Politique de Confidentialité
Dernière mise à jour : Mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
Louis Barbier
103 rue Sébastien Gryphe, 69007 Lyon
Contact : contact@lexane.fr
2. Quelles données collectons-nous ?
Dans le cadre de l'utilisation de Lexane, nous collectons les catégories de données suivantes :
Données d'identification
Nom, prénom, adresse e-mail, mot de passe (hashé), informations professionnelles (cabinet, barreau le cas échéant).
Données d'utilisation
Conversations avec l'assistant IA, documents importés, dossiers créés, données CRM saisies (clients, contacts, événements, temps passé), mémoires de l'assistant.
Données techniques
Adresse IP, type de navigateur, données de session, journaux d'accès.
Données de facturation
Informations de paiement traitées directement par Stripe. Nous ne stockons jamais vos numéros de carte bancaire.
3. Finalités et bases légales des traitements
| Finalité | Base légale | Conservation |
|---|---|---|
| Fourniture du service (assistant IA, CRM, documents) | Exécution du contrat | Durée du compte |
| Gestion du compte et authentification | Exécution du contrat | Durée du compte + 30 jours |
| Facturation et paiements | Exécution du contrat, obligation légale | 10 ans (obligation comptable) |
| Amélioration du service et correction de bugs | Intérêt légitime | 12 mois (journaux techniques) |
| Sécurité et prévention des fraudes | Intérêt légitime | 6 mois |
| Communication (notifications de service) | Exécution du contrat | Durée du compte |
4. Intelligence artificielle et traitement des données
La Plateforme utilise des modèles d'intelligence artificielle fournis par des prestataires tiers pour le fonctionnement de l'assistant juridique. Nous nous engageons sur les principes suivants :
- Aucun entraînement sur vos données.Vos documents, conversations et données ne sont jamais utilisés pour entraîner ou améliorer les modèles d'IA, ni par Lexane, ni par nos fournisseurs.
- Données transmises minimales.Seuls les contenus strictement nécessaires à la génération d'une réponse (prompts, contexte de la conversation, extraits de documents) sont transmis aux fournisseurs d'IA.
- Pas de conservation par les fournisseurs.Nos fournisseurs d'IA ne conservent pas les données transmises au-delà du temps nécessaire au traitement de la requête.
- Isolation des données.Chaque Organisation dispose d'un espace cloisonné. Aucune donnée d'un cabinet n'est accessible ou utilisée au profit d'un autre.
5. Sous-traitants et destinataires des données
Nous faisons appel aux sous-traitants suivants pour la fourniture du service :
| Prestataire | Fonction | Localisation |
|---|---|---|
| Google Cloud Platform | Hébergement (Compute Engine), base de données (Cloud SQL), stockage de fichiers (Cloud Storage) | France (europe-west9, Paris) |
| Anthropic | Modèle de langage pour l'assistant IA | États-Unis |
| Cohere | Génération d'embeddings pour la recherche sémantique | États-Unis |
| Stripe | Traitement des paiements | États-Unis / Irlande |
| Resend | Envoi d'e-mails transactionnels (vérification, mot de passe) | États-Unis |
| Upstash | Limitation de débit (rate limiting), file d'attente asynchrone | Union Européenne |
6. Transferts de données hors de l'Union européenne
L'hébergement principal de la Plateforme (serveurs, base de données, stockage de fichiers) est situé en France (Google Cloud, région europe-west9, Paris).
Certains traitements nécessitent le transfert de données vers les États-Unis, notamment pour le fonctionnement de l'assistant IA (Anthropic, Cohere), le traitement des paiements (Stripe) et l'envoi d'e-mails (Resend). Ces transferts sont encadrés par :
- Le EU-U.S. Data Privacy Framework (DPF) pour les prestataires certifiés ;
- Les Clauses Contractuelles Types (CCT) de la Commission européenne (décision du 4 juin 2021) pour les autres.
Nous veillons à minimiser les données transférées et à ne transmettre aucune donnée directement identifiante aux fournisseurs d'IA lorsque cela n'est pas strictement nécessaire au service.
7. Sécurité des données
Nous mettons en œuvre les mesures de sécurité suivantes pour protéger vos données :
- Chiffrement en transit : toutes les communications sont protégées par TLS 1.2+ (HTTPS).
- Chiffrement au repos : les données stockées (base de données, fichiers) sont chiffrées via les mécanismes natifs de Google Cloud.
- Authentification renforcée : authentification à deux facteurs (2FA/TOTP) disponible, mots de passe hashés.
- Isolation multi-tenant : chaque Organisation dispose de données strictement cloisonnées au niveau applicatif et base de données.
- Contrôle d'accès : système de rôles et permissions granulaires (RBAC) au sein de chaque Organisation.
8. Cookies
La Plateforme utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
- Cookie de session : permet de maintenir votre connexion authentifiée (durée : 7 jours).
Nous n'utilisons aucun cookie publicitaire, de suivi ou d'analyse comportementale. Aucun outil d'analytics tiers n'est intégré à la Plateforme.
9. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données.
- Droit à la limitation (art. 18) : limiter le traitement dans certains cas.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition(art. 21) : vous opposer au traitement fondé sur l'intérêt légitime.
- Directives post-mortem (art. 85 loi Informatique et Libertés) : définir des directives relatives à la conservation et au sort de vos données après votre décès.
Pour exercer vos droits, contactez-nous à contact@lexane.fr. Nous nous engageons à répondre dans un délai d'un mois, extensible à deux mois en cas de demande complexe.
10. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site : www.cnil.fr
11. Modification de la présente politique
Nous nous réservons le droit de modifier cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par notification dans la Plateforme ou par e-mail. La date de dernière mise à jour est indiquée en haut de cette page.