Aller au contenu principal
EXIOR
Pilot
document légal

Politique de confidentialité

Traitement des données personnelles, finalité, durée, droits RGPD.

POLITIQUE DE CONFIDENTIALITÉ — SITE PUBLIC EXIOR

Version : 1.0 Date d'entrée en vigueur : 2026-04-28 Document : PRIVACY-EXIOR-PUBLIC-V1

1. Préambule

EXIOR SAS, société par actions simplifiée, RCS Paris [NUMERO_RCS_A_COMPLETER], dont le siège social est situé [ADRESSE_SIEGE_A_COMPLETER] (ci-après « Exior », « nous »), accorde la plus haute importance à la protection des données personnelles des visiteurs et utilisateurs de son site exior.fr.

La présente Politique de Confidentialité expose en termes clairs quelles données nous collectons, pourquoi, comment nous les protégeons, et comment vous exercez vos droits au titre du Règlement (UE) 2016/679 (RGPD) et de la Loi Informatique et Libertés modifiée.

Pour les Clients abonnés (Pilot, Boot, Operate, Augment, Sovereign), un Data Processing Agreement spécifique s'applique en complément (docs/legal/DPA_RGPD.md), Exior agissant alors en qualité de sous-traitant des données ingérées dans le tenant Client.

2. Responsable de traitement

Le responsable de traitement est :

  • EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER]
  • Siège social : [ADRESSE_SIEGE_A_COMPLETER]
  • Représentant légal : Guillaume BAUCHART, Président
  • DPO : joignable à [DPO_EMAIL_A_COMPLETER]

3. Données collectées

3.1 Lors de la navigation sur exior.fr

Sont collectées automatiquement, à des fins strictement nécessaires au fonctionnement du site et à la sécurité :

  • adresse IP (anonymisée après 30 jours pour la mesure d'audience) ;
  • user-agent (navigateur, OS, version) ;
  • pages visitées, durée, parcours ;
  • horodatage ;
  • pays / région d'origine (au niveau de granularité GeoIP).

3.2 Lors de la souscription à la newsletter sectorielle

  • e-mail professionnel ;
  • secteur d'activité, taille d'organisation, fonction (champs facultatifs).

3.3 Lors d'une demande d'information sur Sovereign

  • nom, prénom, fonction, organisation, e-mail professionnel ;
  • objet de la demande (champ libre).

3.4 Lors de l'utilisation du diagnostic public anonymisé

Le diagnostic public ne nécessite aucune création de compte ni transmission de données personnelles identifiantes au-delà du SIREN saisi (donnée publique, non personnelle).

3.5 Lors de la souscription à un niveau du catalogue

Voir CGV (docs/legal/CGV.md) — collecte limitée à l'identification du Client, l'identité de son représentant légal, les coordonnées de l'administrateur principal, et les éléments nécessaires au paiement (gérés directement par Stripe sans transit par les serveurs Exior pour les données de carte).

3.6 Données que nous ne collectons jamais

  • aucune donnée sensible (article 9 RGPD : santé, opinions politiques, orientation sexuelle, biométrie) ;
  • aucune donnée relative aux infractions et condamnations (article 10 RGPD) ;
  • aucune donnée de mineurs.

4. Finalités et bases légales

| Finalité | Base légale | Durée de conservation | |---|---|---| | Fonctionnement du site et sécurité | Intérêt légitime (article 6.1.f RGPD) | 12 mois (logs) | | Mesure d'audience anonymisée | Intérêt légitime, alternativement consentement | 13 mois maximum (CNIL) | | Newsletter sectorielle | Consentement (opt-in explicite) | jusqu'à désinscription | | Demande d'information Sovereign | Consentement et mesures précontractuelles | 36 mois | | Souscription au catalogue | Exécution du contrat | durée du contrat + délais de prescription (10 ans pour facturation, 5 ans pour preuve commerciale) | | Conformité légale (facturation, lutte anti-fraude) | Obligation légale | 10 ans | | Open data publication anonymisée (HAL/Zenodo) | Intérêt légitime + anonymisation k-anonymity ≥ 5 | indéfini (donnée anonymisée) |

5. Destinataires

Les données personnelles ne sont communiquées qu'aux :

  • collaborateurs habilités d'Exior (administrateurs, DPO, équipe support) ;
  • sous-traitants techniques listés à l'Annexe 1 du DPA RGPD (Anthropic, OVHcloud, Stripe, Sentry, Postmark/Brevo, Cloudflare) ;
  • autorités publiques sur réquisition légale dans les conditions prévues par la loi.

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

6. Transferts hors UE

Toutes les données personnelles sont traitées dans l'Union européenne. Aucun transfert vers les États-Unis ou pays tiers non couverts par une décision d'adéquation n'est effectué.

Les sous-traitants opérant en dehors de l'UE (le cas échéant pour des fonctions auxiliaires non critiques) sont liés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne en juin 2021, complétées des mesures techniques requises par l'arrêt Schrems II (chiffrement bout-en-bout, pseudonymisation).

7. Sécurité

Exior met en œuvre des mesures techniques et organisationnelles à l'état de l'art, dont notamment :

  • chiffrement au repos AES-256-GCM via KMS ;
  • chiffrement en transit TLS 1.3, HSTS, certificate pinning ;
  • contrôle d'accès strict (MFA obligatoire, RBAC, just-in-time pour privilèges élevés) ;
  • supervision continue (SIEM, EDR, IDS) ;
  • pentests externes annuels (docs/security/pentests_plan.md) ;
  • plan de réponse aux incidents (docs/security/incident_response_plan.md) ;
  • formation sécurité annuelle obligatoire pour 100 % des accédants ;
  • conformité ISO/IEC 27001:2022 en cours de certification (docs/security/iso27001_readiness.md).

8. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez, à tout moment, des droits suivants :

  • Droit d'accès (article 15) : obtenir la confirmation que vos données sont traitées, et en obtenir copie ;
  • Droit de rectification (article 16) : faire corriger toute donnée inexacte ou incomplète ;
  • Droit à l'effacement (article 17, dit « droit à l'oubli ») : demander la suppression de vos données ;
  • Droit à la limitation du traitement (article 18) ;
  • Droit à la portabilité (article 20) : recevoir vos données dans un format structuré, couramment utilisé, lisible par machine ;
  • Droit d'opposition (article 21) : s'opposer à un traitement fondé sur l'intérêt légitime ;
  • Droit relatif aux décisions automatisées (article 22) — Exior n'effectue aucune décision purement automatisée produisant des effets juridiques sur les personnes : les recommandations exocortex sont toujours soumises à la décision humaine du Client ;
  • Droit de retirer le consentement à tout moment, sans rétroactivité, pour les traitements fondés sur le consentement ;
  • Droit de définir des directives post-mortem sur le sort de vos données après votre décès (article 85 Loi I&L).

Comment exercer vos droits

Adressez votre demande à : [DPO_EMAIL_A_COMPLETER]

Joignez une copie d'une pièce d'identité uniquement si nécessaire pour lever un doute raisonnable sur votre identité (CNIL, recommandation 2018).

Réponse dans un délai d'un mois (extensible à trois mois en cas de complexité).

Réclamation

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
  • www.cnil.fr — 01 53 73 22 22

9. Cookies et traceurs

L'usage de cookies et traceurs sur le site exior.fr est régi par la Politique Cookies (docs/legal/cookies_policy.md), conforme aux recommandations CNIL.

En synthèse :

  • Cookies strictement nécessaires : déposés sans consentement (session, sécurité CSRF, préférence linguistique) ;
  • Cookies de mesure d'audience anonymisée : déposés sans consentement sous réserve de configuration CNIL conforme (Plausible Analytics, Matomo en mode RGPD strict) ;
  • Aucun cookie publicitaire ou de profilage.

Une bannière de gestion des préférences est accessible en bas de chaque page.

10. Modification de la présente Politique

Cette Politique peut être amenée à évoluer pour refléter les évolutions réglementaires, jurisprudentielles ou opérationnelles. Toute modification substantielle est portée à la connaissance des utilisateurs par bandeau d'information sur le site, au moins 15 jours avant entrée en vigueur.

11. Contact

Pour toute question relative à la présente Politique de Confidentialité ou à l'exercice de vos droits :

  • DPO Exior : [DPO_EMAIL_A_COMPLETER]
  • Adresse postale : EXIOR SAS, [ADRESSE_SIEGE_A_COMPLETER]

Fait à Paris, version 1.0 — 2026-04-28