Logo
← Retour à l'accueil

Charte de Conformité RGPD

Dernière mise à jour : 17/10/2025

1. Objet et finalité de la charte

La présente Charte de Conformité RGPD a pour objet de formaliser les engagements, les principes et les procédures internes mis en œuvre par la société Nozzl, exploitant la marque LegalOne, afin d'assurer la conformité de l'ensemble de ses activités avec le Règlement Général sur la Protection des Données (RGPD – UE 2016/679) et la Loi Informatique et Libertés.

Cette charte constitue le cadre de référence pour la protection des données à caractère personnel au sein de LegalOne et s'applique à l'ensemble de ses collaborateurs, partenaires, prestataires et sous-traitants.

2. Gouvernance et responsabilités

La gouvernance de la conformité RGPD est placée sous la responsabilité du Délégué à la Protection des Données (DPO), désigné par LegalOne. Le DPO supervise la mise en œuvre opérationnelle des mesures de conformité, la tenue du registre des traitements et la relation avec la CNIL.

Chaque département (technique, commercial, marketing, support) dispose d'un référent désigné chargé de relayer les bonnes pratiques et de veiller à la conformité des opérations internes.

3. Registre des traitements

LegalOne maintient un registre exhaustif des traitements de données personnelles réalisés dans le cadre de ses activités. Ce registre contient les éléments suivants : les finalités, les catégories de données, les bases légales, les destinataires, les durées de conservation, et les mesures de sécurité associées.

Il est mis à jour au moins une fois par an ou à chaque évolution significative des processus internes. Une copie du registre peut être transmise à la CNIL sur demande.

4. Collecte et minimisation des données

LegalOne applique le principe de minimisation : seules les données strictement nécessaires à la finalité du traitement sont collectées. Avant chaque nouveau traitement, une analyse d'impact (AIPD) est réalisée pour évaluer les risques éventuels sur la vie privée.

Les formulaires de collecte précisent toujours la finalité du traitement et les droits de l'utilisateur.

5. Information et transparence

Conformément au RGPD, LegalOne informe systématiquement les personnes concernées sur la nature, la finalité, la durée et les destinataires de leurs données. Les mentions légales et la Politique de Confidentialité publiées sur le site www.legalone.fr détaillent les traitements et les droits associés.

Toute modification substantielle des traitements donne lieu à une communication claire et préalable aux utilisateurs.

6. Droits des personnes concernées

LegalOne garantit l'exercice effectif des droits reconnus par le RGPD : accès, rectification, effacement, limitation, opposition, portabilité, et droit post-mortem.

Une procédure interne encadre le traitement de ces demandes : vérification d'identité, validation juridique, et réponse dans un délai de 30 jours. Un registre des demandes est tenu à jour par le DPO afin d'assurer la traçabilité des actions réalisées.

7. Sécurité et confidentialité des données

LegalOne met en œuvre une politique de sécurité des systèmes d'information (PSSI) stricte, basée sur les meilleures pratiques de l'ANSSI et les recommandations de la CNIL. Les mesures incluent :

  • Chiffrement SSL/TLS des flux de données
  • Hébergement sécurisé chez OVH (France)
  • Sauvegardes quotidiennes chiffrées et contrôlées
  • Authentification à double facteur pour les accès administratifs
  • Journalisation et audit des accès aux systèmes sensibles

Tout incident de sécurité fait l'objet d'une procédure de déclaration interne et, le cas échéant, d'une notification à la CNIL sous 72 heures.

8. Relations avec les sous-traitants et partenaires

LegalOne ne collabore qu'avec des prestataires conformes au RGPD. Les contrats conclus avec les sous-traitants intègrent des clauses de confidentialité, de sécurité et d'audit. Les principaux partenaires sont :

  • Stripe (gestion des paiements, certifié PCI-DSS et conforme DSP2)
  • Qonto (exécution des virements de cashback, agréé par l'ACPR)
  • OVH (hébergement des données, certifié ISO 27001)
  • BusyPlace (publication d'annonces légales)
  • Crisp (support client et gestion des conversations)

9. Formation et sensibilisation

Tous les collaborateurs LegalOne sont formés à la protection des données dès leur intégration et font l'objet d'une remise à niveau annuelle. Des supports pédagogiques internes (guides, e-learning, FAQ RGPD) sont mis à disposition.

Les formations couvrent les thématiques suivantes : obligations légales, sécurité des données, gestion des droits, et signalement des incidents.

10. Conservation et suppression des données

Les durées de conservation sont fixées en fonction des obligations légales et contractuelles :

  • 3 ans pour les comptes inactifs
  • 10 ans pour les données comptables
  • 13 mois pour les cookies
  • Suppression immédiate des données bancaires après exécution des virements

La suppression des données est effectuée par écrasement sécurisé ou anonymisation irréversible.

11. Notification des violations de données

LegalOne dispose d'une procédure interne de gestion des incidents de sécurité et des violations de données. Tout incident est analysé, documenté et corrigé sans délai.

En cas de risque pour les droits et libertés des personnes, LegalOne notifie la CNIL dans les 72 heures et informe les personnes concernées par e-mail ou courrier.

12. Audits internes et conformité continue

Des audits internes RGPD sont réalisés au minimum une fois par an pour évaluer la conformité des pratiques. Chaque audit donne lieu à un rapport et à un plan d'action suivi par le DPO.

LegalOne s'engage dans une démarche d'amélioration continue de la conformité et de la sécurité des données.

13. Engagements de la direction

La direction de Nozzl s'engage à fournir les ressources nécessaires à la mise en œuvre du RGPD (humaines, techniques, financières). Elle veille à intégrer la protection des données dans tous les nouveaux projets dès leur conception (« Privacy by Design ») et par défaut (« Privacy by Default »).

Un comité éthique des données se réunit deux fois par an pour examiner les nouveaux traitements sensibles.

14. Révision et diffusion de la charte

La présente charte est communiquée à l'ensemble des salariés, intégrée dans les documents internes de gouvernance, et publiée dans l'espace conformité du site web.

Elle est révisée chaque année ou à la suite d'une évolution réglementaire majeure. Toute modification fait l'objet d'une validation par la direction et le DPO.