Aller au contenu principal
Essayer

Conformité RGPD

Politique de confidentialité

Dernière mise à jour : 27 avril 2026

1. Préambule

La présente politique décrit la manière dont Scope (ci-après « Scope » ou « nous ») collecte, traite et protège vos données à caractère personnel, conformément au règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

Cette politique couvre l'ensemble des traitements mis en œuvre par Scope dans le cadre de son site et de son service. Pour les traitements effectués pour le compte d'une Organisation cliente (par exemple le contenu que vous nous confiez via votre Compte), Scope agit en qualité de sous-traitant au sens du RGPD ; les conditions applicables figurent dans notre Data Processing Agreement.

2. Responsable du traitement

Le responsable du traitement est Amir KELLOUSIDHOUM, auto-entrepreneur (BNC libéral), 133 rue du Général de Gaulle, 94350 Villiers-sur-Marne, France — SIRET 917 709 024 00017. Les coordonnées complètes figurent dans nos mentions légales.

3. Point de contact RGPD

Au regard de la nature de son activité (SaaS B2B, sans traitement à grande échelle de données sensibles), Scope n'est pas tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Un point de contact unique est néanmoins maintenu à l'adresse dpo@getscope.dev, avec en repli amirksmain@gmail.com. Les courriers postaux peuvent être adressés au siège.

4. Données collectées

4.1 Données de Compte

  • Données traitées : nom, prénom, email professionnel, mot de passe (haché et salé via bcrypt par Supabase Auth), photo de profil optionnelle.
  • Finalités : création et gestion du Compte, authentification, sécurité, fourniture du Service, support.
  • Base légale : exécution du contrat (article 6.1.b du RGPD).

4.2 Données d'Organisation

  • Données traitées : raison sociale, plan souscrit, paramètres, membres invités, rôles et permissions.
  • Finalités : gestion multi-utilisateurs, contrôle d'accès, audit.
  • Base légale : exécution du contrat (article 6.1.b).

4.3 Briefs et Contenu importé

  • Données traitées : textes saisis, transcripts audio, fichiers PDF soumis à OCR si la fonctionnalité Mistral OCR est activée pour votre Organisation, métadonnées associées (titre, tags).
  • Finalités : exécution du pipeline IA (extraction, clarification, cadrage, estimation), production des Documents de cadrage.
  • Base légale : exécution du contrat (article 6.1.b).

4.4 Documents de cadrage

  • Données traitées : versions successives des notes de cadrage, chiffrages et propositions commerciales générées, signatures électroniques, historique d'export.
  • Finalités : conservation, partage, signature, audit.
  • Base légale : exécution du contrat (article 6.1.b).

4.5 Données de paiement

  • Données traitées : raison sociale, adresse de facturation, numéro de TVA intracommunautaire, historique des factures et paiements. Les données de carte bancaire ne sont jamais stockées par Scope ; elles sont traitées exclusivement par Stripe Payments Europe Ltd, certifié PCI DSS Level 1.
  • Finalités : facturation, comptabilité, lutte contre la fraude.
  • Base légale : exécution du contrat et obligations légales comptables (articles 6.1.b et 6.1.c).

4.6 Données techniques et logs

  • Données traitées : adresse IP, user-agent, traces serveur, événements applicatifs, journaux de sécurité.
  • Finalités : sécurité, prévention de la fraude, debug, amélioration du Service.
  • Base légale : intérêt légitime à sécuriser le Service (article 6.1.f), avec mise en balance documentée.

4.7 Cookies

  • Données traitées : identifiant de session Supabase, préférences d'affichage, jeton CSRF.
  • Finalités : authentification, fonctionnement du Service. Aucun cookie de mesure d'audience tiers ni publicitaire n'est déposé à ce jour.
  • Base légale : exemption de consentement (cookies strictement nécessaires, article 82 LIL).

5. Durées de conservation

  • Compte actif : tant que l'Utilisateur conserve un Compte actif au sein d'une Organisation cliente.
  • Compte inactif > 24 mois : suppression automatique, sauf demande expresse de conservation adressée à dpo@getscope.dev.
  • Briefs et Documents de cadrage : conservés pendant la durée de l'abonnement, puis 30 jours après résiliation pour permettre l'export, puis suppression.
  • Données de facturation : 10 ans à compter de la clôture de l'exercice comptable, conformément à l'article L.123-22 du Code de commerce.
  • Logs techniques : 30 jours en production, puis suppression automatique.
  • Audit logs (mutations sensibles : exports, signatures, débits crédits) : 5 ans, en cohérence avec les obligations comptables et la traçabilité requise par l'article L.123-22 du Code de commerce.
  • Tickets de support : 3 ans après dernier contact.
  • Prospects non clients : 3 ans à compter du dernier contact actif.

6. Destinataires

Vos données sont accessibles uniquement à :

  • l'éditeur, dans la limite de ses besoins opérationnels (principe de moindre privilège) ;
  • les sous-traitants ultérieurs listés sur la page Sous-traitants, chacun lié par un Data Processing Agreement conforme au RGPD ;
  • les autorités administratives ou judiciaires, sur réquisition légale et après vérification de la légitimité de la demande.

Vos données ne sont jamais cédées, vendues ou louées à des tiers à des fins commerciales.

7. Transferts hors Union européenne

Scope héberge l'intégralité de la base de données applicative et des fichiers Storage en Union européenne, dans la région eu-west-1 (Dublin, Irlande) chez Supabase et chez Vercel. Certains sous-traitants techniques peuvent toutefois traiter des données aux États-Unis :

  • OpenRouter (passerelle multi-modèles), Anthropic et OpenAI (modèles Claude et GPT, accès indirect via OpenRouter), Google (modèles Gemini, accès indirect via OpenRouter), Resend (emails transactionnels) et GitHub (hébergement du code, sans données utilisateur).

Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), et s'appuient, lorsque applicable, sur la certification EU-US Data Privacy Framework des sous-traitants concernés. La liste détaillée des régions et certifications figure sur la page Sous-traitants.

8. Intelligence artificielle et entraînement de modèles

Scope ne dispose pas de modèle d'IA en propre et ne réutilise jamais votre Contenu pour entraîner un quelconque modèle. Les requêtes IA transitent par les fournisseurs listés sur la page Sous-traitants, qui appliquent leurs propres politiques de non-réutilisation, opposables via leurs DPA. Les fournisseurs d'API (OpenRouter, Mistral AI, Gladia, ainsi qu'Anthropic, OpenAI et Google atteints via OpenRouter) ne réutilisent pas, par défaut, les requêtes API B2B pour entraîner leurs modèles. Cette politique est confirmée par leurs conditions commerciales et opposables via les DPA référencés.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • droit d'accès (article 15) ;
  • droit de rectification (article 16) ;
  • droit à l'effacement, dit « droit à l'oubli » (article 17) ;
  • droit à la limitation du traitement (article 18) ;
  • droit à la portabilité (article 20) ;
  • droit d'opposition (article 21) ;
  • droit de retrait du consentement (article 7), lorsque le traitement est fondé sur celui-ci ;
  • droit de définir des directives relatives au sort de vos données après votre décès (article 85 LIL).

Si vous disposez d'un compte Scope, vous pouvez exercer immédiatement vos droits d'accès (article 15) et d'effacement (article 17) depuis la page Mes données personnelles de votre espace — export complet par email en quelques minutes, suppression définitive avec double-confirmation. Pour les autres droits (rectification, limitation, portabilité, opposition) ou si vous n'avez pas de compte, écrivez à dpo@getscope.dev en justifiant de votre identité (par exemple, copie d'une pièce d'identité, masquée à l'exception du nom et de la date de naissance). Nous vous répondons dans un délai d'un (1) mois, prolongeable de deux (2) mois en cas de demande complexe ou nombreuse, conformément à l'article 12.3 du RGPD.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — formulaire en ligne : cnil.fr/fr/plaintes.

10. Cookies et traceurs

Scope dépose uniquement les cookies strictement nécessaires au fonctionnement du Service. La mesure d'audience anonyme via Plausible (sans cookie tiers, sans empreinte navigateur) et les préférences d'interface ne sont activées qu'après votre consentement explicite via la bannière. Aucun cookie publicitaire n'est déposé. Récapitulatif :

CookieCatégorieFinalitéDurée
sb-access-tokenEssentielSession d'authentification Supabase1 heure (rotation auto)
sb-refresh-tokenEssentielRenouvellement de session7 jours
scope-themePréférenceThème clair / sombre1 an
scope-csrfEssentielProtection CSRFSession
scope_consentEssentielMémorise vos préférences cookies (RGPD)13 mois

Vous pouvez à tout moment paramétrer votre navigateur pour refuser ou supprimer ces cookies, ce qui peut affecter le fonctionnement du Service (déconnexion, perte des préférences). Aucun consentement n'est requis pour les cookies essentiels (article 82 LIL).

Modifier vos préférences cookies

Réouvrez la bannière pour activer ou retirer la mesure d'audience et les préférences d'interface. Vos choix sont conservés 13 mois.

11. Sécurité

Scope met en œuvre des mesures techniques et organisationnelles adaptées au risque, conformément à l'article 32 du RGPD, parmi lesquelles :

  • chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos sur les volumes Supabase (Postgres, Storage) ;
  • authentification par mots de passe hachés et salés (bcrypt, via Supabase Auth) ;
  • séparation stricte multi-tenant : les politiques Postgres Row Level Security (RLS) isolent les données de chaque Organisation au niveau du moteur de base de données ;
  • audit logs immutables sur les mutations sensibles (export, signature, débit crédits) ;
  • absence totale de stockage de données de paiement (PCI DSS Level 1 délégué à Stripe).

Le détail des mesures, l'organisation de la réponse aux incidents et la liste des certifications de nos sous-traitants sont décrits sur la page Sécurité.

12. Modifications

Scope peut faire évoluer la présente politique pour tenir compte d'évolutions légales, techniques ou de l'organisation. Toute modification substantielle est notifiée par email aux Utilisateurs au moins quinze (15) jours avant son entrée en vigueur.

13. Contact

Pour toute question relative à cette politique ou à vos données personnelles : dpo@getscope.dev.