Légal

Politique de confidentialité

Responsable du traitement

Le responsable du traitement des données personnelles est Eliot Garnero, auto-entrepreneur, éditeur du site legscan.fr.

Contact DPO / Protection des données : dpo@legscan.fr

Données collectées

LEGSCAN collecte uniquement les données nécessaires au fonctionnement du service : adresse email (lors de l'inscription, d'un scan avec notification ou d'un achat), URL des sites scannés, résultats des scans de conformité, adresse IP (pour la limitation de débit), et données de paiement (traitées exclusivement par Stripe, jamais stockées sur nos serveurs).

Finalités et bases légales des traitements

Conformément à l'article 6 du RGPD, vos données sont traitées sur les bases légales suivantes :

  • Exécution du contrat (art. 6.1.b RGPD) : fourniture du service de scan, génération des rapports PDF, gestion de votre abonnement de monitoring, envoi des résultats par email.
  • Intérêt légitime (art. 6.1.f RGPD) : sécurité du service (limitation de débit par adresse IP), amélioration du service, statistiques anonymes de fréquentation via Plausible Analytics (sans cookies, sans données personnelles).
  • Consentement (art. 6.1.a RGPD) : communications marketing et newsletters. Vous pouvez retirer votre consentement à tout moment.
  • Obligation légale (art. 6.1.c RGPD) : conservation des données de facturation conformément au Code de commerce.

Durée de conservation

  • Données de scan : conservées tant que votre compte est actif, puis supprimées sous 30 jours après clôture du compte.
  • Données de facturation : 10 ans conformément aux obligations légales (Code de commerce, art. L123-22).
  • Adresses IP : 12 mois maximum, à des fins de limitation de débit.
  • Données de prospect : 3 ans maximum après le dernier contact, conformément aux recommandations de la CNIL.

Vous pouvez demander la suppression de votre compte et de vos données à tout moment.

Sous-traitants et transferts de données

Les données peuvent être traitées par nos sous-traitants :

  • Netlify / Vercel (hébergement) - États-Unis - Clauses contractuelles types (CCT)
  • Supabase (base de données) - États-Unis - CCT + chiffrement au repos
  • Stripe (paiements) - États-Unis - Certifié PCI DSS Level 1, CCT
  • Resend (emails transactionnels) - États-Unis - CCT
  • Anthropic (analyse IA) - États-Unis - CCT, données non utilisées pour l'entraînement
  • Plausible Analytics (statistiques) - Union européenne - Aucune donnée personnelle collectée, conforme RGPD sans consentement

Les transferts hors UE sont encadrés par des clauses contractuelles types (CCT) conformément aux articles 46 et 49 du RGPD.

Vos droits (articles 15 à 22 du RGPD)

Conformément au Règlement (UE) 2016/679, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir une copie de vos données personnelles.
  • Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17) : demander la suppression de vos données.
  • Droit à la limitation (art. 18) : restreindre le traitement de vos données.
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos données, notamment pour la prospection commerciale.

Pour exercer vos droits, contactez notre DPO à dpo@legscan.fr. Nous répondrons dans un délai maximum de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

Cookies et traceurs

LEGSCAN utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du site (session d'authentification Supabase). Ces cookies sont exemptés de consentement conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices CNIL du 17 septembre 2020.

Pour les statistiques de fréquentation, nous utilisons Plausible Analytics, un outil conforme RGPD qui ne dépose aucun cookie et ne collecte aucune donnée personnelle. Aucun cookie de tracking, publicitaire ou tiers n'est utilisé.

Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD : chiffrement HTTPS (TLS 1.3), headers de sécurité (CSP, HSTS, X-Frame-Options), chiffrement des données au repos, authentification sécurisée et limitation d'accès aux données.

Dernière mise à jour : février 2026