Politique de confidentialité
Cette politique décrit comment Documail collecte et traite les données personnelles dans le cadre de son service. Elle complète les CGU et l'Accord de sous-traitance RGPD.
Dernière mise à jour : 1ᵉʳ juin 2026
1. Périmètre — deux rôles distincts
Documail intervient à deux titres différents selon les données concernées :
- Responsable de traitement pour les données nécessaires à la fourniture du Service (compte, facturation, support, sécurité, statistiques).
- Sous-traitant au sens de l'article 28 du RGPD pour les données contenues dans les Documents que le Client dépose sur la plateforme. Le Client reste responsable de traitement de ces données. Les modalités de cette sous-traitance sont décrites dans l'Accord de sous-traitance RGPD.
La présente politique porte sur le premier rôle. L'article 4 résume le second pour information.
2. Données traitées pour le compte de Documail
2.1 Catégories de données
- Identité et compte : prénom, nom, adresse e-mail de connexion, mot de passe (haché), préférences linguistiques, rôles et permissions.
- Facturation : nom et raison sociale, SIRET, TVA, adresse de facturation, historique des paiements (montants, dates, statuts). Le détail bancaire est exclusivement géré par Stripe et n'est jamais stocké par Documail.
- Support : contenu des échanges (e-mails reçus à support@documail.fr, fil de conversation).
- Sécurité : journaux de connexion (date, IP, user-agent), tentatives de connexion échouées, codes 2FA consommés.
- Métadonnées d'usage : compteurs de consommation (documents organisés, analyses, relances) pour la facturation et l'application des plafonds du Forfait.
2.2 Finalités, bases légales et durées
| Finalité | Base légale | Durée |
|---|---|---|
| Création et gestion du compte | Exécution du contrat | Durée de la relation + 12 mois |
| Facturation et comptabilité | Obligation légale | 10 ans (Code de commerce, art. L.123-22) |
| Support technique | Exécution du contrat | 3 ans après dernier échange |
| Sécurité et lutte contre la fraude | Intérêt légitime | 12 mois (logs) |
| Mesure d'usage et amélioration du Service (statistiques agrégées, sans contenu des Documents) | Intérêt légitime | 36 mois (agrégées et anonymisées au-delà du cycle de facturation) |
| Communication produit (newsletter, optionnelle) | Consentement | Jusqu'au retrait du consentement |
2.3 Destinataires
Les données ci-dessus sont accessibles, dans la stricte mesure de leurs missions, à :
- les personnels habilités de Documail ;
- les sous-traitants techniques listés sur la page Sous-traitants (hébergement, paiement, e-mail transactionnel).
Aucune donnée n'est revendue à des tiers à des fins commerciales.
3. Cookies
Documail n'utilise que des cookies strictement nécessaires au fonctionnement du Service, dispensés de consentement au sens de l'article 82 de la loi Informatique et libertés. Aucun cookie de mesure d'audience tiers, de profilage ou de publicité n'est posé, ni sur le site marketing (documail.fr) ni sur le portail client (app.documail.fr).
| Nom | Finalité | Durée |
|---|---|---|
client_session |
Maintien de la session authentifiée (cookie signé HMAC). | Durée de la session |
client_2fa_pending |
Étape intermédiaire entre la saisie du mot de passe et la validation 2FA. | Quelques minutes |
client_2fa_trusted |
Reconnaissance d'un appareil de confiance après une 2FA réussie (évite de redemander le code). | 30 jours |
client_signup_pending |
Lien entre la création de compte et la saisie du code de confirmation reçu par e-mail. | Durée limitée du tunnel d'inscription |
client_workspace_pick |
Sélection d'un Espace lorsqu'un même e-mail est associé à plusieurs Espaces. | Quelques minutes |
pocagency_remembered_login_email |
Pré-remplissage de l'e-mail sur la page de connexion (case « Se souvenir »). | Jusqu'au retrait ou à la déconnexion |
pocagency_pending_referral |
Conservation du token de parrainage entre la page d'invitation et la création du Compte. | Durée limitée du tunnel d'inscription |
Tous ces cookies sont émis depuis le domaine de Documail
(cookies de première partie), assortis des attributs
HttpOnly, Secure et
SameSite=Lax. Ils peuvent être supprimés à tout
moment depuis les réglages du navigateur ; cette suppression
entraînera la déconnexion et la perte temporaire des
fonctionnalités associées.
4. Données contenues dans les Documents — sous-traitance
Pour les données personnelles que le Client charge dans ses Documents (par exemple : noms, dates de naissance, adresses, montants présents dans des fiches de paie, CNI, avis d'imposition), Documail agit en qualité de sous-traitant. Le Client demeure responsable de traitement.
Les modalités de cette sous-traitance, incluant les sous-traitants ultérieurs, les mesures de sécurité, l'assistance aux demandes de droits, les notifications de violation et le sort des données en fin de contrat, sont décrites dans l'Accord de sous-traitance RGPD (DPA).
5. Transferts hors UE
Les Documents sont stockés dans l'Union européenne (S3 en région eu-west-1 / Irlande, base de données et application sur serveur IONOS France — cf. Sous-traitants). Certains traitements techniques nécessaires au Service, notamment les traitements IA, peuvent impliquer un accès ou un transfert hors UE encadré par les garanties décrites ci-dessous.
Les traitements d'intelligence artificielle sont opérés par OpenAI Ireland Ltd (Dublin, Irlande), entité de traitement pour l'Union européenne. Un transfert technique vers la maison-mère OpenAI L.L.C. aux États-Unis peut intervenir et est encadré par les clauses contractuelles types adoptées par la Commission européenne, ainsi que par la certification d'OpenAI au EU-US Data Privacy Framework (DPF).
Les engagements contractuels d'OpenAI envers Documail incluent l'absence d'utilisation des contenus transmis via API à des fins d'entraînement de modèles. Les données transmises peuvent être conservées temporairement par OpenAI, notamment à des fins de sécurité et de détection d'abus, selon les conditions applicables à l'API utilisée — en principe jusqu'à 30 jours, sauf configuration spécifique, obligation légale ou option contractuelle particulière. Une option Zero Data Retention peut être étudiée pour les Clients sensibles.
Documail tient à la disposition du Client, sur demande écrite raisonnable adressée à support@documail.fr, les éléments d'évaluation disponibles relatifs à ces transferts hors EEE (mécanismes de transfert applicables, garanties techniques et contractuelles), dans la limite des informations contractuelles obtenues auprès des sous-traitants concernés. Le détail des modalités figure à l'article 6 de l'Accord de sous-traitance RGPD (DPA).
6. Droits des personnes
Conformément au RGPD, vous disposez des droits suivants :
- droit d'accès aux données traitées ;
- droit de rectification des données inexactes ;
- droit à l'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation ;
- droit à la limitation du traitement ;
- droit à la portabilité des données ;
- droit d'opposition pour motifs légitimes ;
- droit de retirer son consentement à tout moment lorsque le traitement est fondé sur le consentement ;
- droit de définir des directives relatives au sort de ses données après son décès.
Ces droits peuvent être exercés à tout moment auprès de Documail à support@documail.fr. Une réponse vous sera apportée dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe.
Vous disposez également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr.
7. Sécurité
Les mesures techniques et organisationnelles mises en œuvre pour protéger les données sont décrites dans l'Annexe sécurité : chiffrement en transit (TLS 1.2+) et au repos, contrôle d'accès, journalisation, sauvegardes, gestion des incidents.
8. Modifications
La présente politique peut être mise à jour à tout moment pour refléter les évolutions du Service, des sous-traitants ou de la réglementation. Les changements substantiels sont notifiés aux Utilisateurs par e-mail au moins 30 jours avant leur entrée en vigueur.
Une question sur vos données ?
Écrivez-nous à support@documail.fr.