Protection des données personnelles
Actelyo SAS est pleinement conforme au Règlement Général sur la Protection des Données (RGPD, UE 2016/679), entré en application le 25 mai 2018. En tant qu'éditeur d'un ERP destiné aux professionnels du droit, nous plaçons la protection des données au cœur de notre architecture et de nos processus.
Nos engagements RGPD
Vos données sont stockées au sein de l'Union européenne (région EU West — Irlande).
Toutes les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256).
Un Délégué à la Protection des Données (DPO) supervise notre conformité.
Nous maintenons un registre complet de l'ensemble de nos activités de traitement (art. 30 RGPD).
Nous ne vendons, ne louons et ne cédons jamais vos données à des tiers commerciaux.
Réponse aux demandes d'exercice de droits dans un délai de 30 jours maximum.
1. Rôles et responsabilités
| Rôle | Entité | Obligations |
|---|---|---|
| Responsable de traitement | Actelyo SAS (pour les données de ses propres utilisateurs et prospects) | Définit les finalités et moyens des traitements |
| Sous-traitant | Actelyo SAS (pour les données saisies par les Clients dans l'ERP) | Traite les données uniquement selon les instructions du Client |
| Responsable de traitement | Le Cabinet client (pour les données de ses propres clients/dossiers) | Définit comment utiliser l'ERP pour gérer ses données |
2. Délégué à la Protection des Données (DPO)
Actelyo a désigné un Délégué à la Protection des Données chargé de superviser la conformité RGPD :
DPO d'Actelyo SAS
Coordonnées : dpo@actelyo.fr
Le DPO est disponible pour répondre à toute question relative à la protection des données personnelles.
3. Accord de traitement des données (DPA)
Conformément à l'article 28 du RGPD, Actelyo conclut avec chaque Client un Accord de Traitement des Données (DPA — Data Processing Agreement). Ce document contractuel formalise :
- La nature et la finalité du traitement ;
- Les catégories de données traitées ;
- Les obligations et droits du responsable de traitement ;
- Les mesures techniques et organisationnelles mises en œuvre ;
- Les conditions d'engagement des sous-traitants ultérieurs.
Le DPA est disponible sur demande à legal@actelyo.fr ou est joint au contrat d'abonnement Enterprise.
4. Sous-traitants engagés
| Sous-traitant | Pays | Service | Garanties RGPD |
|---|---|---|---|
| Supabase Inc. | UE (Irlande) | Base de données & Auth | CCT + DPA |
| Vercel Inc. | UE + USA | Hébergement frontend | CCT |
| Stripe Inc. | USA | Paiements | CCT + certifié PCI DSS |
| Resend / SendGrid | USA | E-mails transactionnels | CCT |
Actelyo s'assure que chaque sous-traitant présente des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées (art. 28 RGPD).
5. Mesures de sécurité (art. 32 RGPD)
- Chiffrement AES-256 des données au repos et TLS 1.3 en transit ;
- Authentification multi-facteurs (MFA) disponible et encouragée ;
- Contrôle d'accès basé sur les rôles (RBAC) ;
- Journalisation et audit de toutes les actions sensibles ;
- Sauvegardes chiffrées quotidiennes avec rétention 30 jours ;
- Politique de gestion des vulnérabilités et tests de pénétration annuels ;
- Plan de continuité d'activité (PCA) et de reprise après sinistre (PRA) ;
- Formation obligatoire de tous les collaborateurs à la sécurité des données.
6. Vos droits — procédure de demande
Pour exercer vos droits (accès, rectification, effacement, portabilité, opposition, limitation), suivez les étapes suivantes :
Par e-mail à dpo@actelyo.fr avec l'objet « Exercice de droits RGPD ».
Un justificatif d'identité valide pour vérifier votre identité et prévenir toute usurpation.
Vous recevrez un accusé de réception sous 72 heures.
Nous répondons à votre demande dans un délai d'un mois (pouvant être prolongé de deux mois pour les demandes complexes).
7. Notification des violations de données (art. 33-34 RGPD)
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes :
- Notification à la CNIL dans les 72 heures suivant la découverte de la violation ;
- Notification aux personnes concernées sans délai injustifié lorsque la violation présente un risque élevé ;
- Documentation interne de toutes les violations, qu'elles soient notifiées ou non.
Si vous détectez une faille de sécurité potentielle, contactez immédiatement : security@actelyo.fr
8. Analyse d'impact relative à la protection des données (AIPD)
Actelyo réalise des Analyses d'Impact (DPIA — Data Protection Impact Assessment) pour tout nouveau traitement susceptible d'engendrer un risque élevé pour les droits et libertés, notamment en ce qui concerne le traitement de données juridiques sensibles.
9. Contact et réclamations
Pour toute question RGPD : dpo@actelyo.fr
Pour introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3, Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
www.cnil.fr/fr/plaintes