Sign Up

Politique de Confidentialité

Comment Lexistream collecte, utilise et protège vos données

Dernière mise à jour : 18 mai 2026

1. Introduction

Lexistream.io respecte votre vie privée et s'engage à protéger vos données personnelles. Cette politique vous explique comment nous collectons, utilisons et protégeons vos informations lorsque vous utilisez notre service de veille réglementaire automatisée sur l'IA Act et les textes connexes.

2. Contrôleur de données

Lexistream.io
Contact RGPD : privacy@lexistream.io
Rôle : Contrôleur de données au sens de l'Article 4(7) du RGPD

3. Bases légales du traitement

TraitementBase légaleDurée
Inscription & authentificationContrat (Art. 6.1.b)Durée du compte
Personnalisation par stack techContrat (Art. 6.1.b)Durée du compte
Email digest quotidienContrat (Art. 6.1.b)Durée du compte + 12 mois archive
Analytics (Posthog)Consentement (Art. 6.1.a)13 mois
Paiement (Stripe)Contrat (Art. 6.1.b)7 ans (obligation fiscale)
Support emailIntérêt légitime (Art. 6.1.f)3 ans
Marketing newsletterConsentement (Art. 6.1.a)Jusqu'à désinscription

4. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Article 15) — obtenir une copie de vos données
  • Droit de rectification (Article 16) — corriger des données inexactes
  • Droit à l'effacement (Article 17, «droit à l'oubli»)
  • Droit à la portabilité (Article 20) — données dans un format structuré
  • Droit d'opposition (Article 21)

Pour exercer ces droits : privacy@lexistream.io. Délai de réponse : 30 jours maximum.

5. Sous-traitants (Data Processors)

Chaque sous-traitant a signé un DPA conforme au RGPD :

  • Supabase — hébergement des données (EU Frankfurt) — DPA signé ✓
  • Vercel — CDN et hébergement frontend — DPA signé ✓
  • Render — serveur cron Python — DPA signé ✓
  • Resend — envoi des emails — DPA signé ✓
  • OpenRouter — appels LLM (résumés IA) — DPA signé ✓
  • Stripe — traitement des paiements — DPA signé ✓
  • Posthog — analytics produit — DPA signé ✓

6. Transferts internationaux

Les données sont principalement hébergées dans l'UE (Supabase Frankfurt). Transferts vers pays tiers encadrés par Standard Contractual Clauses (Art. 46 RGPD) :

  • Stripe (siège US) — SCC
  • OpenRouter (API via US) — SCC + Annexe Supplémentaire

7. Durée de conservation

  • Profil utilisateur : durée du compte + 1 an
  • Logs email digest : 1 an
  • Scores de conformité : 3 ans (audit trail)
  • Données de paiement : 7 ans (obligation fiscale)
  • Analytics : 13 mois
  • Logs de support : 3 ans

8. Sécurité

  • Chiffrement TLS pour tous les transferts
  • Authentification via Supabase Auth (bcrypt)
  • Infrastructure ISO 27001 + SOC 2 Type II
  • Row-Level Security (RLS) : isolation complète des données par utilisateur
  • Principe du moindre privilège pour tous les accès administrateurs

9. Cookies

Cookies techniques strictement nécessaires (session auth) sans consentement requis. Cookies analytics (Posthog) avec consentement préalable révocable à tout moment. Aucun cookie publicitaire.

10. Droit applicable

Loi française et RGPD (UE 2016/679). En cas de litige, vous pouvez saisir la CNIL (www.cnil.fr).

11. Modifications

Les modifications significatives vous seront notifiées par email avec un préavis de 15 jours.

12. Contact — DPO

Email : privacy@lexistream.io
Délai de réponse : 30 jours maximum (délai légal RGPD)