Politique de confidentialité

Attorly assume deux rôles au regard du RGPD selon le type de données. Pour les informations de compte (nom, e-mail, données de facturation, journaux d'utilisation, messages d'assistance), Getia AS agit en qualité de responsable du traitement et détermine les finalités et les moyens du traitement. Pour les documents, projets et autres contenus que vous téléversez afin d'effectuer un travail juridique (le « Contenu Client »), Getia AS agit en qualité de sous-traitant pour le compte de vous-même ou de votre organisation ; un contrat de sous-traitance (DPA) encadre cette relation et est disponible sur /dpa.

Nous collectons : (a) des données d'identification et de compte (nom, e-mail, empreinte du mot de passe, organisation, rôles dans l'espace de travail, langue choisie) ; (b) des données de facturation (pays, numéro de TVA le cas échéant, statut de l'abonnement, statut de l'essai, historique des factures — les coordonnées bancaires complètes sont détenues par Stripe et non par Attorly) ; (c) le Contenu Client que vous téléversez (documents, projets, notes, événements de chronologie, recherches) ; (d) les données techniques nécessaires à l'exploitation du service (adresse IP, cookies de session, journaux d'audit des actions significatives, géolocalisation au niveau pays fournie par Cloudflare pour la sélection de la devise et la prévention de la fraude) ; (e) les communications que vous adressez à l'assistance. Nous ne collectons pas de données sensibles de catégories particulières sauf si elles figurent dans le Contenu Client, auquel cas nous les traitons uniquement selon vos instructions.

Nous traitons vos données pour : (a) fournir le service (art. 6(1)(b) du RGPD, exécution du contrat) ; (b) respecter des obligations légales, notamment fiscales et comptables (art. 6(1)(c)) ; (c) vous envoyer des e-mails transactionnels relatifs à votre compte, à la facturation et aux mises à jour critiques du service (art. 6(1)(b) et (f)) ; (d) sécuriser le service et prévenir les abus (art. 6(1)(f), intérêt légitime) ; (e) améliorer le service grâce à des analyses agrégées et anonymisées (art. 6(1)(f)) ; et (f) vous adresser des communications marketing lorsque nous disposons de votre consentement (art. 6(1)(a)), que vous pouvez retirer à tout moment. Le Contenu Client est traité par nos sous-traitants ultérieurs IA (listés sur la page des sous-traitants ultérieurs) uniquement pour produire le résultat que vous demandez. Nous n'utilisons pas le Contenu Client pour entraîner nos propres modèles d'IA ni ceux de tiers.

Les données de compte sont conservées tant que votre compte est actif. À la clôture du compte, nous supprimons les données de compte et le contenu client dans un délai de 30 jours, sauf si une conservation plus longue est requise par la loi ou nécessaire pour résoudre des litiges. Les factures et les relevés de paiement sont conservés pendant la durée requise par la loi norvégienne sur la comptabilité (bokføringsloven) (actuellement 5 ans à compter de la fin de l'exercice comptable). Les journaux de paiements échoués et de prévention de la fraude sont conservés jusqu'à 12 mois. Les journaux d'audit des actions administratives et du panneau d'administration sont conservés pendant 2 ans (Art. 32 sécurité). Les données analytiques sont conservées sous forme agrégée et anonymisée. Le calendrier complet de conservation est publié dans notre Accord de traitement des données.

Nous mettons en œuvre des mesures de chiffrement et de sécurité conformes aux standards du secteur. Le Contenu Client et les champs sensibles sont chiffrés au repos au moyen d'un chiffrement authentifié (AES-256-GCM) ; nous prenons en charge le chiffrement BYOK (apportez votre propre clé) sur les plans éligibles. L'ensemble du trafic réseau est chiffré en transit avec TLS 1.2 ou supérieur. L'accès aux données de production est limité à des ingénieurs nommés, protégé par authentification multifacteur et intégralement journalisé. Nous exécutons en continu des analyses de vulnérabilité automatisées et suivons une procédure de divulgation responsable ; signalez tout problème de sécurité à security@attorly.ai.

Nous ne vendons jamais vos données personnelles. Nous ne les partageons qu'avec des sous-traitants ultérieurs nécessaires à la fourniture du service, en vertu de contrats écrits de sous-traitance qui reproduisent les engagements que nous prenons envers vous. La liste à jour est publiée sur /subprocessors et actualisée au moins 30 jours avant toute modification substantielle. Les transferts vers des sous-traitants ultérieurs situés hors de l'EEE sont encadrés par des clauses contractuelles types (SCCs), par le cadre de protection des données EU–US Data Privacy Framework lorsqu'il s'applique, ou par un autre mécanisme légal de transfert, assortis de mesures supplémentaires telles que le chiffrement et le contrôle des accès (Schrems II).

En vertu du GDPR, vous avez le droit d'accéder à vos données personnelles, de les rectifier, de les supprimer, de les transférer et d'en limiter le traitement, de vous opposer au traitement fondé sur des intérêts légitimes et de retirer tout consentement donné. Vous pouvez exercer la plupart de ces droits directement depuis les paramètres de votre compte (exporter les données, fermer le compte). Pour toute autre demande, ou si vous n'êtes pas satisfait de notre réponse, contactez privacy@attorly.ai — nous répondons sous 30 jours. Vous avez le droit de déposer une réclamation auprès d'une autorité de contrôle, y compris l'Autorité norvégienne de protection des données (Datatilsynet) sur datatilsynet.no.

Nous utilisons des cookies strictement nécessaires (session d'authentification, protection CSRF, préférence de consentement aux cookies) qui ne requièrent pas de consentement. Les cookies analytiques optionnels ne sont déposés qu'avec votre consentement exprès via la bannière cookies. Vous pouvez modifier vos préférences à tout moment depuis le lien de gestion des cookies présent dans le pied de page du site.

Attorly est une plateforme juridique B2B qui n'est pas destinée aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants. Si vous pensez qu'un enfant nous a communiqué des données personnelles, écrivez à privacy@attorly.ai et nous les supprimerons.

Nous pouvons faire évoluer la présente politique de confidentialité. Pour les modifications substantielles, nous vous en informerons par e-mail et dans le produit au moins 30 jours avant leur entrée en vigueur. Pour les clarifications, corrections typographiques ou mises à jour imposées par la loi, nous pouvons mettre en ligne l'actualisation immédiatement.

Pour toute question relative à la confidentialité, écrivez à privacy@attorly.ai. Responsable du traitement : Getia AS, Oslo, Norvège. Nous répondons généralement dans un délai de 30 jours. Nous n'avons pas désigné de délégué à la protection des données, n'y étant pas tenus en application de l'art. 37 du RGPD, mais l'adresse privacy@attorly.ai permet de joindre la personne en charge de la protection des données au sein de Getia AS.