Aller au contenu principal

    Politique de Confidentialité — RGPD

    Responsable du traitement

    Lilian Gauthier, Entrepreneur individuel, SIREN 992 016 246, 116 rue de Fouyte-Porc, 47000 Agen, France.

    Contact DPO : contact@celaris.co

    Bases légales

    • Exécution du contrat (Art. 6.1.b RGPD) : fourniture du service de mise en relation, gestion des abonnements, signature NDA/CNC.
    • Intérêt légitime (Art. 6.1.f) : sécurité de la plateforme, prévention de la fraude, amélioration du service.
    • Consentement (Art. 6.1.a) : communications marketing, cookies analytiques.
    • Obligation légale (Art. 6.1.c) : facturation, obligations fiscales.

    Données collectées

    • Identité : prénom, nom.
    • Coordonnées : email, téléphone, adresse.
    • Données professionnelles : SIREN, raison sociale, secteur d'activité.
    • Données financières des offres : chiffre d'affaires, EBITDA, prix demandé (cédants).
    • Données de navigation : adresse IP, user agent, logs d'accès.
    • Données de signature : horodatage, IP, hash du document, résultat OTP.
    • Consentement cookies : choix acceptation/refus, horodatage, identifiant utilisateur.

    Sous-traitants

    • Supabase Inc. (hébergement, base de données, authentification, stockage) — données hébergées en UE (région Frankfurt, eu-central-1). Certifié SOC 2 Type II.
    • Stripe Inc. (paiements et abonnements) — certifié PCI-DSS Level 1. Celaris ne stocke aucun numéro de carte bancaire. Données de paiement traitées en UE.
    • Vercel Inc. (hébergement frontend) — CDN mondial, données servies depuis la région la plus proche. Clauses contractuelles types pour les transferts hors UE.
    • Resend Inc. (envoi d'emails transactionnels) — transfert hors UE encadré par les clauses contractuelles types.
    • Sentry (monitoring d'erreurs) — données techniques de débogage uniquement, aucune donnée personnelle identifiante transmise volontairement.
    • Google LLC (Google Analytics, Google Tag Manager) — cookies analytiques soumis au consentement préalable. Données anonymisées (anonymize_ip activé).

    Transferts hors Union européenne

    Certains sous-traitants (Vercel, Resend, Stripe, Google, Sentry) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :

    • le Data Privacy Framework UE-US (pour les sous-traitants certifiés) ;
    • les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914).

    Durée de conservation

    • Données de compte actif : durée de la relation contractuelle.
    • Données de compte supprimé : 30 jours (soft delete) puis suppression définitive.
    • Données de compte inactif : 3 ans après dernière connexion, puis anonymisation.
    • Données de signature (NDA/CNC/mandat/audit trail) : 5 ans après clôture de l'offre (preuve contractuelle, article 2224 du Code civil).
    • Données de facturation : 10 ans (obligation légale, article L123-22 du Code de commerce).
    • Données de navigation et logs : 13 mois maximum.
    • Consentement cookies : 13 mois, puis redemandé.

    Profilage et décision automatisée

    Celaris utilise un algorithme de matching pour suggérer des correspondances entre cédants et repreneurs, basé sur les critères déclarés par les utilisateurs (secteur, budget, localisation, taille d'entreprise). Ce traitement constitue un profilage au sens de l'article 22 du RGPD.

    Ce profilage ne produit aucune décision juridique ou économique automatique. Il s'agit uniquement de suggestions indicatives. Vous pouvez vous opposer à ce profilage en contactant contact@celaris.co.

    Mesures de sécurité techniques

    • Chiffrement en transit (TLS 1.3).
    • Chiffrement au repos (AES-256 via Supabase).
    • Authentification renforcée (mots de passe hashés bcrypt, vérification HaveIBeenPwned, OTP SMS).
    • Row Level Security (RLS) activé sur 100 % des tables de données.
    • Content Security Policy (CSP) restrictive.
    • Protection CSRF, XSS, clickjacking (X-Frame-Options: DENY).
    • Audit trail complet (IP, user agent, horodatage, hash de document).
    • Sanitisation de tous les contenus HTML (DOMPurify).
    • Monitoring d'erreurs temps réel (Sentry).

    Registre des traitements

    Un registre des activités de traitement est tenu conformément à l'article 30 du RGPD. Il est disponible sur demande auprès du DPO à contact@celaris.co.

    Vos droits

    Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

    • Droit d'accès (Art. 15) — obtenir une copie de vos données via la section RGPD de votre profil
    • Droit de rectification (Art. 16) — modifier vos données depuis votre profil
    • Droit d'effacement (Art. 17) — supprimer votre compte via la section RGPD de votre profil
    • Droit de portabilité (Art. 20) — exporter vos données au format JSON
    • Droit d'opposition (Art. 21) — vous opposer au profilage ou au marketing
    • Droit de limitation (Art. 18) — limiter le traitement de vos données
    • Droit de retrait du consentement — via la bannière cookies ou par email

    Ces droits s'exercent via votre espace personnel (section RGPD) ou par email à contact@celaris.co. Délai de réponse : 30 jours maximum conformément à l'article 12 du RGPD.

    Réclamation

    Si vous estimez que le traitement de vos données n'est pas conforme, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes

    Cookies

    Celaris utilise :

    • des cookies strictement nécessaires (authentification Supabase, session) qui ne nécessitent pas de consentement (Art. 82 de la loi Informatique et Libertés) ;
    • des cookies analytiques (Google Analytics, Google Tag Manager) soumis à votre consentement préalable via la bannière cookies. Ces cookies ne sont jamais chargés avant votre choix explicite.

    Votre choix est conservé 13 mois. Vous pouvez le modifier à tout moment depuis les paramètres de votre navigateur ou la page RGPD de votre profil.

    Dernière mise à jour : 8 mars 2026