1. Responsable du traitement

2. Données collectées

Dans le cadre de la fourniture du Service, DocuForge est susceptible de collecter les catégories de données suivantes :

2.1 Données de compte et de contact

• Nom, prénom, adresse email professionnelle

• Nom de l'organisation, secteur d'activité

• Numéro de téléphone (optionnel)

• Identifiants de connexion (email + hash du mot de passe)

2.2 Données d'utilisation

• Journaux de connexion (adresse IP, horodatage, navigateur)

• Journaux d'activité API (correlation ID, endpoints appelés, résultats)

• Statistiques d'usage (nombre de documents générés, types de templates utilisés)

2.3 Données de facturation

• Informations de facturation (nom, adresse, TVA)

• Historique des paiements (aucune carte bancaire n'est stockée — traitement délégué à Stripe)

2.4 Données traitées pour le compte du Client (sous-traitance)

Les données personnelles contenues dans les documents générés par le Client via l'API DocuForge sont traitées par DocuForge en qualité de sous-traitant. Le Client en demeure le responsable de traitement. Ces données sont régies par le DPA disponible à l'adresse /legal/dpa.

3. Finalités et bases légales

4. Durées de conservation

5. Destinataires des données

Les données sont accessibles aux seuls membres habilités de l'équipe DocuForge dans le cadre de leurs fonctions. Elles peuvent être transmises aux sous-traitants suivants, soumis à des engagements de confidentialité et de sécurité :

• Hébergement : Infrastructure cloud européenne (UE / EEE)

• Paiement : Stripe (certifié PCI DSS — données de carte non transmises à DocuForge)

• Email transactionnel : Prestataire SMTP (notifications automatiques)

• Monitoring : Outils d'observabilité (logs, métriques — données pseudonymisées)

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

6. Transferts hors UE

DocuForge s'engage à héberger et traiter les données de ses Clients au sein de l'Union Européenne ou de l'Espace Économique Européen. Tout transfert en dehors de l'UE/EEE est encadré par des garanties appropriées (clauses contractuelles types de la Commission Européenne, décision d'adéquation).

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès — obtenir une copie de vos données.

• Droit de rectification — corriger des données inexactes ou incomplètes.

• Droit à l'effacement — demander la suppression de vos données (« droit à l'oubli »).

• Droit à la limitation — restreindre le traitement dans certains cas.

• Droit à la portabilité — recevoir vos données dans un format structuré et lisible.

• Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.

• Retrait du consentement — à tout moment pour les traitements basés sur votre consentement.

Pour exercer vos droits, contactez notre Délégué à la Protection des Données (DPO) à dpo@docuforge.io. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

8. Sécurité

DocuForge met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, destruction ou divulgation :

• Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256).

• Authentification multi-facteurs pour l'accès aux systèmes critiques.

• Journaux d'audit immuables horodatés.

• Signature numérique qualifiée des documents.

• Tests de sécurité réguliers (pentest, revues de code).

• Cloisonnement strict des données entre tenants (multi-tenant isolation).

9. Cookies

Le site DocuForge utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session, authentification). Aucun cookie publicitaire ou tracker tiers n'est utilisé sur la plateforme.

10. Modifications

Cette politique peut être mise à jour périodiquement. Toute modification substantielle sera notifiée aux utilisateurs par email avec un préavis de 30 jours. La version en vigueur est toujours accessible à cette adresse.