Politique de confidentialité
Dernière mise à jour : 11 mars 2026 · Pli Scellé
La présente politique de confidentialité décrit comment Pli Scellé collecte, utilise, traite et protège vos données personnelles. Elle s'applique à tous les utilisateurs du Service et est conforme au Règlement Général sur la Protection des Données (RGPD, UE 2016/679), au Code monétaire et financier français (titre IV, articles L. 341-1 et suivants), et à la loi Informatique et Libertés (loi n° 2004-801 du 6 août 2004, modifiée par la loi du 20 juin 2018).
1. Responsable du traitement et Délégué à la Protection des Données
Responsable du traitement :
SHPV FRANCE SAS, SIRET 808 862 874 00035, RCS Chalon-sur-Saône, TVA FR65808862874
52 Rue Romain Rolland, 71230 Saint-Vallier, France
Capital : 16 000 € · APE 6110Z
Représentant légal : Guillaume PUTIER
Délégué à la Protection des Données (DPO) :
Contactez-nous à support@pliscelle.com pour toute question relative à la confidentialité ou pour exercer vos droits.
2. Données collectées et base légale
| Catégorie | Données | Base légale |
|---|---|---|
| Compte utilisateur | Nom, prénom, adresse e-mail, mot de passe (hashé avec scrypt) | Exécution du contrat (art. 6.1.b RGPD) |
| Partages et contenus | Fichiers chiffrés en AES-256, mots de passe chiffrés, métadonnées (date création, expiration, nombre de vues, paramètres d'accès) | Exécution du contrat (art. 6.1.b RGPD) |
| Journaux d'accès | Adresse IP, user-agent, horodatage, type d'action, résultats d'accès | Intérêt légitime (sécurité, détection fraude) — art. 6.1.f RGPD |
| Journaux d'audit | Historique complet des actions par utilisateur, changements de paramètres, accès admin | Intérêt légitime (conformité légale, enquêtes) — art. 6.1.f RGPD |
| Facturation et paiements | Données de paiement (via Stripe), historique d'abonnement, factures | Exécution du contrat + obligation légale (10 ans) — art. 6.1.b et 6.1.c RGPD |
| Authentification renforcée | Secret TOTP (2FA), clés WebAuthn/Passkeys, historique d'authentification | Exécution du contrat + intérêt légitime (sécurité) — art. 6.1.b et 6.1.f RGPD |
| Cookies et technologies similaires | Cookie de session, cookie de préférence linguistique (NEXT_LOCALE), cookie de thème (pliscelle_theme) | Intérêt légitime (fonctionnement du service) — art. 6.1.f RGPD |
| Violation de données | Informations relatives à une violation (date, type, étendue, mesures prises) | Obligation légale (art. 33-34 RGPD), intérêt légitime (notification) |
3. Finalités du traitement
Vos données personnelles sont traitées pour :
- Fourniture et gestion du Service de partage sécurisé de fichiers et mots de passe
- Authentification, gestion de compte et sécurisation de l'accès
- Facturation, gestion des abonnements et traitement des paiements
- Détection et prévention des fraudes, abus et activités illicites
- Audit de sécurité, investigations et maintien de la conformité légale
- Amélioration du Service par le biais de statistiques agrégées et anonymisées
- Communication avec vous concernant votre compte, les incidents ou les mises à jour
- Conformité avec les obligations légales et réglementaires françaises et européennes
4. Durées de conservation
| Type de donnée | Durée de conservation |
|---|---|
| Compte utilisateur (identité, email, mot de passe hashé) | Supprimé immédiatement à la suppression du compte |
| Partages (fichiers et mots de passe, chiffrés ou non) | Supprimés automatiquement et irréversiblement à l'expiration programmée (maximum 7 jours) ou après consommation du nombre de vues |
| Journaux de connexion (adresse IP, user-agent, horodatage) | 1 an (obligation légale — article 6 II de la LCEN). Communicables aux autorités judiciaires sur réquisition |
| Journaux d'audit organisationnels | 365 jours par défaut (configurable par organisation) |
| Données de facturation et factures | 10 ans (obligation légale — article L123-22 du code de commerce) |
| Secret TOTP et clés WebAuthn | Durée active du compte, supprimés à la suppression du compte |
| Cookies de session | Supprimés à la déconnexion ou après 30 jours d'inactivité |
5. Chiffrement et sécurité des données
SHPV FRANCE SAS met en œuvre les mesures de sécurité techniques et organisationnelles suivantes conformément aux meilleures pratiques de l'industrie :
- Chiffrement au repos : AES-256 pour tous les fichiers et mots de passe stockés sur nos serveurs
- Chiffrement en transit : TLS 1.2+ obligatoire pour tous les échanges client-serveur (HTTPS)
- Hachage des mots de passe : algorithme scrypt avec salt cryptographiquement aléatoire
- Mode Zero-Knowledge (E2E) : chiffrement côté client avant envoi au serveur ; le serveur ne voit jamais le plaintext ; la clé de déchiffrement reste uniquement côté client dans le fragment URL
- Authentification renforcée : support TOTP (RFC 6238), WebAuthn/Passkeys (W3C standard)
- Antivirus : tous les fichiers uploadés sont analysés par ClamAV (sauf en mode E2E où le serveur ne peut pas déchiffrer les contenus)
- Sécurité du périmètre : pare-feu applicatif (WAF), rate limiting, protection contre les attaques par force brute
- Audit et monitoring : logs structurés Pino, alertes en temps réel, surveillance des accès anomalies
- Tests de sécurité : audits réguliers, tests de pénétration périodiques, gestion des vulnérabilités
Malgré ces mesures, aucun système n'est 100% sécurisé. SHPV FRANCE SAS ne peut garantir la sécurité absolue des données transmises en ligne.
6. Sous-traitants et transferts de données
| Sous-traitant | Finalité | Localisation | Cadre juridique |
|---|---|---|---|
| Stripe Inc. | Traitement des paiements, gestion des abonnements | États-Unis (siège social) | Clauses Contractuelles Types (SCC) approuvées par la Commission européenne |
| Sweego (Netmessage SAS) | Envoi d'e-mails transactionnels (confirmations, alertes) | France | Conformité RGPD — siège social en France |
Transferts hors UE : Vos données sont hébergées et traitées en France (datacenters à Toulouse, Bordeaux, Saint-Vallier). Seul Stripe, en tant que sous-traitant de paiement agréé, peut transférer des données limités aux États-Unis dans le cadre de clauses contractuelles types. Ces SCCs incluent les mécanismes de protection supplémentaires exigées par la jurisprudence européenne suite à l'arrêt Schrems II (CJUE C-311/18).
7. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) — Obtenir une copie de toutes vos données personnelles dans un format lisible
- Droit de rectification (art. 16) — Corriger des données inexactes, incomplètes ou obsolètes
- Droit à l'effacement (art. 17 « droit à l'oubli ») — Demander la suppression de vos données sauf obligations légales de conservation
- Droit à la limitation du traitement (art. 18) — Demander le blocage temporaire de vos données
- Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV) pour les transférer ailleurs
- Droit d'opposition (art. 21) — Vous opposer au traitement de vos données pour intérêt légitime (sauf obligation légale)
- Droit relatif à la prise de décision automatisée (art. 22) — Ne pas être soumis à une décision basée uniquement sur un traitement automatisé
- Retrait du consentement — Retirer votre consentement à tout moment pour les traitements reposant sur celui-ci
8. Exercice de vos droits
Pour exercer vos droits, envoyez une demande écrite à : support@pliscelle.com
Veuillez inclure :
- Votre nom et adresse e-mail associée au compte
- Une description claire de votre demande
- Une copie de votre pièce d'identité (pour vérifier votre identité)
Délai de réponse : SHPV FRANCE SAS s'engage à répondre dans un délai de 30 jours calendaires (Art. 12 RGPD), extensible de deux mois en cas de demande complexe ou volumineuse.
9. Violation de données personnelles
En conformité avec les articles 33 et 34 du RGPD, SHPV FRANCE SAS s'engage à :
- Notifier la CNIL sans délai injustifié et au maximum 72 heures après découverte d'une violation de données personnelles
- Informer les personnes concernées sans délai injustifié si la violation présente un risque élevé pour les droits et libertés des personnes
- Documenter toute violation avec : date, nature des données, catégories et nombre de personnes, durée estimée du problème, mesures correctives prises
- Maintenir un registre des violations à disposition de la CNIL
Contact violation : En cas de suspicion de violation de données, contactez immédiatement : support@pliscelle.com
10. Cookies et technologies similaires
Pli Scellé utilise uniquement des cookies strictement nécessaires :
- Cookie de session — Maintien de votre authentification auprès du Service
Propriétés : httpOnly (non accessible par JavaScript), secure (HTTPS uniquement), SameSite=Lax (protection CSRF) - Préférence linguistique (NEXT_LOCALE) — Mémorisation de votre choix de langue (français/anglais) entre les sous-domaines du Service
Durée : 1 an, non httpOnly, SameSite=Lax - Préférence de thème (pliscelle_theme) — Mémorisation de votre choix d'affichage clair/sombre entre les sous-domaines du Service
Durée : 1 an, non httpOnly, SameSite=Lax
Monitoring technique : Pli Scellé peut utiliser des outils de monitoring technique (surveillance des erreurs, mesure de performance) afin de garantir la qualité et la disponibilité du Service. Ces outils collectent des données techniques anonymisées (type d'erreur, temps de chargement, identifiant de session aléatoire non relié à votre compte). Ces données sont utilisées exclusivement à des fins de maintenance et d'amélioration technique du Service, et ne sont jamais partagées avec des tiers. Base légale : intérêt légitime (art. 6.1.f RGPD).
Absence de tracking marketing : SHPV FRANCE SAS n'utilise pas de :
- Cookies ou pixels de tracking (Google Analytics, Hotjar, etc.)
- Cookies publicitaires ou de retargeting
- Services d'analyse comportementale tiers
- Outils de profilage ou de revente de données
Conformément à l'article 82 de la loi Informatique et Libertés (modifiée), les cookies strictement nécessaires n'exigent pas de bandeau de consentement. Vous pouvez supprimer les cookies depuis les paramètres de votre navigateur à tout moment.
11. Transferts hors de l'Union Européenne
Hébergement des données : Tous vos données sont hébergées en France métropolitaine (datacenters situés à Toulouse, Bordeaux et Saint-Vallier) conformément aux standards de sécurité français et européens.
Seule exception : Stripe Inc., sous-traitant de paiement, peut traiter des données non-sensibles (historique d'abonnement, montants facturés) aux États-Unis dans le cadre des :
- Clauses Contractuelles Types (SCC) conformes à la décision 2021/914 de la Commission européenne
- Dispositions contractuelles supplémentaires garantissant un niveau de protection équivalent au RGPD
Stripe a implémenté les mesures techniques exigées par la jurisprudence Schrems II (CJUE C-311/18), notamment : chiffrement de bout en bout, isolement des données, transparence sur les accès gouvernementaux.
12. Profilage et prise de décision automatisée
SHPV FRANCE SAS ne procède pas à du profilage automatisé ou de prise de décision automatisée basée sur vos données (scoring, classification automatique, recommandations individualisées algorithmiques). Les seuls traitements automatisés sont :
- Détection d'abus et fraude (pare-feu applicatif, rate limiting) — vous conservez le droit d'opposition
- Suppression automatique à expiration programmée — prévu dans les conditions d'utilisation
13. Modifications de cette politique
SHPV FRANCE SAS se réserve le droit de modifier cette politique de confidentialité à tout moment. Les modifications substantielles vous seront notifiées par e-mail au moins 30 jours avant leur entrée en vigueur.
La date de dernière mise à jour de cette politique est indiquée en haut de cette page. Votre poursuite d'utilisation du Service après notification équivaut à l'acceptation des modifications.
14. Réclamation auprès d'une autorité de contrôle
Vous avez le droit d'introduire une réclamation auprès de l'autorité de protection des données de votre pays :
- France : CNIL (Commission Nationale de l'Informatique et des Libertés) (ouvre un nouvel onglet) — 3 Place de Fontenoy, 75007 Paris — Tél. +33 1 53 73 22 22
- Autres pays UE : Votre autorité de contrôle locale (voir EDPB (ouvre un nouvel onglet))
15. Contact et support
Pour toute question, demande d'exercice de droits, ou signalement relatif à la confidentialité, contactez :
- E-mail : support@pliscelle.com
- Adresse postale : SHPV FRANCE SAS, 52 Rue Romain Rolland, 71230 Saint-Vallier, France
- SIRET : 808 862 874 00035 — RCS Chalon-sur-Saône — TVA : FR65808862874