Politique de confidentialité

Protection des données (RGPD)

Cette politique explique les rôles, les données traitées et les garanties mises en place dans le cadre des services Lexigard.

Résumé

  • Les organisations clientes sont responsables de traitement pour les signalements.
  • Lexigard agit comme sous-traitant pour le dispositif d'alerte et responsable pour le site, l'onboarding, la facturation et le support.
  • Les données peuvent inclure des informations sensibles communiquées volontairement dans un signalement.
  • Les transferts hors EEE sont encadrés par des garanties contractuelles appropriées.
  • Contact RGPD / DPO : legal@lexigard.fr.
  • Dernière mise à jour : 30 janvier 2026.

1. Champ d'application

Cette politique couvre le site Lexigard, la création de compte, la relation contractuelle et l'usage de la plateforme de signalement par les organisations clientes. Les politiques internes des clients peuvent apporter des précisions complémentaires.

2. Responsables de traitement et rôles

Pour les signalements, l'organisation cliente détermine les finalités et les moyens du traitement : elle est responsable de traitement. Lexigard agit comme sous-traitant et traite les données sur instruction documentée. Pour le site, l'onboarding, la facturation et le support, Lexigard est responsable de traitement.

  • Responsable de traitement (signalements) : organisation cliente.
  • Sous-traitant : Lexigard (plateforme, hébergement et sécurité).
  • Responsable de traitement (site, comptes, facturation) : Lexigard.
  • Coordonnées RGPD : legal@lexigard.fr.

3. Catégories de données traitées

  • Données d'identification : nom, prénom, fonction, e-mail professionnel, téléphone.
  • Données d'organisation : raison sociale, SIRET, adresse, sites et établissements.
  • Données de signalement : contenu, pièces jointes, personnes concernées ou témoins mentionnés.
  • Données sensibles éventuelles : santé, infractions, sanctions ou éléments disciplinaires.
  • Données techniques : logs de sécurité, identifiants de session, horodatages.
  • Données de facturation : abonnement, factures, paiements (paiement opéré par Stripe).
  • Données de support : échanges, tickets et suivis opérationnels.

4. Finalités et bases légales

  • Gestion des signalements : obligations légales des organisations clientes.
  • Création de compte et accès plateforme : exécution du contrat.
  • Facturation et suivi administratif : obligations légales et exécution du contrat.
  • Sécurité, prévention de la fraude et journalisation : intérêt légitime.
  • Support client : exécution du contrat et intérêt légitime.

5. Destinataires et sous-traitants

L'accès aux données est limité aux personnes habilitées : équipes Lexigard en charge du support et de la sécurité, ainsi qu'aux personnes désignées par l'organisation cliente pour traiter les signalements. Lexigard recourt aux sous-traitants techniques suivants, soumis à des engagements contractuels de confidentialité et de sécurité conformes au RGPD :

  • Supabase Inc. (États-Unis) — hébergement base de données et authentification, données stockées en Europe (Frankfurt, AWS eu-central-1) — encadrement : CCT.
  • Vercel Inc. (États-Unis) — hébergement de l'application, région Paris (cdg1) — encadrement : CCT.
  • Stripe Inc. (États-Unis) — traitement des paiements — encadrement : CCT, certification PCI DSS niveau 1.
  • Resend Inc. (États-Unis) — envoi d'e-mails transactionnels — encadrement : CCT.
  • Upstash Inc. (États-Unis) — limitation de débit et file d'attente (Redis) — encadrement : CCT.

CCT = Clauses Contractuelles Types de la Commission Européenne (décision 2021/914).

6. Transferts hors de l'EEE

Lorsque certains prestataires sont situés en dehors de l'EEE, les transferts sont encadrés par des garanties appropriées (clauses contractuelles types ou mécanismes équivalents).

7. Durées de conservation

  • Signalements : durée nécessaire à l'instruction, puis archivage ou suppression selon la politique du client.
  • Comptes administrateurs : durée de la relation contractuelle, puis suppression/anonymisation.
  • Données contractuelles et facturation : archivage selon obligations légales applicables.
  • Données techniques : conservation limitée à la sécurité et à la prévention des incidents.

8. Sécurité et confidentialité

Lexigard applique des mesures techniques et organisationnelles adaptées : chiffrement en transit et au repos, contrôle d'accès, segmentation des rôles, journalisation et surveillance. Les données sont accessibles uniquement aux personnes habilitées.

La confidentialité des identités du lanceur d'alerte et des personnes concernées est préservée. Les divulgations ne peuvent intervenir qu'en cas d'obligation légale ou de demande d'autorité compétente.

9. Droits des personnes

Vous disposez notamment des droits suivants, selon les bases légales applicables :

  • Droit d'information sur le traitement.
  • Droit d'accès et de rectification.
  • Droit à l'effacement (dans les limites légales).
  • Droit d'opposition et de limitation du traitement.
  • Droit à la portabilité des données.
  • Droit de ne pas faire l'objet d'une décision automatisée exclusive.

L'exercice de ces droits peut être encadré par les obligations légales liées au traitement des signalements.

10. Exercice des droits et réclamation

Pour les signalements, adressez votre demande au responsable de traitement (organisation cliente). Pour les données liées au site ou à la relation contractuelle, contactez Lexigard (legal@lexigard.fr). Vous pouvez également introduire une réclamation auprès de la CNIL.

11. Cookies et mesure d'audience

Le site peut utiliser des cookies techniques nécessaires au fonctionnement et, le cas échéant, des cookies de mesure d'audience soumis au consentement. Les choix peuvent être paramétrés dans le navigateur.

12. Mise à jour

Cette politique peut évoluer pour refléter les changements légaux, techniques ou organisationnels. La date de mise à jour est indiquée en tête de page.