Politique RGPD audit-ready
VigiComply est une application SaaS de screening des tiers éditée par Complyo (SASU). Cette page présente l’organisation RGPD, les traitements, les mesures de sécurité, les durées de conservation et les engagements applicables aux utilisateurs et clients professionnels.
1. Identité de l’éditeur
VigiComply est une application SaaS éditée par Complyo (SASU), spécialisée dans les solutions RegTech à destination des PME, TPE, professions libérales et organisations devant gérer des obligations de conformité.
| Dénomination | Complyo (SASU) |
|---|---|
| Siège social | 23 rue de Richelieu, 75001 Paris, France |
| RCS / SIREN | [À compléter après immatriculation] |
| Contact | contact@complyo.fr |
2. Rôles RGPD de Complyo
Selon les traitements concernés, Complyo peut intervenir en qualité de responsable de traitement ou de sous-traitant.
2.1 Complyo responsable de traitement
Complyo est responsable de traitement pour les données nécessaires à la gestion des comptes utilisateurs, la relation commerciale, la facturation, la sécurité, le support et les communications marketing B2B.
2.2 Complyo sous-traitant
Lorsque le client utilise VigiComply pour évaluer ses propres tiers, le client reste responsable de traitement des données qu’il décide de soumettre ou de rechercher via l’application. Complyo agit alors comme sous-traitant.
3. Catégories de données traitées
| Catégorie | Exemples | Origine |
|---|---|---|
| Compte utilisateur | Nom, prénom, adresse email professionnelle, organisation, rôle | Utilisateur / client |
| Connexion et sécurité | Adresse IP, horodatage, logs d’authentification, événements techniques | Application |
| Facturation | Identité de facturation, adresse, plan souscrit, historique de paiement | Client / prestataire de paiement |
| Support | Messages, demandes, pièces éventuellement transmises par le client | Utilisateur / client |
| Screening tiers | Nom de personne morale ou physique, pays, signaux de risque, résultat de screening | Client / sources publiques ou spécialisées |
4. Finalités et bases légales
| Finalité | Base légale | Rôle de Complyo |
|---|---|---|
| Création et gestion du compte | Exécution du contrat | Responsable de traitement |
| Fourniture du service VigiComply | Exécution du contrat | Sous-traitant pour le client |
| Screening sanctions, PEP, adverse media, risques pays | Intérêt légitime du client / obligations réglementaires du client selon son secteur | Sous-traitant |
| Facturation et comptabilité | Obligation légale | Responsable de traitement |
| Sécurité et prévention des abus | Intérêt légitime | Responsable de traitement |
| Support client | Exécution du contrat / intérêt légitime | Responsable de traitement |
5. Traitement spécifique des données de screening
VigiComply est conçu selon une logique de confidentialité by design. L’objectif est de fournir un résultat de screening utile au client tout en limitant la conservation des données.
5.1 Sources utilisées
- listes de sanctions nationales et internationales ;
- données PEP lorsque disponibles ;
- sources ouvertes ou publiques, notamment presse et bases de risques ;
- bases de type Offshore Leaks / ICIJ ou équivalent ;
- sources de risque pays et indicateurs de conformité.
5.2 Non-conservation par défaut
Principe : VigiComply ne conserve pas durablement les données de screening brutes lorsque cela n’est pas nécessaire à la fourniture du service.
Lorsque le client active une fonctionnalité d’historique, de dossier ou de rapport, les informations nécessaires peuvent être conservées pendant la durée prévue au contrat ou jusqu’à suppression par le client.
5.3 Support à la décision
VigiComply fournit des signaux d’aide à la décision. Le client reste responsable de l’analyse finale, de la qualification du risque et de la décision prise à l’égard du tiers contrôlé.
6. Durées de conservation
| Données | Durée indicative | Commentaire |
|---|---|---|
| Compte utilisateur | Durée du contrat + délai raisonnable de clôture | Suppression ou anonymisation après résiliation, sauf obligation légale. |
| Données de facturation | 10 ans | Conservation comptable et fiscale. |
| Logs de sécurité | 6 à 12 mois | Durée ajustable selon les besoins de sécurité. |
| Données de support | Durée de la relation + 3 ans | Gestion du suivi client et preuve des échanges. |
| Données de screening sans historique activé | Non conservées durablement | Traitement temporaire limité à la fourniture du résultat. |
| Dossiers / rapports de screening conservés par le client | Selon paramétrage client ou contrat | Le client reste responsable de la durée applicable à ses dossiers. |
7. Mesures de sécurité
- hébergement en France chez OVHcloud ;
- accès applicatif protégé par authentification ;
- chiffrement des échanges via HTTPS/TLS ;
- séparation logique des comptes clients ;
- journalisation des événements techniques et de sécurité ;
- restriction des accès administrateurs selon le principe du moindre privilège ;
- sauvegardes techniques selon les besoins d’exploitation ;
- procédure de gestion des incidents et notification lorsque la réglementation l’exige.
8. Sous-traitants et prestataires
| Prestataire | Rôle | Localisation / remarque |
|---|---|---|
| OVHcloud | Hébergement | France / Union européenne |
| Stripe | Paiement et gestion des abonnements | À vérifier selon configuration du compte Stripe |
| [Outil email transactionnel] | Envoi d’emails techniques | À compléter |
| [Outil analytics, si utilisé] | Mesure d’audience | À compléter ou supprimer si non utilisé |
9. Droits des personnes concernées
Les personnes concernées peuvent exercer leurs droits d’accès, rectification, effacement, limitation, opposition, portabilité lorsque applicable, et introduire une réclamation auprès de la CNIL.
Pour les traitements réalisés par un client via VigiComply, Complyo peut rediriger la demande vers le client responsable de traitement ou l’assister dans le traitement de la demande.
10. Registre synthétique des traitements
| Traitement | Données | Personnes concernées | Base légale | Durée |
|---|---|---|---|---|
| Gestion des comptes | Email, nom, organisation | Utilisateurs clients | Contrat | Durée du contrat |
| Screening tiers | Identité du tiers, signaux de risque | Tiers analysés | Base légale du client | Temporaire ou selon paramétrage client |
| Paiement | Données de facturation, référence abonnement | Clients | Contrat / obligation légale | 10 ans |
| Sécurité | Logs, IP, événements techniques | Utilisateurs | Intérêt légitime | 6 à 12 mois |
11. Transferts hors Union européenne
Les données sont hébergées en France. Certains prestataires techniques, notamment les solutions de paiement ou d’emailing, peuvent impliquer des traitements ou accès hors Union européenne selon leur configuration.
Lorsque de tels transferts existent, Complyo veille à ce qu’ils soient encadrés par des mécanismes juridiques appropriés, tels que les clauses contractuelles types ou tout mécanisme reconnu par la réglementation applicable.
12. Contact RGPD
Email : contact@complyo.fr
Adresse : Complyo (SASU), 23 rue de Richelieu, 75001 Paris, France
Une réponse sera apportée dans les meilleurs délais et, en tout état de cause, dans les délais prévus par la réglementation applicable.
13. Historique des versions
| Version | Date | Modifications |
|---|---|---|
| 1.0 | Janvier 2026 | Création de la politique RGPD audit-ready VigiComply. |