1. Responsable du traitement
Le responsable du traitement des données collectées sur le site Gestios est :
LEHAGRE Patrick
1 allée du Gate Soie - 37390 CHARENTILLY
Contact : Formulaire de contact
2. Données collectées
Dans le cadre de l'utilisation du service, les catégories de données suivantes sont susceptibles d'être collectées :
- Données d'identification du Client : nom, prénom, adresse de messagerie électronique, numéro de téléphone, dénomination sociale, adresse postale.
- Données d'identification des signataires : nom, prénom, adresse de messagerie électronique, numéro de téléphone portable.
- Données de connexion et d'usage : adresse IP, type de navigateur (user agent), horodatage des actions (consultation, signature, refus), journaux d'audit.
- Données documentaires : documents PDF soumis à la signature, empreinte numérique SHA-256, données de signature manuscrite tracée.
- Données d'authentification : codes OTP à usage unique transmis par SMS ou courriel (stockés sous forme de condensat cryptographique, jamais en clair).
3. Finalités et base légale du traitement
| Finalité | Base légale |
|---|---|
| Exécution du service de signature électronique | Exécution du contrat (art. 6.1.b RGPD) |
| Vérification de l'identité des signataires par OTP | Exécution du contrat (art. 6.1.b RGPD) |
| Constitution du dossier de preuve (audit trail) | Intérêt légitime (art. 6.1.f RGPD) |
| Gestion du compte client et facturation | Exécution du contrat (art. 6.1.b RGPD) |
| Envoi de notifications relatives au service | Exécution du contrat (art. 6.1.b RGPD) |
| Amélioration et sécurisation de la plateforme | Intérêt légitime (art. 6.1.f RGPD) |
| Respect des obligations légales et fiscales | Obligation légale (art. 6.1.c RGPD) |
4. Durée de conservation
- Données de compte actif : conservées pendant toute la durée de la relation contractuelle, puis trente (30) jours après la clôture du compte.
- Documents signés et dossiers de preuve : conservés pendant la durée définie par le Client dans ses paramètres, avec un maximum de dix (10) ans conformément aux prescriptions légales applicables en matière de preuve électronique.
- Codes OTP : supprimés automatiquement après vérification ou à expiration du délai de validité (dix minutes).
- Journaux d'audit : conservés pendant la même durée que le document associé.
- Données de facturation : conservées pendant dix (10) ans conformément aux obligations comptables et fiscales.
5. Destinataires des données
Les données personnelles sont accessibles exclusivement aux personnes et entités suivantes :
- Le personnel habilité du Prestataire, dans la stricte limite de leurs attributions.
- Les sous-traitants techniques participant à la fourniture du service :
- IONOS SARL (7, place de la Gare, 57200 Sarreguemines, France) — hébergement de l'infrastructure serveur.
- OVHcloud — acheminement des SMS d'authentification OTP (France).
- Les autorités administratives ou judiciaires, dans les cas prévus par la loi.
6. Transferts hors Union européenne
Aucun transfert de données personnelles en dehors de l'Union européenne n'est effectué. L'ensemble de l'infrastructure technique (serveurs, bases de données, services SMS) est localisé en France. Le code source de la plateforme est intégralement développé et hébergé en France.
7. Sécurité des données
Le Prestataire met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données, notamment :
- Chiffrement des communications par protocole TLS 1.3.
- Stockage des mots de passe par hachage cryptographique irréversible (bcrypt).
- Stockage des codes OTP par condensat SHA-256 (jamais en clair).
- Intégrité des documents vérifiée par empreinte SHA-256.
- Chaînage cryptographique SHA-256 des journaux d'audit : chaque entrée est liée à la précédente, rendant toute modification ou suppression immédiatement détectable.
- Vérification automatique de l'intégrité de la chaîne d'audit lors de la génération du dossier de preuve.
- Accès aux données restreint par architecture multi-tenant avec cloisonnement logique.
- Jetons d'accès temporaires pour les signataires externes (aucun mot de passe requis).
8. Droits des personnes concernées
Conformément au Règlement Général sur la Protection des Données et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir la confirmation du traitement de vos données et en recevoir une copie.
- Droit de rectification : faire corriger les données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation : demander la suspension du traitement dans les cas prévus par la réglementation.
- Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé.
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime du Prestataire.
Pour exercer ces droits, adressez votre demande accompagnée d'un justificatif d'identité via notre formulaire de contact. Une réponse vous sera apportée dans un délai d'un mois à compter de la réception de la demande. En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr.
9. Cookies
Le site Gestios utilise exclusivement des cookies techniques indispensables au fonctionnement du service : cookie de session d'authentification et jeton CSRF de protection contre les attaques par falsification de requêtes. Aucun cookie publicitaire, analytique ou de suivi n'est utilisé. Ces cookies techniques ne nécessitent pas de consentement préalable conformément aux recommandations de la CNIL.
10. Modification de la politique
Le Prestataire se réserve le droit de modifier la présente politique de confidentialité à tout moment pour l'adapter aux évolutions réglementaires ou aux modifications du service. Toute modification substantielle sera notifiée aux Clients par voie électronique. La date de dernière mise à jour est indiquée en bas de page.
Dernière mise à jour : 24/04/2026