Politique de confidentialité
La présente Politique de protection des données personnelles a pour objet d'informer les utilisateurs de la plateforme alloavocats.fr (ci-après la « Plateforme ») de la manière dont leurs données à caractère personnel sont collectées et traitées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
1. Responsables de traitement
Compte tenu de la nature des traitements opérés sur la Plateforme, deux responsables de traitement distincts interviennent selon la finalité concernée :
- Allo Avocats SAS— responsable de traitement pour l'authentification, la prise de rendez-vous, le dispatch algorithmique, la facturation B2B (commission plateforme), les statistiques agrégées et les emails transactionnels.
- Siège social : [Adresse à compléter], France
- RCS : [à compléter]
- Email : privacy@alloavocats.fr
- L'Avocat attribué— responsable de traitement pour le dossier client, les contenus échangés lors de la Consultation, la conservation de la convention d'honoraires et l'émission de la note d'honoraires (via Stripe Invoicing sur son compte Stripe Connect). Le secret professionnel (art. 66-5 loi 71-1130) s'applique pleinement.
Pour les finalités suivantes, Allo Avocats SAS intervient en qualité de sous-traitantde l'Avocat (art. 28 RGPD) : hébergement chiffré de la description du problème juridique (Fernet AES-128), mise à disposition de la téléconsultation vidéo (Jitsi auto-hébergé). Les rôles complets par finalité sont détaillés dans le Data Processing Agreement (DPA) signé entre Allo Avocats SAS et chaque Avocat.
Pour toute question, vous pouvez écrire à privacy@alloavocats.fr ou directement à l'Avocat (pour le dossier client).
2. Données collectées
2.1 — Données des Clients (parcours invité)
| Catégorie | Données |
|---|---|
| Identité | Nom, prénom |
| Coordonnées | Adresse email (vérifiée par OTP), numéro de téléphone |
| Description du problème | Texte libre décrivant la situation juridique (optionnel). Donnée chiffrée en base de données (Fernet AES-128) — art. 32 RGPD |
| Paiement | Données de carte bancaire traitées exclusivement par Stripe (PCI-DSS niveau 1). Non stockées sur nos serveurs. |
| Données techniques | Adresse IP, données de navigation (logs serveur), cookies techniques |
2.2 — Données des Avocats (utilisateurs avec compte)
| Catégorie | Données |
|---|---|
| Identité professionnelle | Nom, prénom, adresse email (vérifiée par OTP), Barreau d'inscription, numéro de Toque, SIRET (optionnel) |
| Données bancaires | IBAN (pour le versement des honoraires). Chiffré en base de données (Fernet AES-128) |
| Données de connexion | Mot de passe (haché bcrypt), adresse IP, tokens de session |
| Données d'activité | Spécialités, disponibilités, historique de consultations, factures |
3. Finalités, bases légales et durées de conservation
| Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|
| Mise en relation Client / Avocat et exécution de la Consultation | Exécution du contrat (art. 6.1.b) | 3 ans à compter de la Consultation, puis anonymisation automatique |
| Description du problème juridique (texte libre, chiffré) | Exécution du contrat (art. 6.1.b) | 30 jours à compter de la Consultation, puis suppression — sauf demande de conservation par l'Avocat dans le cadre d'un litige |
| Gestion du paiement et facturation (documents comptables) | Obligation légale (art. 6.1.c) | 10 ans à compter de la clôture de l'exercice (art. L.123-22 al. 2 du Code de commerce) |
| Envoi du lien de téléconsultation et des emails transactionnels (confirmation, rappel) | Exécution du contrat (art. 6.1.b) | Durée nécessaire à l'exécution du Service |
| Vérification de l'identité professionnelle des Avocats | Intérêt légitime (art. 6.1.f) | Durée du compte + 1 an après suppression |
| Amélioration du récit par intelligence artificielle (optionnel) | Consentement (art. 6.1.a) | Traitement en temps réel — aucun stockage du texte par le prestataire IA |
| Prévention de la fraude et sécurité de la Plateforme | Intérêt légitime (art. 6.1.f) | Logs de connexion : 1 an (LCEN art. 6-II) |
| Gestion des demandes d'exercice des droits RGPD | Obligation légale (art. 6.1.c) | 5 ans à compter de la demande |
| Analyse de la navigation (cookies techniques) | Intérêt légitime (art. 6.1.f) | Voir Politique de cookies |
À l'expiration des durées de conservation, les données sont soit anonymisées de manière irréversible, soit supprimées. L'anonymisation automatique des consultations de plus de 3 ans est exécutée mensuellement (le 1er de chaque mois).
4. Destinataires des données
Vos données sont transmises aux catégories de destinataires suivantes, strictement dans la mesure nécessaire aux finalités décrites ci-dessus :
- L'Avocat attribué— reçoit le nom, l'email, le téléphone et la description du problème du Client, pour les besoins de la Consultation. L'Avocat est soumis au secret professionnel (art. 66-5 de la loi du 31 décembre 1971).
- Personnel habilité d'Allo Avocats— accès limité aux données nécessaires à l'exercice de leurs fonctions (support, administration).
Sous-traitants techniques (art. 28 RGPD)
| Prestataire | Fonction | Localisation |
|---|---|---|
| Stripe, Inc. | Traitement des paiements par carte bancaire | USA (clauses contractuelles types — art. 46 RGPD) |
| Brevo SAS (ex-Sendinblue) | Envoi d'emails transactionnels (confirmation, rappel, OTP) | France / UE |
| Vercel, Inc. | Hébergement du site web (frontend — alloavocats.fr) | USA (clauses contractuelles types — art. 46 RGPD) |
| Hetzner Online GmbH | Hébergement de l'API, de la base de données PostgreSQL et de l'infrastructure de téléconsultation vidéo (Jitsi auto-hébergé) | Allemagne / UE (Nuremberg) |
| Mistral AI SAS | Amélioration rédactionnelle des descriptions juridiques (optionnel, consentement) | France / UE — aucun stockage des données transmises |
| OVH SAS | Gestion du nom de domaine alloavocats.fr (registrar DNS) | France / UE |
Téléconsultation vidéo :la visioconférence (Jitsi Meet) est auto-hébergée sur l'infrastructure Hetzner (Allemagne, UE). Aucune donnée audio ou vidéo n'est enregistrée ni conservée par la Société. Les communications sont chiffrées en transit (DTLS-SRTP).
5. Transferts de données hors de l'Union européenne
Certains sous-traitants (Stripe, Vercel) ont leur siège aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) adoptées par la Commission européenne conformément à l'article 46 du RGPD, garantissant un niveau de protection adéquat des données personnelles.
Aucune donnée n'est transférée vers un pays tiers sans garantie appropriée. Vous pouvez obtenir une copie des clauses contractuelles types applicables en écrivant à privacy@alloavocats.fr.
6. Mesures de sécurité
Conformément à l'article 32 du RGPD, la Société met en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement des données sensibles en base de données (Fernet / AES-128 — descriptions clients, IBAN avocats)
- Chiffrement de toutes les communications en transit (TLS 1.2+)
- Hachage des mots de passe (bcrypt) — jamais stockés en clair
- Hachage des codes OTP de vérification (SHA-256)
- Authentification par tokens JWT avec rotation stricte des refresh tokens et détection de réutilisation
- Limitation du débit (rate limiting) sur les endpoints sensibles
- Chiffrement vidéo en transit (DTLS-SRTP) — aucun enregistrement
- Anonymisation automatique des consultations anciennes (cron RGPD)
- Accès restreint aux données par politique de moindre privilège
7. Vos droits
Conformément au RGPD (articles 15 à 22) et à la Loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) — obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) — demander la correction de données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) — demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation (art. 18)— demander le gel du traitement de vos données dans certains cas (contestation de l'exactitude, opposition en cours d'examen).
- Droit à la portabilité (art. 20)— recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, lorsque le traitement est fondé sur le consentement ou l'exécution du contrat.
- Droit d'opposition (art. 21)— vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des motifs tenant à votre situation particulière.
- Droit de retirer votre consentement — à tout moment, sans que cela ne remette en cause la licéité du traitement effectué avant le retrait.
- Droit de définir des directives post mortem — définir le sort de vos données après votre décès (art. 85 de la Loi Informatique et Libertés).
8. Comment exercer vos droits
Vous pouvez exercer vos droits par l'un des moyens suivants :
- Formulaire en ligne : Demande de suppression des données
- Email : privacy@alloavocats.fr
- Courrier postal : Allo Avocats SAS — [Adresse à compléter], France
Lors de votre demande, merci d'indiquer le(s) droit(s) que vous souhaitez exercer et de fournir les informations nécessaires à votre identification (nom, prénom, adresse email utilisée). Un justificatif d'identité pourra être demandé en cas de doute raisonnable.
La Société s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux (2) mois en cas de complexité ou de nombre élevé de demandes.
9. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : cnil.fr/fr/plaintes
- Par courrier : CNIL — Service des Plaintes — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
10. Données des personnes mineures
La Plateforme est réservée aux personnes majeures. La Société ne collecte pas sciemment de données concernant des personnes mineures (âgées de moins de 18 ans). Si vous constatez que des données d'un mineur ont été transmises, merci de nous contacter à privacy@alloavocats.fr pour que nous procédions à leur suppression.
11. Cookies
Pour les informations relatives aux cookies utilisés sur la Plateforme, veuillez consulter notre Politique de cookies.
12. Mise à jour de la politique
La Société se réserve le droit de modifier la présente Politique de confidentialité pour prendre en compte toute évolution légale, réglementaire, jurisprudentielle ou technique. En cas de modification substantielle, les utilisateurs en seront informés par tout moyen approprié. La version en vigueur est celle accessible sur la Plateforme à la date de consultation.
Dernière mise à jour : mai 2026