Folio // Code Venus
Connexion

Politique de Confidentialité et de Protection des Données

Document de conformité — Service SaaS Folio

Éditeur (Sous-traitant) : Code Venus SAS

Dernière mise à jour : 2026-01-12

Contact Conformité : support@code-venus.com

La présente politique (ci-après la « Politique ») détaille de manière exhaustive les mesures techniques, organisationnelles et juridiques mises en œuvre par Code Venus SAS pour garantir la sécurité, la confidentialité et l'intégrité des données traitées via le logiciel Folio. Elle fait partie intégrante du Contrat de Service (CGU/CGV) et lie l'Éditeur à ses Clients.

1. Gouvernance et Distinction des Responsabilités

Afin de garantir une conformité stricte avec le Règlement Général sur la Protection des Données (RGPD - UE 2016/679) et la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25 - Québec), les rôles des parties sont définis comme suit :

A. Le Client (Responsable du Traitement)

Le Client (le professionnel abonné au service) agit en qualité de Responsable du Traitement (Data Controller). Il détermine seul les finalités et les moyens du traitement. Il est seul responsable de la légalité de la collecte des données auprès des personnes concernées (les Répondants), de l'obtention des consentements nécessaires, et de la pertinence des données saisies dans Folio.

B. L'Éditeur (Sous-traitant)

Code Venus SAS agit exclusivement en qualité de Sous-traitant (Data Processor). Notre responsabilité se limite à fournir l'infrastructure sécurisée, assurer la disponibilité du service et traiter les données sur instruction documentée du Client. Nous n'exerçons aucun contrôle sur le contenu des données.

2. Typologie des Données et Sensibilité

Le Service est techniquement capable d'héberger des catégories de données sensibles. Bien que le contenu dépende de l'usage du Client, l'infrastructure est conçue pour sécuriser les données suivantes :

  • Données d'Identification Civile : Noms, prénoms, dates et lieux de naissance, adresses, copies de documents d'identité officiels (CNI, Passeport, Permis de conduire).
  • Données Fiscales et Financières (Hautement Sensibles) : Avis d'imposition, déclarations de revenus, liasses fiscales, relevés bancaires, numéros de comptes (IBAN), bilans, état des actifs et passifs, cotes de crédit.
  • Identifiants Gouvernementaux : Numéro d'Assurance Sociale (NAS/SIN - Canada), Numéro de Sécurité Sociale (NIR - France), Numéros d'identification fiscale (NE, GST, TVQ, TVA).
  • Données Juridiques et Vie Privée : Jugements, testaments, contrats de mariage, actes notariés, informations sur la situation familiale.
  • Données Techniques : Adresses IP, journaux de connexion (logs), métadonnées de fichiers, signatures électroniques.
Avertissement : L'Éditeur ne procède à aucune vérification de la nature ou de la licéité des fichiers téléversés par le Client ou les Répondants. Le Client garantit qu'il respecte le principe de minimisation des données et ne collecte que ce qui est strictement nécessaire à son activité professionnelle.

3. Mesures de Sécurité Techniques et Organisationnelles

Code Venus SAS met en œuvre un dispositif de sécurité de niveau bancaire ("Security by Design") pour assurer la confidentialité, l'intégrité et la disponibilité des données.

3.1. Chiffrement (Cryptographie)

Toutes les données sont chiffrées en transit via le protocole TLS 1.3 (Transport Layer Security) avec des suites de chiffrement fortes. Les données sont chiffrées au repos (At Rest) dans nos bases de données et nos systèmes de fichiers utilisant le standard AES-256 (Advanced Encryption Standard 256-bits).

3.2. Cloisonnement Logique (Multi-tenancy)

L'architecture logicielle assure une stricte isolation logique des données de chaque Client. Un Client ne peut techniquement pas accéder aux données d'un autre Client. Chaque requête est authentifiée et vérifiée par des jetons de contrôle d'accès (Access Tokens).

3.3. Résilience et Sauvegardes

Des sauvegardes complètes et incrémentielles sont effectuées quotidiennement. Elles sont chiffrées et répliquées géographiquement pour garantir la résilience en cas de sinistre majeur (Plan de Reprise d'Activité - PRA). L'intégrité des sauvegardes est testée régulièrement.

3.4. Traçabilité et Piste d'Audit

Le système maintient un journal d'audit (Audit Log) inaltérable enregistrant les actions critiques (connexion, consultation, modification, suppression). Ces journaux sont conservés pour permettre au Client de répondre à ses obligations de contrôle interne ou d'audit fiscal.

4. Localisation des Données et Transferts

Soucieux de la souveraineté numérique, l'Éditeur propose des options d'hébergement garantissant la conformité aux réglementations locales.

Par défaut : Les infrastructures d'hébergement principal et de sauvegarde sont situées sur le territoire de la France (Union Européenne).

Option Contractuelle : Pour les Clients soumis à des exigences spécifiques (notamment Loi 25 au Québec), l'hébergement peut être localisé au Canada sur demande écrite ou via l'option dédiée dans le contrat de licence.

Aucun transfert de données sensibles en dehors de la zone juridictionnelle convenue (UE ou Canada) n'est effectué par l'Éditeur sans garanties juridiques appropriées (Clauses Contractuelles Types, Décision d'Adéquation, ou Évaluation des Facteurs relatifs à la Vie Privée).

5. Sous-traitants Ultérieurs

Le Client autorise expressément l'Éditeur à faire appel à des sous-traitants techniques (hébergeurs, fournisseurs de services email, solutions de paiement) pour l'exécution du Service. L'Éditeur s'assure que ses sous-traitants présentent des garanties de sécurité équivalentes ou supérieures aux siennes et sont liés par des accords de confidentialité stricts (DPA). La liste des sous-traitants est disponible sur demande.

6. Exercice des Droits (Accès, Rectification, Oubli)

Conformément aux lois applicables, les personnes concernées disposent de droits sur leurs données.

Procédure pour les Répondants (Personnes Physiques)

Si vos données ont été collectées via un formulaire Folio, elles sont sous la responsabilité juridique exclusive du Client (Professionnel) qui vous a sollicité.

En qualité de sous-traitant technique, l'Éditeur ne peut pas répondre directement à vos demandes d'accès, de rectification ou d'effacement sans l'instruction expresse du Client. Nous vous invitons à contacter directement le Professionnel concerné (Avocat, Comptable, etc.).

L'Éditeur s'engage à assister le Client, dans la mesure du possible techniquement, pour lui permettre de s'acquitter de son obligation de donner suite aux demandes d'exercice des droits.

7. Durée de Conservation et Réversibilité

  • Durée : Les données sont conservées pour la durée de validité du Contrat de Service souscrit par le Client.
  • Réversibilité : Au terme du contrat (résiliation ou non-renouvellement), le Client dispose d'une période de réversibilité (définie dans les CGV) pour exporter l'intégralité de ses données dans un format standard, ouvert et lisible.
  • Suppression : À l'issue de cette période, et sauf obligation légale de conservation incombant à l'Éditeur, toutes les données du Client seront irrémédiablement supprimées des serveurs de production et des sauvegardes, selon les cycles de rétention technique.

8. Gestion des Incidents et Violations de Données

En cas de violation de données avérée (accès non autorisé, perte, divulgation) affectant les données du Client, l'Éditeur s'engage à :

  1. Notifier le Client dans les meilleurs délais après en avoir pris connaissance, conformément aux délais légaux (ex: 72h RGPD).
  2. Fournir toutes les informations utiles sur la nature de l'incident et les conséquences probables.
  3. Prendre les mesures correctives immédiates pour faire cesser l'incident.

Il appartient au Client, en sa qualité de Responsable du Traitement, de notifier l'incident aux autorités compétentes (CNIL, CAI) et aux personnes concernées si la réglementation l'exige.

9. Contact et Responsable de la Protection

Pour toute question relative à la présente Politique, à la sécurité du Service, ou pour contacter notre Responsable de la protection des renseignements personnels :

Responsable de la protection des renseignements personnels (RPRP)

Code Venus SAS

Adresse : 60 rue François 1er, 75008 Paris, France

Email dédié : support@code-venus.com

Ce document est protégé par le droit d'auteur. Toute reproduction totale ou partielle sans autorisation est interdite.

© 2026 Code Venus SAS. Tous droits réservés.