EquitIA

/ Légal

Politique de confidentialité

Dernière mise à jour : 12 avril 2026

La société ML ON DEVICE, SASU, éditrice du service EquitIA accessible à l'adresse equitia.fr, s'engage à protéger la vie privée et les données personnelles de ses utilisateurs conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

La présente Politique de confidentialité a pour objet d'informer les utilisateurs du site equitia.fr sur les modalités de collecte, de traitement et de protection de leurs données personnelles.

Article 1 — Responsable du traitement

Le responsable du traitement des données personnelles est :

ML ON DEVICE, SASU

SIREN : 102 185 550 — RCS Paris

N° TVA : FR93102185550

60 Rue François 1er, 75008 Paris, France

Représentée par Max Levy, Président

E-mail : contact@equitia.fr

Au sens de l'article 4.7 du RGPD, le responsable du traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel.

Article 2 — Délégué à la protection des données (DPO)

Conformément aux articles 37 à 39 du RGPD, un Délégué à la Protection des Données a été désigné. Il peut être contacté pour toute question relative au traitement de vos données personnelles :

Délégué à la Protection des Données

E-mail : dpo@equitia.fr

Adresse postale : ML ON DEVICE — DPO, 60 Rue François 1er, 75008 Paris

Article 3 — Données collectées

Dans le cadre du fonctionnement du Service, nous collectons les catégories de données suivantes :

3.1. Données de compte

  • Adresse e-mail
  • Nom et prénom
  • Photo de profil (si connexion via Google)
  • Identifiant unique d'utilisateur

3.2. Données d'utilisation

  • Type et nombre de contrats générés
  • Paramètres de génération (type de contrat, options sélectionnées)
  • Historique des documents générés
  • Pages visitées et parcours de navigation
  • Date et heure de connexion
  • Fonctionnalités utilisées

3.3. Données techniques

  • Adresse IP
  • Type et version du navigateur
  • Système d'exploitation et type d'appareil
  • Résolution d'écran
  • Langue du navigateur
  • Pages de référence (referrer)

3.4. Données de paiement

  • Les données de paiement (numéro de carte, etc.) sont collectées et traitées exclusivement par notre prestataire Stripe
  • Nous conservons uniquement : l'identifiant client Stripe, le type de plan souscrit, les dates de facturation et l'historique des transactions

Article 4 — Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement de données repose sur une base légale :

TraitementBase légale
Création et gestion du compteExécution du contrat (art. 6.1.b RGPD)
Génération de documents par IAExécution du contrat (art. 6.1.b RGPD)
Gestion des paiements et facturationExécution du contrat (art. 6.1.b RGPD)
Cookies analytiquesConsentement (art. 6.1.a RGPD)
Amélioration du ServiceIntérêt légitime (art. 6.1.f RGPD)
Sécurité et prévention de la fraudeIntérêt légitime (art. 6.1.f RGPD)
Communications commercialesConsentement (art. 6.1.a RGPD)
Obligations légales (facturation, fiscalité)Obligation légale (art. 6.1.c RGPD)

Article 5 — Finalités du traitement

Vos données personnelles sont collectées et traitées pour les finalités suivantes :

  • Création, gestion et sécurisation de votre compte utilisateur ;
  • Fourniture et exécution du Service de génération de documents juridiques par IA ;
  • Gestion des abonnements, des paiements et de la facturation ;
  • Amélioration continue du Service et de l'expérience utilisateur ;
  • Analyse statistique de l'utilisation du Service (données agrégées et anonymisées) ;
  • Communication avec les utilisateurs (support, notifications techniques) ;
  • Envoi de communications commerciales (avec consentement préalable) ;
  • Respect des obligations légales et réglementaires ;
  • Prévention de la fraude et sécurité du Service.

Article 6 — Durée de conservation

Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), vos données personnelles sont conservées pour une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées :

Données de compte : conservées pendant la durée de l'inscription, puis 3 ans après la dernière activité de l'utilisateur (dernier usage du Service).

Documents générés : conservés pendant la durée de l'inscription. Supprimés dans les 30 jours suivant la suppression du compte.

Données de facturation : conservées 10 ans conformément aux obligations comptables et fiscales (article L.123-22 du Code de commerce).

Données techniques et journaux de connexion : conservées 12 mois conformément à l'article 6-II de la LCEN.

Cookies analytiques : durée maximale de 13 mois conformément aux recommandations de la CNIL.

Suppression sur demande :l'utilisateur peut demander la suppression de ses données à tout moment en contactant notre DPO à dpo@equitia.fr. La demande sera traitée dans un délai de 30 jours, sous réserve des obligations légales de conservation.

Article 7 — Sous-traitants et destinataires

Conformément à l'article 28 du RGPD, nous faisons appel aux sous-traitants suivants, qui présentent des garanties suffisantes en matière de protection des données :

Firebase / Google Cloud Platform

Société : Google Ireland Limited

Fonction : Hébergement, authentification, base de données, analytics

Localisation des données : Union Européenne (data center EU)

Garanties : Clauses contractuelles types (CCT), certification ISO 27001, SOC 2

Stripe

Société : Stripe Payments Europe, Limited (Irlande)

Fonction : Traitement des paiements et facturation

Localisation des données : Union Européenne

Garanties : Certification PCI DSS niveau 1, clauses contractuelles types

OpenRouter / Anthropic (Claude)

Fonction : Génération de contenu par intelligence artificielle (appels API)

Nature du traitement : Appels API uniquement — les données transmises sont utilisées exclusivement pour générer la réponse demandée

Les données des utilisateurs ne sont PAS utilisées pour l'entraînement des modèles d'IA.

Vos données personnelles ne sont en aucun cas vendues, louées ou cédées à des tiers à des fins commerciales.

Article 8 — Transferts hors Union Européenne

Conformément aux articles 44 à 49 du RGPD, tout transfert de données personnelles vers un pays tiers est encadré par des garanties appropriées :

  • Stripe (États-Unis) :Stripe Inc. est certifié au titre du EU-US Data Privacy Framework (DPF), constituant une décision d'adéquation au sens de l'article 45 du RGPD (décision d'exécution de la Commission européenne du 10 juillet 2023). Des clauses contractuelles types sont également en place.
  • OpenRouter / Anthropic :les échanges se limitent à des appels API (envoi de paramètres, réception de la réponse générée). Aucune donnée personnelle identifiante n'est transmise dans les prompts. Les données de contrat transmises ne sont pas conservées par le fournisseur au-delà du traitement immédiat de la requête. Des clauses contractuelles types encadrent ces transferts.

Firebase / Google Cloud : les données sont hébergées exclusivement dans des data centers situés dans l'Union Européenne. Aucun transfert hors UE n'est effectué pour ces données.

Article 9 — Cookies

Le site equitia.fr utilise des cookies et technologies similaires. Conformément à la délibération n° 2020-091 de la CNIL du 17 septembre 2020, un bandeau de consentement vous permet de gérer vos préférences lors de votre première visite.

Cookies strictement nécessaires

Session d'authentification Firebase, préférences de consentement cookies. Ces cookies sont indispensables au fonctionnement du Service et ne peuvent pas être désactivés.

Base légale : intérêt légitime — exemptés de consentement (article 82 de la directive ePrivacy, article 5.3).

Cookies analytiques (optionnels)

Firebase Analytics, Google Analytics : mesure d'audience, pages les plus visitées, parcours utilisateur. Ces données sont anonymisées et agrégées.

Base légale : consentement (art. 6.1.a RGPD). Non déposés en l'absence de consentement.

Cookies fonctionnels (optionnels)

Préférences d'affichage (localStorage) : thème, langue, dernières actions. Améliorent votre expérience sans être indispensables.

Base légale : consentement (art. 6.1.a RGPD).

Vous pouvez modifier vos préférences de cookies à tout moment via le bandeau de consentement accessible en bas de page, ou en supprimant les cookies dans les paramètres de votre navigateur.

Article 10 — Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou compléter des données incomplètes.
  • Droit à l'effacement (art. 17 RGPD) : obtenir la suppression de vos données dans les conditions prévues par le règlement (« droit à l'oubli »).
  • Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
  • Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière, notamment pour les traitements fondés sur l'intérêt légitime.
  • Droit à la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement de vos données dans certains cas prévus par le règlement.
  • Droit de retirer votre consentement : à tout moment, sans que cela ne remette en cause la licéité du traitement effectué avant le retrait.
  • Droit de définir des directives post-mortem : conformément à l'article 85 de la loi Informatique et Libertés, définir des directives relatives au sort de vos données après votre décès.

Article 11 — Procédure d'exercice des droits

Pour exercer l'un de vos droits, vous pouvez nous contacter :

Par e-mail : dpo@equitia.fr

Par courrier : ML ON DEVICE — DPO, 60 Rue François 1er, 75008 Paris

Votre demande doit être accompagnée d'un justificatif d'identité en cours de validité. Nous nous engageons à y répondre dans un délai d'un mois à compter de la réception de votre demande, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires compte tenu de la complexité et du nombre de demandes, auquel cas nous vous en informerons.

L'exercice de ces droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pourrons exiger le paiement de frais raisonnables ou refuser d'y donner suite, conformément à l'article 12.5 du RGPD.

Article 12 — Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle compétente en France :

CNIL — Commission Nationale de l'Informatique et des Libertés

3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Site web : www.cnil.fr

Téléphone : 01 53 73 22 22

Nous vous invitons toutefois à nous contacter préalablement à dpo@equitia.fr afin que nous puissions tenter de résoudre votre problème ensemble avant toute saisine de la CNIL.

Article 13 — Sécurité des données

Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

  • Chiffrement en transit : toutes les communications sont chiffrées via TLS 1.2+ (HTTPS).
  • Chiffrement au repos : les données stockées dans Firebase/Google Cloud sont chiffrées au repos (AES-256).
  • Authentification sécurisée : gestion des identités via Firebase Authentication avec support de la vérification en deux étapes.
  • Contrôle d'accès : principe du moindre privilège, accès aux données limité au personnel autorisé.
  • Journalisation : enregistrement des accès et des opérations sensibles pour détection d'anomalies.
  • Sauvegardes régulières : sauvegardes automatisées avec rétention sécurisée.
  • Tests de sécurité : audits réguliers et veille sur les vulnérabilités.

Article 14 — Notification de violation de données

Conformément aux articles 33 et 34 du RGPD :

  • Notification à la CNIL : en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes, nous notifierons la CNIL dans un délai maximum de 72 heuresaprès en avoir pris connaissance, conformément à l'article 33 du RGPD.
  • Information des utilisateurs : lorsque la violation est susceptible d'engendrer un risque élevépour vos droits et libertés, nous vous en informerons dans les meilleurs délais, conformément à l'article 34 du RGPD, en vous précisant la nature de la violation, ses conséquences probables et les mesures prises pour y remédier.

Article 15 — Données des contrats générés

Engagement de confidentialité

Les données saisies par les utilisateurs dans le cadre de la génération de contrats (noms des parties, clauses personnalisées, informations commerciales, etc.) bénéficient d'une protection renforcée :

  • Les données sont chiffrées en transit et au repos.
  • Les données ne sont jamais utilisées pour l'entraînement de modèles d'intelligence artificielle, ni par ML ON DEVICE, ni par nos sous-traitants.
  • Les données sont supprimées dans les 30 jours suivant la suppression du compte.
  • L'accès aux données de contrats est strictement limité et tracé.

Article 16 — Modifications de la politique

La présente Politique de confidentialité peut être modifiée à tout moment pour s'adapter aux évolutions réglementaires ou aux évolutions du Service. En cas de modification substantielle, les utilisateurs en seront informés par e-mail ou par notification dans le Service, au moins 30 jours avant l'entrée en vigueur des modifications.

La date de dernière mise à jour est indiquée en haut du présent document.

Date d'entrée en vigueur : 12 avril 2026