Politique de confidentialité | Lexlane

Sommaire

Engagement de transparence : Lexlane est conçu pour les avocats. Nous comprenons l'importance du secret professionnel et de la confidentialité des données. Cette politique détaille précisément comment vos données sont collectées, traitées et protégées.

1. Responsable du traitement des données

Responsable : MAHI RIAD (Entrepreneur individuel)

SIREN : 918 773 755

SIRET : 918 773 755 00023

Adresse : 74 Allée des Ifs, 73220 Aiton, France

Email DPO : support@lexlane.fr

Support : support@lexlane.fr

2. Données personnelles collectées

Dans le cadre de l'utilisation de Lexlane, nous collectons différentes catégories de données :

2.1 Données d'identification du cabinet

• Nom et prénom du/des avocat(s)
• Adresse email professionnelle
• Numéro de téléphone professionnel
• Dénomination du cabinet
• Numéro SIRET du cabinet
• Numéro de CARPA / Barreau d'appartenance
• Adresse du cabinet
• Spécialités juridiques déclarées

2.2 Données des dossiers clients

• Identité des clients (personnes physiques ou morales)
• Coordonnées des clients et parties adverses
• Documents juridiques (contrats, assignations, conclusions, pièces)
• Correspondances client-avocat
• Notes et mémos internes
• Échéances et délais procéduraux
• Honoraires et factures
• Historique des modifications (audit trail)

2.3 Données de connexion et techniques

• Adresse IP (anonymisée après 7 jours)
• Logs d'authentification Firebase Auth
• User Agent (navigateur, OS, appareil)
• Timestamps d'accès et d'actions
• Géolocalisation approximative (pays/région, jamais précise)
• Tokens de session (stockés côté client uniquement)

2.4 Données de facturation

• Informations de paiement (traitées par Stripe, jamais stockées chez nous)
• Historique des factures émises
• Mandats SEPA le cas échéant
• Récapitulatifs de TVA et exports comptables

3. Finalités du traitement

Fourniture du service

Gestion des dossiers, stockage de documents, génération de factures, calendrier, portail client, signature électronique.

Assistant IA juridique

Analyse de documents, suggestions de rédaction, recherche juridique. Les requêtes sont envoyées à OpenAI via nos Cloud Functions sécurisées.

Gestion de la relation client

Support technique, onboarding, communications relatives au service, notifications d'échéances.

Amélioration du service

Statistiques d'utilisation anonymisées, détection de bugs, optimisation des performances. Jamais sur le contenu de vos dossiers.

Obligations légales

Conservation des factures (10 ans), réponse aux réquisitions judiciaires, conformité fiscale.

4. Base légale du traitement

Traitement	Base légale
Création de compte, gestion des dossiers	Exécution du contrat (Art. 6.1.b RGPD)
Facturation, comptabilité	Obligation légale (Art. 6.1.c RGPD)
Newsletters, communications marketing	Consentement (Art. 6.1.a RGPD)
Statistiques d'utilisation anonymisées	Intérêt légitime (Art. 6.1.f RGPD)
Sécurité de la plateforme	Intérêt légitime (Art. 6.1.f RGPD)

5. Infrastructure technique détaillée

Lexlane utilise une infrastructure cloud moderne et sécurisée. Voici le détail complet :

5.1 Hébergement et base de données

Plateforme : Google Firebase (Google Cloud Platform)

Base de données : Cloud Firestore (NoSQL, mode natif)

Région : europe-west9 (Paris, France)

Réplication : Multi-zone automatique au sein de l'UE

Chiffrement au repos : AES-256 (géré par Google)

Chiffrement en transit : TLS 1.3

5.2 Stockage des fichiers

Service : Firebase Storage (Google Cloud Storage)

Région : europe-west9 (Paris, France)

Classe de stockage : Standard (haute disponibilité)

Types de fichiers : PDF, DOCX, images, pièces jointes

Accès : URLs signées avec expiration (tokens temporaires)

5.3 Authentification

Service : Firebase Authentication

Méthodes : Email/mot de passe, Google OAuth, Magic Link

2FA : Disponible (TOTP, SMS)

Tokens : JWT avec rotation automatique (1h)

Stockage mdp : Hachage bcrypt (jamais en clair)

5.4 Backend et API

Framework : Next.js 14+ (App Router) sur Firebase App Hosting

Serverless : Firebase Cloud Functions (Node.js 20)

Région functions : europe-west9 (Paris)

Sécurité API : Firestore Security Rules + validation côté serveur

5.5 Certifications Google Cloud

ISO 27001 (Sécurité de l'information)

ISO 27017 (Sécurité cloud)

ISO 27018 (Protection données personnelles)

SOC 1, SOC 2, SOC 3

PCI DSS Level 1

RGPD (Data Processing Agreement)

6. Sous-traitants et destinataires

Vos données peuvent être traitées par les sous-traitants suivants, tous liés par des accords de traitement de données (DPA) conformes au RGPD :

Google LLC (Firebase, GCP)

Hébergement, base de données, stockage, authentification

Localisation : europe-west9 (Paris, France) · DPA signé le 18/01/2026 · Clauses contractuelles types (SCCs)

OpenAI, Inc.

Traitement IA pour l'assistant juridique

API GPT-4 · Données non utilisées pour l'entraînement (opt-out activé) · Rétention 0 jour · Traitement via Cloud Functions (jamais côté client)

Stripe, Inc.

Traitement des paiements

PCI DSS Level 1 · Données de carte jamais stockées chez nous · Tokenisation · Serveurs UE disponibles

Resend (via API)

Envoi d'emails transactionnels

Notifications, confirmations, alertes échéances · Logs email 30 jours

Vercel, Inc.

CDN et edge functions (si applicable)

Distribution statique uniquement · Région UE configurée

Important : Nous ne vendons jamais vos données. Les sous-traitants n'ont accès qu'aux données strictement nécessaires à leur mission.

7. Transferts de données hors Union Européenne

Certains de nos sous-traitants sont basés aux États-Unis. Ces transferts sont encadrés par :

Data Privacy Framework (DPF) : Google et Stripe sont certifiés DPF (successeur du Privacy Shield)
Clauses Contractuelles Types (SCC) : Signées avec tous nos sous-traitants US
Mesures supplémentaires : Chiffrement de bout en bout, pseudonymisation quand possible

Pour OpenAI spécifiquement : les prompts envoyés ne contiennent jamais de données personnelles identifiantes directes. Les documents sont traités de manière à minimiser l'exposition de données sensibles.

8. Durée de conservation des données

Conformément aux recommandations de la CNIL et au RGPD, nous appliquons les durées de conservation suivantes :

8.1 Données des clients et prospects de vos cabinets

Référentiel CNIL appliqué : Ces durées sont conformes au référentiel CNIL relatif aux traitements de données personnelles pour la gestion des activités commerciales.

Type de données	Durée	Justification
Prospects (jamais client)	3 ans	À compter du dernier contact (CNIL)
Clients inactifs sans dossier	3 ans	À compter de la fin de la relation commerciale (CNIL)
Clients avec dossier clôturé	10 ans après clôture	Prescription responsabilité civile avocat
Dossiers actifs et documents	Durée du mandat	Exécution du contrat

8.2 Données de votre compte Lexlane

Type de données	Durée	Justification
Compte utilisateur actif	Durée de l'abonnement	Exécution du contrat
Compte utilisateur inactif	2 ans sans connexion	Recommandation CNIL comptes inactifs
Factures et données comptables	10 ans	Obligation légale (CGI art. L123-22)
Logs de connexion	12 mois	LCEN (art. 6 II)
Adresses IP	7 jours (puis anonymisation)	Sécurité / Minimisation
Conversations IA	Durée de l'abonnement	Fonctionnalité
Cookies analytics	13 mois	CNIL (délibération cookies)

8.3 Purge automatique et notification

Notification préalable : Vous êtes notifié 30 jours avant toute suppression automatique de données
Anonymisation : Les données purgées sont anonymisées (pas de suppression brutale) pour maintenir la cohérence statistique
Journal d'audit : Toutes les purges sont tracées pour conformité CNIL (sans données personnelles)
Exception : Les clients avec solde impayé ou dossier actif ne sont jamais purgés automatiquement

À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible. Vous pouvez consulter les référentiels CNIL sur cnil.fr.

9. Vos droits

Conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès

Obtenir une copie de toutes vos données personnelles

Droit de rectification

Corriger des données inexactes ou incomplètes

Droit à l'effacement

Supprimer vos données (sauf obligations légales)

Droit à la portabilité

Export de vos données en format structuré (JSON, CSV)

Droit à la limitation

Geler le traitement de vos données

Droit d'opposition

Refuser le traitement pour motif légitime

Comment exercer vos droits ?

• Par email : support@lexlane.fr
• Via votre espace personnel (Paramètres → Données personnelles)
• Par courrier : MAHI RIAD - 74 Allée des Ifs, 73220 Aiton

Délai de réponse : 30 jours maximum. Pièce d'identité requise pour vérification.

En cas de litige non résolu, vous pouvez saisir la CNIL : www.cnil.fr/fr/plaintes

10. Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

Mesures techniques

Chiffrement AES-256 au repos (Firestore, Storage)
Chiffrement TLS 1.3 en transit (toutes les connexions)
Firestore Security Rules avec validation stricte
Authentification multi-facteurs disponible
Tokens JWT avec expiration courte (1h)
Protection CSRF et XSS
Rate limiting et protection DDoS (Firebase/Cloudflare)
Sauvegardes automatiques quotidiennes (rétention 30 jours)

Mesures organisationnelles

Principe du moindre privilège (accès restreint)
Procédure de réponse aux incidents documentée
Notification sous 72h en cas de violation (Art. 33 RGPD)
Audits de sécurité réguliers
Veille sur les vulnérabilités (dépendances)

11. Politique de cookies

Lexlane utilise des cookies et technologies similaires. Voici le détail :

Cookie	Type	Durée	Finalité
__session	Essentiel	Session	Authentification Firebase
firebase-auth	Essentiel	14 jours	Persistance de connexion
consent	Essentiel	12 mois	Préférences cookies
_ga / _gid	Analytics	13 mois	Google Analytics (si consentement)
theme	Fonctionnel	12 mois	Préférence thème clair/sombre

Vous pouvez gérer vos préférences via le bandeau cookies ou les paramètres de votre navigateur. Le refus des cookies non-essentiels n'affecte pas le fonctionnement de l'application.

12. Intelligence artificielle et vos données

Engagement fondamental

Vos données ne sont jamais utilisées pour entraîner des modèles IA. Nous avons activé l'opt-out auprès d'OpenAI : aucune de vos données n'est conservée au-delà du traitement immédiat de votre requête.

Fonctionnement technique

Les requêtes passent par nos Cloud Functions (jamais côté client)
Nous utilisons l'API OpenAI avec rétention 0 jour
Les prompts sont nettoyés pour minimiser les données personnelles
L'historique des conversations reste dans votre Firestore uniquement

Transparence des résultats

Tous les outputs IA sont marqués comme "brouillon"
Les sources sont citées quand disponibles
Vous restez responsable de la validation avant utilisation

13. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour refléter des changements dans nos pratiques ou pour des raisons légales. En cas de modification substantielle :

Notification par email au moins 30 jours avant
Bandeau d'information dans l'application
Archivage des versions précédentes disponible sur demande

14. Contact

Délégué à la protection des données

Email : support@lexlane.fr

Support général

Email : support@lexlane.fr

Adresse postale

MAHI RIAD - Lexlane
74 Allée des Ifs
73220 Aiton, France

Conditions d'utilisation Mentions légales Sécurité & Conformité