Coffrify s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Responsable du traitement
Evorax Technologies — Micro-entreprise
SIREN 102146594 — 13 rue des chevreuils, 68990 Heimsbrunn, France
Délégué à la Protection des Données (DPO) : legal@evorax.fr
2. Données collectées
- Compte : email, mot de passe (haché bcrypt), nom optionnel.
- Workspace : nom du workspace, membres, plan, paramètres.
- Transferts : métadonnées (taille, expiration, nombre de téléchargements), fichiers chiffrés AES-256 ou E2E zero-knowledge.
- Facturation : nom, email, adresse de facturation, identifiant Stripe customer. Pas de stockage de données bancaires (PCI DSS chez Stripe).
- Logs techniques : adresse IP, user-agent, horodatage, codes HTTP (durée 90 jours pour la sécurité).
- Cookies : strictement nécessaires (session) + optionnels (consentement requis).
3. Finalités du traitement
- Fournir et faire fonctionner le service de transfert chiffré.
- Assurer la sécurité du service (détection d'abus, anti-spam).
- Facturer les abonnements Pro et Ultra.
- Communiquer (factures, notifications de sécurité, support).
- Améliorer le service (analytics anonymisée si consentement).
4. Bases légales (RGPD Art. 6)
- Exécution du contrat : compte, transferts, facturation.
- Intérêt légitime : sécurité, prévention de la fraude, logs techniques.
- Consentement : analytics, cookies optionnels, newsletter.
- Obligation légale : conservation des factures (10 ans, Code de commerce).
5. Durée de conservation
- Compte actif : tant que le compte existe.
- Compte supprimé : effacement immédiat des données personnelles ; conservation 30 jours en sauvegarde technique puis purge.
- Transferts : selon la rétention du plan (7, 30, 365 jours) puis suppression automatique.
- Factures : 10 ans (obligation comptable française).
- Logs techniques : 90 jours.
6. Sous-traitants & partenaires
Coffrify recourt à des sous-traitants techniques pour fournir son service (hébergement, paiement, email). La liste complète et les pays d'hébergement sont publiés sur /legal/subprocessors. Tous nos sous-traitants ont signé un DPA (Art. 28 RGPD).
7. Vos droits
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger des informations inexactes.
- Droit à l'effacement (droit à l'oubli) : demander la suppression.
- Droit à la portabilité : récupérer vos données dans un format ouvert.
- Droit d'opposition au traitement (intérêt légitime).
- Droit de retrait du consentement à tout moment.
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr).
Pour exercer ces droits : écrivez à legal@evorax.fr. Réponse sous 1 mois maximum.
8. Cookies & traceurs
Coffrify utilise :
- Des cookies strictement nécessaires (session d'authentification, préférences UI) — pas de consentement requis.
- Des cookies de mesure d'audience anonymisée (sur consentement uniquement, opt-in).
9. Sécurité
Vos fichiers sont chiffrés AES-256 (server-side) ou E2E v1 (zero-knowledge, clé jamais transmise au serveur). Mots de passe hachés bcrypt. TLS 1.3 sur tous les endpoints. Voir /security pour le détail.
10. Transferts hors UE
Vos fichiers et données principales restent dans l'Union européenne (Scaleway Paris pour les fichiers, Supabase Frankfurt pour la base). Quelques sous-traitants opèrent depuis les États-Unis (Vercel, SendGrid) sous couvert des Standard Contractual Clauses (SCC) de la Commission européenne.
11. Engagement Zero AI Training
12. Contact
Toute question concernant cette politique : legal@evorax.fr
Réclamation : CNIL — 3 Place de Fontenoy, 75007 Paris — cnil.fr