Reglyo

Politique de confidentialité

Reglyo accorde une importance particulière à la protection des données personnelles. La présente politique décrit comment nous collectons, utilisons et protégeons vos données conformément au Règlement Général sur la Protection des Données (UE 2016/679) et à la loi Informatique et Libertés modifiée.

Dernière mise à jour : 10 mai 2026Version 1.0

1. Responsable de traitement

Le responsable du traitement de vos données personnelles est :

  • [À COMPLÉTER : raison sociale exacte]
  • [À COMPLÉTER : adresse ligne 1], [À COMPLÉTER : code postal] [À COMPLÉTER : ville], France
  • Email DPO : dpo@reglyo.fr

Pour toute question relative à vos données personnelles ou pour exercer vos droits, n'hésitez pas à contacter notre Délégué à la Protection des Données (DPO) à l'adresse ci-dessus.

2. Finalités et bases légales du traitement

Vos données personnelles sont traitées pour les finalités suivantes :

FinalitéBase légale (RGPD)
Création et gestion de votre compte utilisateurExécution du contrat (art. 6.1.b)
Fourniture des services de conformité (RGPD, AI Act, NIS2)Exécution du contrat (art. 6.1.b)
Facturation et gestion des abonnements via StripeExécution du contrat (art. 6.1.b) + Obligation légale (art. 6.1.c)
Envoi d'emails transactionnels (lien de connexion, factures)Exécution du contrat (art. 6.1.b)
Mesure d'audience anonymisée (PostHog)Consentement (art. 6.1.a) — révocable à tout moment
Suivi et correction des erreurs applicatives (Sentry)Intérêt légitime (art. 6.1.f) — assurer la stabilité du service
Lutte contre la fraude et la sécuritéIntérêt légitime (art. 6.1.f)
Réponses du module Assistant IA (Anthropic, Voyage)Exécution du contrat (art. 6.1.b)

3. Données collectées

Nous collectons uniquement les données strictement nécessaires aux finalités ci-dessus :

  • Données d'identification : nom, prénom, adresse email professionnelle, photo de profil (si connexion Google).
  • Données de facturation : raison sociale, adresse de facturation, SIREN, numéro de TVA, moyen de paiement (chiffré, géré par Stripe).
  • Données d'organisation :nom de la société, secteur d'activité, taille (effectif).
  • Données de connexion :logs d'authentification, adresse IP (conservée pour la sécurité), user-agent.
  • Données métier : contenu que vous saisissez dans les modules (registre de traitements, inventaire IA, audits NIS2).
  • Données d'usage : pages consultées, clics — uniquement après consentement explicite via le bandeau cookies.

Reglyo ne traite pasde données sensibles au sens de l'article 9 du RGPD (santé, opinions politiques, orientation sexuelle, etc.).

4. Durées de conservation

  • Compte actif : tant que votre compte existe + 30 jours après sa suppression (délai de récupération).
  • Documents de facturation :10 ans à compter de la clôture de l'exercice comptable (article L.123-22 du Code de commerce).
  • Logs d'authentification et de sécurité : 12 mois (recommandation CNIL).
  • Données de mesure d'audience PostHog : 12 mois.
  • Données métier (registres, audits) : tant que vous êtes client + archivage à votre demande pendant 5 ans (preuve de conformité).
  • Audits RGPD publics (scan gratuit) : 90 jours à compter du scan, puis suppression automatique. La page de résultat (/audit/[id]) devient inaccessible au-delà.
  • Hash IP utilisé pour la limitation de débit du scanner public :48 heures maximum (SHA-256 salé, jamais l'IP en clair). Effacé automatiquement par une tâche programmée toutes les 6 heures.

5. Sous-traitants et destinataires

Vos données peuvent être communiquées aux sous-traitants suivants, qui interviennent uniquement pour les besoins de l'exécution du service. Tous sont contractuellement tenus de respecter la confidentialité et la sécurité des données (article 28 RGPD) :

Sous-traitantRôleLocalisationDPA
Vercel Inc.Hébergement de l'application webÉtats-Unis (HQ) / UE (instance Frankfurt)Lien
Supabase Inc.Base de données et authentificationSingapour (HQ) / UE (instance Frankfurt)Lien
Stripe Payments Europe, LimitedTraitement des paiements et facturationIrlande (UE)Lien
Resend, Inc.Envoi d'emails transactionnelsÉtats-UnisLien
PostHog Inc.Mesure d'audience produit (anonymisée, opt-in)UE (instance dédiée eu.i.posthog.com)Lien
Anthropic PBCAssistant IA conformité (Module 3)États-UnisLien
Voyage AI Innovations Inc.Embeddings vectoriels pour recherche conformité (RAG)États-UnisLien
Sentry (Functional Software, Inc.)Suivi d'erreurs applicatives (anonymisé)UE (instance dédiée de.sentry.io)Lien

6. Transferts hors UE

La majorité de vos données sont hébergées en Europe (Frankfurt, Allemagne). Toutefois, certains sous-traitants sont établis hors de l'Union européenne. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT/SCC) approuvées par la Commission européenne, complétées le cas échéant par des mesures techniques additionnelles (chiffrement de bout en bout, pseudonymisation).

Le détail de chaque transfert est documenté dans le tableau du paragraphe précédent (colonne « Localisation »).

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données :

  • Droit d'accès(art. 15) : obtenir une copie des données qui vous concernent.
  • Droit de rectification(art. 16) : corriger des données inexactes.
  • Droit à l'effacement(art. 17) : demander la suppression de vos données (« droit à l'oubli »).
  • Droit à la limitation(art. 18) : suspendre le traitement.
  • Droit à la portabilité(art. 20) : récupérer vos données dans un format structuré.
  • Droit d'opposition(art. 21) : vous opposer à certains traitements (notamment basés sur l'intérêt légitime).
  • Droit de retirer votre consentement à tout moment (art. 7.3) — pour les traitements basés sur le consentement (cookies analytics).

Pour exercer ces droits, contactez-nous à : dpo@reglyo.fr. Nous vous répondrons dans un délai d'un mois maximumà compter de la réception de votre demande, conformément à l'article 12 du RGPD.

8. Cookies

Reglyo utilise un nombre minimal de cookies. Les cookies « essentiels » sont déposés sans consentement (article 82 de la loi Informatique et Libertés modifiée), car strictement nécessaires à la fourniture du service. Les cookies de mesure d'audience ne sont déposés qu'après votre consentement explicite via le bandeau dédié.

NomÉmetteurFinalitéDuréeType
sb-access-token / sb-refresh-tokenReglyo (via Supabase Auth)Authentification — session utilisateur connecté.Session + 7 jours (refresh)essentiel
reglyo-cookie-consentReglyoMémorise votre choix sur le bandeau cookies (accepter / refuser).12 moisessentiel
ph_*PostHog (eu.i.posthog.com)Mesure d'audience produit anonymisée (page vues, clics, erreurs). Activé uniquement après consentement explicite.12 moismesure d audience

Vous pouvez à tout moment modifier vos préférences en supprimant la valeur reglyo-cookie-consent dans le stockage local de votre navigateur — le bandeau réapparaîtra alors à votre prochaine visite.

9. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Téléphone : +33 1 53 73 22 22
  • Site : cnil.fr/fr/plaintes

10. Modifications

La présente politique de confidentialité peut être modifiée pour refléter une évolution réglementaire ou technique. Toute modification substantielle sera notifiée par email et la nouvelle version prendra effet à la date indiquée en haut de page.