RGPD

Politique de confidentialité

Dernière mise à jour : 19 mai 2026

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via le Service LEx est :

LONGONIA SAS

[ADRESSE COMPLÈTE]

SIRET : [SIRET]

Email DPO : privacy@lex.fr

2. Données collectées

LEx collecte les catégories de données suivantes :

2.1 Données d'identification

  • Adresse électronique (inscription)
  • Numéro de téléphone (optionnel — vérification OTP)
  • Identifiant de session anonyme (UUID généré localement avant inscription)

2.2 Données de situation juridique

  • Description de la situation soumise par l'Utilisateur
  • Documents téléversés (images, PDF)
  • Réponses aux questions de précision posées par le Service
  • Domaine juridique sélectionné

Ces données peuvent contenir des informations sensibles (situation fiscale, immigration, données de santé indirectes). Elles sont traitées avec les mesures de sécurité renforcées décrites à l'article 6.

2.3 Données de paiement

  • Données de facturation (nom, pays) transmises directement à Stripe Inc.
  • Historique de transactions (montant, date, plan souscrit)

Les données de carte bancaire ne transitent jamais par les serveurs de LEx — elles sont traitées exclusivement par Stripe, certifié PCI-DSS niveau 1.

2.4 Données techniques

  • Adresse IP (journaux serveur, conservée 30 jours)
  • Type de navigateur et système d'exploitation
  • Pages visitées et horodatage

3. Finalités et bases légales

FinalitéBase légale (RGPD)Durée
Fourniture du Service (analyse juridique)Exécution du contrat — Art. 6.1.b3 ans après dernière activité
Gestion du compte utilisateurExécution du contrat — Art. 6.1.b3 ans après clôture
Traitement des paiementsExécution du contrat — Art. 6.1.b10 ans (obligation comptable)
Amélioration du Service (statistiques anonymisées)Intérêt légitime — Art. 6.1.fDurée indéfinie (anonymisées)
Envoi d'emails transactionnelsExécution du contrat — Art. 6.1.bDurée du compte
Communications marketing (opt-in)Consentement — Art. 6.1.aJusqu'au retrait
Obligations légales (fraude, sécurité)Obligation légale — Art. 6.1.cSelon réglementation

4. Destinataires des données

Les données sont transmises uniquement aux sous-traitants strictement nécessaires :

Anthropic Inc.

Traitement et analyse des données

États-Unis — DPA signé

Transfert : SCCs UE

Stripe Inc.

Paiements

États-Unis — PCI-DSS L1

Transfert : SCCs UE

Hetzner Online GmbH

Hébergement VPS

Allemagne — RGPD natif

Vercel Inc.

Frontend CDN

États-Unis

Transfert : SCCs UE

Resend Inc.

Emails transactionnels

États-Unis

Transfert : SCCs UE

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

5. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès — obtenir une copie de vos données personnelles
  • Droit de rectification — corriger des données inexactes
  • Droit à l'effacement — demander la suppression de vos données (« droit à l'oubli »)
  • Droit à la limitation — restreindre temporairement le traitement
  • Droit à la portabilité — recevoir vos données dans un format structuré
  • Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime
  • Droit de retrait du consentement — pour les traitements fondés sur votre consentement

Pour exercer vos droits, contactez : privacy@lex.fr
Délai de réponse : 30 jours maximum (article 12 RGPD).

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

6. Sécurité des données

LEx met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des communications en transit (TLS 1.3)
  • Chiffrement des données sensibles au repos (AES-256)
  • Authentification par token JWT (durée limitée à 7 jours)
  • Mots de passe hachés (bcrypt, facteur de coût 12)
  • Accès aux serveurs restreint par clés SSH, sans mot de passe
  • Sauvegardes chiffrées quotidiennes
  • Journalisation des accès et des anomalies

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous serez notifié dans les délais prévus par l'article 34 du RGPD.

7. Cookies et traceurs

LEx utilise un nombre minimal de technologies de suivi :

  • localStorage (non-cookie) — stockage de l'identifiant de session anonyme et du token JWT. Aucune transmission à des tiers. Aucun consentement requis (technique nécessaire).
  • Cookies Stripe — posés lors du paiement uniquement, nécessaires à la sécurité de la transaction. Soumis à la politique de Stripe.

Aucun cookie publicitaire, aucun outil d'analytics tiers (Google Analytics, Hotjar, etc.) n'est utilisé sans votre consentement explicite.

8. Données des mineurs

Le Service est réservé aux personnes majeures (18 ans et plus). LEx ne collecte pas sciemment de données personnelles de mineurs. Si vous avez connaissance qu'un mineur a utilisé le Service, contactez-nous à privacy@lex.fr pour procéder à la suppression des données concernées.

9. Modifications de la politique

La présente politique peut être modifiée pour refléter l'évolution du Service ou des obligations légales. Toute modification substantielle fera l'objet d'une notification par email aux Utilisateurs disposant d'un compte. La date de dernière mise à jour est indiquée en haut de page.