PapperClass - Scanner Document IA et Coffre-fort Numérique SécuriséPapperClass

Politique de Confidentialité

Dernière mise à jour : 13 septembre 2025

Conforme au Règlement Général sur la Protection des Données (RGPD) européen

1. Responsable du traitement

Société : PapperClass, société française
Activité : Service de dématérialisation et gestion documentaire
Contact : contact@papperclass.com
Site web : PapperClass.com

Délégué à la Protection des Données (DPO) : dpo@papperclass.com

2. Données personnelles collectées

2.1 Données d'identification et de contact

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Langue et fuseau horaire de préférence
  • Photo de profil (optionnelle)

2.2 Données d'authentification et de sécurité

  • Mot de passe chiffré
  • Données d'authentification à deux facteurs (2FA)
  • Codes de sauvegarde TOTP
  • Appareils de confiance et leurs empreintes
  • Adresses IP de connexion et géolocalisation
  • User-Agent et informations de navigateur
  • Historique des sessions de connexion

2.3 Documents et contenus

  • Documents téléchargés (PDF, images)
  • Texte extrait par OCR des documents
  • Métadonnées des fichiers (nom, taille, type MIME)
  • Catégories et tags personnalisés
  • Résultats de la catégorisation par IA
  • Vignettes générées automatiquement

2.4 Données d'usage et préférences

  • Préférences de notifications
  • Activités et historique d'actions
  • Statistiques d'utilisation anonymisées
  • Préférences d'interface utilisateur
  • Ordre personnalisé des catégories

2.5 Données de paiement

  • Plan d'abonnement souscrit
  • Historique des factures via Stripe
  • Identifiant client Stripe (crypté)
  • Statut des paiements et abonnements

2.6 Données de partage familial

  • Relations familiales déclarées
  • Invitations et acceptations de partage
  • Permissions et rôles dans les espaces familiaux
  • Historique des partages de documents et catégories

2.7 Données PapperMail - Intégration Gmail

Service PapperMail : Notre service d'intégration automatique des emails Gmail pour récupérer et traiter les pièces jointes de documents.

Données Gmail accédées :

  • Emails avec pièces jointes : Uniquement les emails contenant des documents joints
  • Métadonnées d'emails : Objet, expéditeur, date de réception
  • Pièces jointes : Fichiers PDF, images, documents administratifs
  • Profil utilisateur : Adresse email pour authentification

Scopes OAuth2 utilisés :

  • gmail.readonly : Lecture seule des emails
  • gmail.modify : Accès aux pièces jointes

Finalité exclusive :

Automatiser l'import de vos documents administratifs reçus par email dans votre espace PapperClass pour organisation et catégorisation par IA.

3. Finalités et bases légales du traitement

Fourniture du service

Base légale : Exécution du contrat

Stockage, organisation, OCR et catégorisation de vos documents, fonctionnalités de recherche et partage.

Authentification et sécurité

Base légale : Intérêt légitime

Vérification d'identité, 2FA, détection de connexions suspectes, prévention de la fraude.

Gestion des abonnements

Base légale : Exécution du contrat + Obligation légale

Facturation, renouvellements, support client, obligations comptables et fiscales.

Communications marketing

Base légale : Consentement

Newsletters, informations produit, offres promotionnelles (opt-in requis).

Amélioration du service

Base légale : Intérêt légitime

Analytics, optimisation des algorithmes d'IA, développement de nouvelles fonctionnalités.

Service PapperMail - Traitement Gmail

Base légale : Consentement via OAuth2

Utilisation limitée : Amélioration fonctionnalités utilisateur uniquement

Interdictions strictes :

  • Aucune vente de données Gmail à des tiers
  • Aucune utilisation publicitaire ou marketing
  • Aucun profilage utilisateur à partir des emails
  • Aucun partage avec des services externes

Accès humain limité : Personnel autorisé uniquement pour support technique, investigations de sécurité ou obligations légales

Traitement automatisé : IA de catégorisation et OCR sans intervention humaine

Support technique

Base légale : Exécution du contrat

Gestion des tickets de support, résolution des problèmes techniques, assistance utilisateur.

4. Destinataires des données

4.1 Personnel autorisé de PapperClass

Accès limité aux données strictement nécessaires pour leurs fonctions (développement, support, sécurité).

4.2 Prestataires techniques

  • Stripe : Traitement des paiements (soumis aux certifications PCI DSS)
  • Services d'hébergement : Stockage sécurisé des données en Europe
  • Fournisseurs email : Envoi des notifications et communications

4.3 Données Gmail - Restrictions spéciales

Aucun partage de données Gmail : Les données accédées via l'API Gmail ne sont jamais partagées avec des tiers

Accès interne strictement contrôlé :

  • Personnel autorisé : Développeurs avec accès minimal nécessaire
  • Logs d'audit : Traçabilité complète des accès
  • Chiffrement bout en bout : Protection maximale des données

Exceptions légales uniquement : Divulgation possible uniquement sur réquisition judiciaire ou obligation légale impérative

4.4 Autorités compétentes

Uniquement sur réquisition judiciaire ou obligation légale.

5. Transferts hors Union Européenne

Transfert vers les États-Unis

Les données de paiement sont traitées par Stripe Inc. (États-Unis), certifié pour les transferts UE-US selon les garanties appropriées du RGPD.

Garanties : Stripe est conforme aux standards de protection des données équivalents au RGPD via ses certifications et clauses contractuelles types.

Autres données : Toutes les autres données personnelles sont exclusivement stockées et traitées sur des serveurs situés dans l'Union Européenne.

Données Gmail - Stockage exclusivement européen

Localisation : Toutes les données Gmail traitées par PapperMail sont stockées exclusivement sur des serveurs situés dans l'Union Européenne

Aucun transfert hors UE : Les données d'emails et pièces jointes ne transitent jamais vers les États-Unis ou pays tiers

Conformité RGPD : Protection maximale selon les standards européens

6. Durée de conservation

Compte actif

Tant que votre compte est actif et utilisé.

Après résiliation

30 jours de grâce pour récupération, puis suppression définitive sauf obligations légales.

Données comptables

10 ans conformément aux obligations légales françaises.

Logs de sécurité

12 mois maximum pour la détection des intrusions et la sécurité.

Analytics anonymisées

25 mois maximum pour l'amélioration du service.

Données Gmail - Conservation limitée

Pièces jointes traitées : Conservées tant que votre compte PapperClass est actif

Métadonnées emails : Maximum 12 mois pour traçabilité et support

Tokens OAuth : Révocation automatique en cas d'inactivité de 90 jours

Suppression automatique : En cas de déconnexion du service PapperMail ou suppression de compte

Droit à l'effacement : Suppression immédiate sur demande via DPO

7. Vos droits en vertu du RGPD

7.1 Droit d'accès (Article 15 RGPD)

Obtenir une copie de toutes vos données personnelles que nous détenons.

7.2 Droit de rectification (Article 16 RGPD)

Corriger ou mettre à jour vos données personnelles inexactes ou incomplètes.

7.3 Droit à l'effacement (Article 17 RGPD)

Demander la suppression de vos données personnelles dans certaines circonstances.

7.4 Droit à la portabilité (Article 20 RGPD)

Récupérer vos données dans un format structuré et lisible par machine.

7.5 Droit d'opposition (Article 21 RGPD)

Vous opposer au traitement basé sur l'intérêt légitime ou à des fins de marketing direct.

7.6 Droit à la limitation (Article 18 RGPD)

Demander la limitation du traitement dans certaines circonstances.

7.7 Retrait du consentement (Article 7 RGPD)

Retirer votre consentement à tout moment pour les traitements basés sur le consentement.

Comment exercer vos droits

Pour exercer l'un de ces droits, contactez notre DPO : dpo@papperclass.com

Délai de réponse : 1 mois maximum (extensible à 3 mois pour les demandes complexes)

8. Cookies et traceurs

8.1 Cookies strictement nécessaires

  • Session utilisateur : Maintien de la connexion sécurisée
  • Sécurité CSRF : Protection contre les attaques
  • Préférences de base : Langue et paramètres d'interface

Ces cookies ne nécessitent pas de consentement car ils sont indispensables au fonctionnement du service.

8.2 Cookies d'analyse (Google Analytics 4)

  • Finalité : Mesure d'audience et amélioration du service
  • Données : Pages visitées, durée des sessions, origine géographique (anonymisée)
  • Conservation : 25 mois maximum
  • Consentement : Requis via notre bannière de cookies

8.3 Gestion de vos préférences

Vous pouvez modifier vos préférences de cookies à tout moment :

9. Sécurité des données

9.1 Mesures techniques

  • Chiffrement AES-256 des données sensibles
  • Connexions HTTPS (TLS 1.3) obligatoires
  • Authentification à deux facteurs (2FA)
  • Hachage sécurisé des mots de passe (bcrypt)
  • Détection automatique des connexions suspectes
  • Sauvegardes chiffrées et redondantes

9.2 Sécurité spécialisée PapperMail

Protection avancée des données Gmail :

  • Validation Magic Bytes : Vérification binaire des pièces jointes contre les malwares
  • Détection Polyglot : Identification des fichiers à double signature potentiellement dangereux
  • Sandbox Processing : Traitement isolé des documents en environnement sécurisé
  • Authentification JWT : Tokens signés avec expiration pour accès service
  • Rate Limiting : Limitation automatique des requêtes pour prévenir les abus
  • Audit Logging : Traçabilité complète des accès et traitements Gmail

9.3 Mesures organisationnelles

  • Accès aux données sur principe du moindre privilège
  • Formation régulière du personnel à la sécurité
  • Politique de mots de passe renforcée
  • Audits de sécurité réguliers
  • Procédures de réponse aux incidents
  • Tests de pénétration périodiques

9.4 Notification des violations

En cas de violation de données personnelles présentant un risque pour vos droits et libertés, nous vous informerons dans les 72 heures conformément au RGPD.

10. Modifications de cette politique

Nous pouvons modifier cette politique de confidentialité pour refléter les changements dans nos pratiques ou pour des raisons légales.

Notification : Vous serez informé des modifications importantes par email et/ou notification sur la plateforme au moins 30 jours avant leur entrée en vigueur.

Version actuelle : Cette politique est effective depuis le 13 septembre 2025.

11. Droit de réclamation

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).

CNIL
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07

Site web : www.cnil.fr
Téléphone : 01 53 73 22 22

12. Contact

Pour toute question concernant cette politique de confidentialité ou l'exercice de vos droits :

Délai de réponse garanti : 1 mois maximum pour toute demande relative à vos données personnelles.

Nous utilisons des cookies afin d'améliorer votre expérience et garantir le bon fonctionnement du site. Vous pouvez les accepter maintenant ou gérer vos préférences.

Gérer mes préférences