Legaflow

Document légal

Politique de confidentialité

Comment Legaflow collecte, utilise et protège vos données personnelles.

Dernière mise à jour : 14 avril 2026

La présente politique décrit la manière dont la société exploitant Legaflow (« Legaflow », « nous ») collecte et traite les données personnelles dans le cadre de la plateforme accessible à l’adresse legaflow.bf.

Elle est conforme à la Loi n°010-2004/AN du 20 avril 2004 portant protection des données à caractère personnel au Burkina Faso, à l’Acte additionnel A/SA.1/01/10 de la CEDEAO sur la protection des données, ainsi qu’aux principes du RGPD (UE 2016/679) lorsque des résidents européens sont concernés.

1. Responsable du traitement

Le responsable du traitement est l’entité juridique exploitant Legaflow, dont les coordonnées figurent dans les mentions légales. Pour toute question relative à vos données : dpo@legaflow.bf.

2. Données collectées

  • Identification : nom, prénom, email, téléphone, cabinet d’appartenance, rôle.
  • Contenu professionnel : dossiers juridiques, parties, montants, notes, documents que vous saisissez ou téléversez.
  • Facturation : nom du cabinet, plan choisi, historique des paiements (jamais les numéros de carte ni de compte mobile).
  • Techniques : adresse IP, type de navigateur, dates de connexion, journaux d’accès.
  • IA : prompts envoyés à Claude (Anthropic) et réponses produites, conservés pour traçabilité.

3. Finalités

  • Fournir le service de gestion juridique souscrit (exécution du contrat).
  • Authentifier les utilisateurs et sécuriser l’accès aux données du cabinet.
  • Facturer les abonnements et traiter les paiements (via CinetPay).
  • Améliorer la qualité du service (statistiques agrégées, anonymisées).
  • Communiquer les évolutions du service et notifier les rappels via WhatsApp/email avec votre consentement.
  • Respecter nos obligations légales (comptables, fiscales, judiciaires).

4. Bases légales

Selon les traitements, nous nous appuyons sur : l’exécution du contrat (article 6.1.b RGPD, équivalent OHADA), votre consentement (notifications marketing, WhatsApp commercial), nos obligations légales (conservation comptable), ou notre intérêt légitime (sécurité, prévention de la fraude).

5. Destinataires et sous-traitants

Vos données ne sont jamais cédées à des tiers à des fins commerciales. Nous recourons aux sous-traitants suivants, soumis à des engagements contractuels stricts (DPA) :

  • Supabase Inc. (USA / EU-Ouest) — hébergement base de données et stockage.
  • Vercel Inc. (USA) — hébergement applicatif.
  • Anthropic PBC (USA) — service d’IA Claude. Les prompts ne sont pas utilisés pour entraîner les modèles.
  • CinetPay (Côte d’Ivoire) — traitement des paiements mobile money et carte.
  • Twilio Inc. (USA) — envoi de messages WhatsApp.
  • Resend Inc. (USA) — envoi d’emails transactionnels.

6. Transferts hors zone CEDEAO

Certains sous-traitants sont établis aux États-Unis. Les transferts sont encadrés par des clauses contractuelles types et, lorsque applicable, le Data Privacy Framework. Vous pouvez nous demander une copie des garanties à dpo@legaflow.bf.

7. Durées de conservation

  • Données du compte : durée de l’abonnement + 3 ans (prescription civile OHADA).
  • Données de facturation : 10 ans (obligation comptable).
  • Logs techniques : 12 mois.
  • Données IA (prompts, sorties) : 24 mois pour audit qualité.

8. Vos droits

Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité et de définition du sort de vos données après votre décès. Vous pouvez retirer votre consentement à tout moment sans effet rétroactif.

Pour exercer vos droits, écrivez à dpo@legaflow.bf en justifiant votre identité. Nous répondons sous 30 jours.

En cas de désaccord, vous pouvez saisir la Commission de l’Informatique et des Libertés (CIL) du Burkina Faso (cil.bf) ou l’autorité de votre pays de résidence.

9. Sécurité

  • Chiffrement TLS 1.3 sur toutes les connexions.
  • Mots de passe stockés via bcrypt.
  • Isolation stricte par cabinet (Row Level Security PostgreSQL).
  • Sauvegardes quotidiennes chiffrées (rétention 7 jours, étendue 30 jours sur les plans Cabinet).
  • Accès restreint par rôle (admin, juriste, assistant) avec journal d’audit.
  • Notification d’incident sous 72h en cas de violation avérée.

10. Cookies

Legaflow utilise uniquement les cookies strictement nécessaires au fonctionnement (authentification, session). Aucun cookie publicitaire ni de traçage tiers n’est déposé sans votre consentement.

11. Modifications

Nous pouvons faire évoluer cette politique. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur.

⚠️ Ce document est un modèle. Faites-le valider par un conseil juridique avant publication officielle pour votre entité.