc.)
- Historique des événements liés au dossier (audit trail)
3. Finalités et bases légales du traitement
| Finalité | Base légale | Données concernées |
|---|---|---|
| Fourniture du Service de résiliation | Exécution du contrat (art. 6.1.b RGPD) | Identité, contact, infos contrat, pièces jointes |
| Validation de l’email utilisateur | Exécution du contrat | Email, code OTP |
| Signature électronique du mandat | Exécution du contrat + obligation légale (eIDAS) | Identité, téléphone, mandat |
| Paiement de la prestation | Exécution du contrat | Email, données de paiement (chez Stripe) |
| Envoi des emails de confirmation et de rappel J+15 | Exécution du contrat + intérêt légitime (information du consommateur) | Email, références dossier |
| Conservation de l’audit trail | Obligation légale (preuve, prescription civile) + intérêt légitime | Toutes données du dossier (audit_log) |
| Sécurité du Service (anti-fraude, anti-bot) | Intérêt légitime | IP, user-agent, fingerprint, comportement |
| Réponse aux demandes RGPD (accès, suppression) | Obligation légale | Toutes données concernées |
| Amélioration du Service (statistiques anonymisées) | Intérêt légitime | Données agrégées et anonymisées uniquement |
Solve ne traite pas les données personnelles à des fins de prospection commerciale tierce ni de revente à des tiers. Aucune publicité n’est diffusée sur le Service.
4. Sous-traitants et transferts de données
Solve fait appel à plusieurs sous-traitants pour fournir le Service. Chacun est lié par un Data Processing Addendum (DPA) conforme à l’art. 28 RGPD.
| Sous-traitant | Finalité | Localisation | DPA / encadrement transfert |
|---|---|---|---|
| Anthropic, PBC | Traitement par modèle de langage (chat, OCR) | États-Unis | DPA signé + Clauses Contractuelles Types CCT 2021. Option « Zero Data Retention » activée : aucune conservation des conversations par Anthropic au-delà de la session. |
| Stripe Inc. / Stripe Payments Europe Ltd | Traitement des paiements | Irlande (UE) + États-Unis | DPA signé. Stripe est PCI DSS Level 1. Données de carte traitées exclusivement chez Stripe. |
| Cloudflare, Inc. | DNS, CDN, WAF, anti-DDoS, hébergement landing | États-Unis (avec edge UE) | DPA signé. Configuration favorisant les régions UE. |
| Plausible Analytics | Mesure d’audience anonyme | Allemagne (UE) | RGPD natif. Sans cookie, sans collecte de données personnelles, conforme sans bannière de consentement. |
[Resend, Inc.] ou [Brevo SAS] | Email transactionnel (validation code, confirmations, rappels) | [À préciser selon le choix retenu] | DPA disponible pour les deux. Brevo est français — préférence si possible pour souveraineté. |
| Yousign SAS | Signature électronique avancée des mandats (eIDAS niveau avancé) | France | RGPD natif, eIDAS qualifié. |
| Maileva (filiale La Poste) | Envoi de lettres recommandées électroniques | France | RGPD natif, opérateur historique français. |
Transferts hors UE : seuls Anthropic, Stripe (partiellement) et Cloudflare impliquent un transfert hors UE. Pour chacun, la base légale du transfert est le mécanisme des Clauses Contractuelles Types (CCT) de la Commission européenne, version 2021.
5. Durées de conservation
| Catégorie de données | Durée de conservation | Base |
|---|---|---|
| Données de visite (logs serveur) | 24 heures (puis hash) puis 13 mois maximum (recommandation CNIL) | Recommandation CNIL |
| Compte utilisateur (email, profil minimal) | Tant que le compte est actif. Suppression sur demande sous 30 jours. | Exécution du contrat |
| Historique des messages chat | 12 mois après la dernière interaction (puis suppression auto) | Intérêt légitime (support, amélioration) |
| Documents uploadés (CI, RIB, justificatifs) | Supprimés dès l’acceptation du dossier par le cocontractant (généralement < 7 jours après envoi) | Minimisation RGPD |
| Mandat signé + courrier final + preuves d’envoi (audit trail) | 5 ans après clôture du dossier | Obligation légale (prescription civile B2C, art. 2224 Code civil) |
| Données de facturation et comptabilité | 10 ans (art. L123-22 Code commerce) | Obligation légale comptable |
| Données de paiement (côté Stripe) | Selon politique Stripe | Stripe est responsable conjoint |
| Logs de sécurité (tentatives d’intrusion, blocages bot) | 12 mois | Intérêt légitime (sécurité) |
À l’expiration de la durée applicable, les données sont supprimées définitivement ou anonymisées de façon irréversible selon ce qui est techniquement le plus approprié.
6. Droits de l’utilisateur
Conformément aux articles 15 à 22 du RGPD, l’utilisateur dispose des droits suivants :
- Droit d’accès (art. 15) : obtenir une copie de ses données personnelles. Solve fournit un export ZIP structuré (timeline JSON, mandats PDF, courriers, reçus) sous 1 mois.
- Droit de rectification (art. 16) : corriger les données inexactes.
- Droit à l’effacement (art. 17) : demander la suppression des données. Exception : les données nécessaires au respect d’une obligation légale (audit trail) sont conservées sous forme pseudonymisée pendant 5 ans.
- Droit à la limitation du traitement (art. 18) : suspendre le traitement dans certaines conditions.
- Droit d’opposition (art. 21) : s’opposer à un traitement fondé sur l’intérêt légitime.
- Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré et lisible (JSON).
- Droit de retirer son consentement à tout moment, lorsque le traitement repose sur le consentement.
- Droit d’introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes
Pour exercer ces droits : envoyer un email à rgpd@usesolve.fr depuis l’adresse email associée au compte (pour authentification). Solve répond sous 30 jours maximum (prolongeable de 2 mois en cas de complexité, avec notification).
7. Cookies
Le Service utilise les cookies suivants :
Cookies strictement nécessaires (sans consentement requis)
- Cookie de session : maintenir la session utilisateur pendant la navigation. Expiration : fermeture du navigateur.
- Cookie anti-CSRF : sécuriser les soumissions de formulaires. Expiration : courte durée.
- Cookies Cloudflare : sécurité et performance (mitigation DDoS, optimisation routage). Expiration : variable selon le type.
- Cookie Cloudflare Turnstile : validation anti-bot. Pas de tracking publicitaire.
Mesure d’audience (Plausible)
Solve utilise Plausible Analytics, un outil de mesure d’audience qui n’utilise aucun cookie et ne collecte aucune donnée personnelle. Conforme RGPD nativement, sans bannière de consentement requise.
Cookies tiers (avec consentement)
Aucun cookie publicitaire ni de réseau social n’est déposé.
8. Sécurité des données
Solve met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données :
- Chiffrement TLS 1.3 sur l’ensemble des communications
- Chiffrement at-rest des bases de données et du stockage objet (KMS)
- Hashage des emails dans les logs après expiration (au-delà de 24 h)
- Audit trail immuable (append-only) avec chaîne de hash anti-tampering
- Sauvegardes quotidiennes chiffrées dans un bucket séparé et cross-region
- Authentification forte côté admin (2FA obligatoire)
- Politique stricte de minimisation : aucune donnée n’est conservée au-delà de l’utilité opérationnelle
- Aucun stockage de données de carte bancaire (déléguées à Stripe, PCI DSS)
- Aucun stockage de mots de passe utilisateur (authentification par lien magique uniquement)
- Tests de pénétration prévus annuellement à partir de 2027
En cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés, Solve s’engage à notifier la CNIL dans les 72 heures conformément à l’article 33 RGPD, et à informer les personnes concernées sans délai si le risque est élevé (art. 34 RGPD).
9. Intelligence artificielle et traitement par modèle de langage
Le Service utilise un modèle de langage (LLM) fourni par Anthropic pour assister l’utilisateur dans le chat et pour extraire les informations de documents uploadés (factures, contrats).
Garanties spécifiques :
- L’option « Zero Data Retention » est activée chez Anthropic : aucune donnée envoyée n’est conservée par Anthropic au-delà du temps strictement nécessaire au traitement de la requête.
- Les données envoyées à Anthropic ne sont pas utilisées pour entraîner les modèles d’Anthropic (politique standard pour les utilisateurs API avec DPA).
- Solve filtre les données envoyées au LLM pour minimiser les informations sensibles (pas d’IBAN brut, pas de numéro de carte, pas de pièce d’identité dans le contexte conversationnel — ces éléments sont traités séparément par OCR puis stockés chiffrés).
L’utilisateur est libre de ne pas utiliser le chat assisté par IA et de demander une assistance humaine via support@usesolve.fr.
10. Modifications de la politique
Solve peut modifier la présente politique à tout moment. La version en vigueur est celle disponible à usesolve.fr/confidentialite. La date de dernière mise à jour est indiquée en pied de document.
En cas de modification substantielle, les utilisateurs disposant d’un compte actif sont informés par email au moins 30 jours avant l’entrée en vigueur des nouvelles dispositions.
11. Réclamation auprès de la CNIL
Si l’utilisateur estime que ses droits ne sont pas respectés, il peut introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
CNIL 3 Place de Fontenoy — TSA 80715 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 https://www.cnil.fr/fr/plaintes