Politique de confidentialité

Version 2.2 — en vigueur au 6 mai 2026

Le CABINET AMIEL, en qualité de responsable de traitement, accorde une importance particulière à la protection des données personnelles, dans le strict respect du Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

En qualité d'avocat, le cabinet est également soumis au secret professionnel (art. 66-5 de la loi n° 71-1130 du 31 décembre 1971, art. 2 et 3 du RIN). Les informations confiées dans le cadre du mandat bénéficient de cette protection renforcée, supérieure et exclusive des règles de droit commun, y compris dans les relations avec un confrère succédant dans le dossier.

1. Responsable de traitement et DPD

CABINET AMIEL
11 boulevard de Sébastopol — 75001 PARIS
SIRET : 441 447 349 000 57

Référent protection des données : Patrice AMIEL — Avocat responsable de traitement et referent protection des donnees (cabinet individuel)
Email : rgpd@amielavocat.com

2. Données traitées, finalités, bases légales et durées

2.1 Gestion des dossiers de cession de fonds de commerce

• Données : identité, coordonnées, SIREN/SIRET, situation patrimoniale, documents comptables (bilans, CA mensuels), correspondances, actes et pièces du dossier
• Finalité : exécution du mandat de conseil et de rédacteur d'acte
• Base légale : exécution du contrat (art. 6.1.b RGPD) et obligations légales de l'avocat (art. 6.1.c RGPD)
• Durée : 10 ans après clôture du dossier (art. L. 110-4 C.com. et L. 123-22 C.com.) puis anonymisation ou archivage définitif pour les actes fondateurs (acte authentique, cession de fonds)

2.2 Gestion des comptes utilisateurs de la plateforme

• Données : nom, email, téléphone, rôle, langue, historique de connexions
• Finalité : accès sécurisé à la plateforme et suivi du dossier
• Base légale : exécution du contrat (art. 6.1.b RGPD)
• Durée : durée du mandat + 3 ans (suppression ou anonymisation à l'issue)

2.3 Communications électroniques

• Données : nom, email, langue, contenu des messages
• Finalité : suivi du dossier, relances, échéances, notifications
• Base légale : exécution du contrat
• Durée : durée du mandat + 10 ans (prescription commerciale)

2.4 Coffre-fort numérique

• Données : pièces d'identité, RIB, avis d'imposition, relevés bancaires, documents sensibles nécessaires à l'opération
• Finalité : stockage chiffré des pièces indispensables à la cession
• Base légale : obligation légale (art. 6.1.c RGPD) + lutte anti-blanchiment (art. L. 561-1 et s. CMF)
• Durée : 10 ans après clôture du dossier

2.5 Journalisation et sécurité

• Données : identifiant utilisateur, adresse IP, actions, horodatage, événements de sécurité (tentatives de connexion infructueuses, blocages temporaires d'IP en cas de requêtes anormales, alertes du filtre anti-injection LLM en entrée et de l'analyseur de sortie LLM)
• Finalité : sécurité, traçabilité des accès, détection et investigation des incidents (force brute, bourrage d'identifiants, tentatives d'injection)
• Base légale : intérêt légitime (art. 6.1.f RGPD)
• Durée : 5 ans pour le journal général (traçabilité et secret professionnel) ; les seuils techniques de rate-limiting par IP et de blocage d'IP sont conservés en mémoire vive pour la durée d'application (15 minutes à 30 minutes selon la mesure)

2.6 Registre d'usage de l'intelligence artificielle

• Données : dossier concerné, date, utilisateur, type de traitement IA (analyse, génération), données d'entrée pseudonymisées, résultat généré, validation humaine
• Finalité : traçabilité des usages d'IA, preuve de la validation humaine, conformité à l'AI Act et à la Grille CNB IA 2025
• Base légale : obligation légale (AI Act art. 12) et intérêt légitime
• Durée : 36 mois minimum (Grille CNB IA 2025)

2.7 Consentements et acceptations

• Données : version des documents acceptés, horodatage, IP, user-agent
• Finalité : preuve du consentement (art. 7.1 RGPD)
• Base légale : obligation légale
• Durée : 10 ans

2.8 Signatures électroniques

La plateforme permet deux types de signature électronique :

• Signature électronique simple (niveau SIMPLE du règlement eIDAS UE 910/2014) — pour la convention d'honoraires. Lors de la signature en ligne, la plateforme enregistre : l'identité de l'utilisateur connecté, la date et l'heure UTC du clic, l'adresse IP, le user-agent du navigateur, la mention manuscrite électronique saisie, la version du document acceptée et une empreinte SHA-256 du document signé (permettant de vérifier son intégrité). Valeur juridique : signature électronique au sens des articles 1366 et 1367 du Code civil.
• Signature électronique qualifiée (niveau QUALIFIÉ eIDAS) — pour les actes engageants (promesse, acte de cession, avenants). La plateforme n'effectue aucune signature : elle génère un ZIP des actes et annexes sélectionnés (avec empreintes SHA-256 par fichier et bordereau récapitulatif), que l'avocat dépose manuellement sur la plateforme e-ASSP (e-Acte Sous Signature Privée) du Conseil national des barreaux (https://e-actesoussignatureprivee.avocat.fr). Le PDF final signé et le dossier de preuves sont ensuite réimportés dans la plateforme. Valeur juridique : signature électronique équivalente à la signature manuscrite (art. 1367 al. 2 C. civ., art. 25 eIDAS) + contresignature d'avocat au sens de l'article 1374 C. civ.

• Finalité : conclusion et preuve des engagements contractuels.
• Base légale : exécution du mandat (art. 6.1.b RGPD).
• Durée : 10 ans (convention d'honoraires et actes sous signature privée ; la signature qualifiée e-ASSP bénéficie en outre d'un archivage à valeur probante de 75 ans par le CNB).

3. Analyse d'impact relative à la protection des données (AIPD)

En raison du traitement de données patrimoniales, fiscales et bancaires, et du recours à un modèle de langage (LLM) hébergé en France (Cloud Temple, SecNumCloud), le cabinet a réalisé une analyse d'impact relative à la protection des données (art. 35 RGPD). Cette AIPD est tenue à disposition de la CNIL sur demande. Elle est mise à jour en cas de modification substantielle du traitement.

4. Destinataires des données

Les données sont strictement accessibles :

• au cabinet CABINET AMIEL et à ses collaborateurs habilités, sous le sceau du secret professionnel ;
• à l'avocat de la partie adverse, le cas échéant, dans le cadre du contradictoire et exclusivement pour les pièces communicables ;
• aux administrations et organismes compétents en fonction de la nature du fonds cédé : Direction générale des douanes et droits indirects (DGDDI), Française des Jeux (FDJ), Pari Mutuel Urbain (PMU), RATP / IDFM pour les fonds de bureau de tabac ; préfecture, mairie et services d'hygiène pour la licence IV et les autorisations de terrasse pour les fonds de restauration ; commune en cas de droit de préemption urbain ; Trésor public et services de l'enregistrement pour l'enregistrement de l'acte ;
• à la CARPA Paris pour la gestion du séquestre et des maniements de fonds ;
• aux juridictions et auxiliaires de justice si requis ;
• aux sous-traitants techniques listés au point 5, strictement dans la limite de leur mission.

5. Sous-traitants techniques (art. 28 RGPD)

Le cabinet recourt aux sous-traitants techniques suivants, chacun encadré par un accord sur le traitement des données (DPA) conforme à l'article 28 RGPD :

• Cloud Temple SAS — Hébergement LLM (SecNumCloud)
  Localisation : France
  Encadrement : Hébergement souverain qualifié SecNumCloud par l'ANSSI
  Finalité : Analyse documentaire et generation d'actes juridiques apres pseudonymisation prealable
• Proton AG — Sauvegarde chiffree des fichiers du dossier (Proton Drive)
  Localisation : Suisse
  Encadrement : Decision d'adequation UE-Suisse (art. 45 RGPD)
  Finalité : Sauvegarde quotidienne/mensuelle/annuelle des dossiers, chiffree cote cabinet en AES-256-GCM avant transmission ; cle de chiffrement detenue exclusivement par le cabinet
• Proton AG — Messagerie professionnelle (Proton Mail)
  Localisation : Suisse
  Encadrement : Decision d'adequation UE-Suisse
  Finalité : Correspondance professionnelle chiffree
• Hébergeur de la plateforme — OVH SAS (OVHcloud)
  Localisation : Datacentre OVH Gravelines (Nord, France) — donnees stockees exclusivement sur le territoire francais
  Certifications : ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1 et 2 Type II, CISPE Code of Conduct, HDS (sur offres dediees)

6. Transferts hors Union européenne

Le traitement des données par le LLM intégré est réalisé intégralement en France, sur l'infrastructure SecNumCloud de Cloud Temple SAS (qualifiée par l'ANSSI). Aucun transfert de données hors de l'Union européenne n'a lieu pour le traitement par intelligence artificielle.

Certaines opérations techniques annexes impliquent un transfert de données vers des pays tiers à l'Union européenne. Ces transferts sont encadrés conformément aux articles 44 et suivants du RGPD :

• Suisse — pour le stockage et la messagerie (Proton AG) : décision d'adéquation de la Commission européenne du 26 juillet 2000.

Les clauses contractuelles et attestations de conformité sont communicables sur demande au référent protection des données.

7. Intelligence artificielle générative — information spécifique

La plateforme intègre un modèle de langage (LLM) hébergé par Cloud Temple sur infrastructure SecNumCloud qualifiée ANSSI, localisée en France (LLM hébergé Cloud Temple (infrastructure SecNumCloud qualifiée ANSSI)), pour assister le cabinet dans certaines tâches (analyse de baux commerciaux, analyse documentaire, extraction de données, rédaction assistée). Les données traitées par le LLM ne quittent pas le territoire de l'Union européenne.

Le cabinet s'engage à :

• pseudonymiser systématiquement les données identifiantes avant toute transmission au LLM (suppression des noms, adresses, numéros d'identification) ;
• exécuter, sur l'infrastructure du cabinet et sans appel réseau, un filtre anti-injection en amont qui détecte les tentatives d'injection de prompt, contournement de consigne et tentatives d'exfiltration cachées dans les pièces téléversées (notamment chiffrement, encodage Base64, homoglyphes, motifs de commande connus). Toute requête classée à risque élevé n'est pas transmise au LLM ;
• analyser de la même manière les réponses du LLM avant restitution dans la plateforme afin de détecter les fuites éventuelles de données personnelles hallucinées, les fragments d'instructions internes, les commandes destructrices ou les injections de scripts ;
• soumettre toute production de l'IA à une validation humaine par l'avocat avant utilisation ;
• ne jamais communiquer à un outil d'IA généraliste externe d'informations couvertes par le secret professionnel ;
• encadrer contractuellement l'interdiction de réutilisation des données pour l'entraînement des modèles ;
• tenir un registre des usages d'IA pendant 36 mois minimum ;
• réaliser une AIPD dédiée pour les usages à risque plus élevé.

Droit d'opposition : le client peut à tout moment demander que son dossier soit traité sans recours à l'IA générative, sans conséquence sur la qualité ou le prix de la prestation. Cette demande est formulée auprès de l'avocat en charge du dossier ou via la rubrique Mes données.

Classification AI Act : Risque moyen (generation d'actes juridiques sous controle humain). Les traitements IA du cabinet s'inscrivent dans le respect du Règlement UE 2024/1689 (AI Act) et des obligations de transparence, documentation et gouvernance qu'il prévoit.

8. Sécurité des données

• Chiffrement AES-256-GCM des données sensibles au repos
• Chiffrement Fernet des fichiers stockés
• Authentification à deux facteurs (TOTP, SMS)
• Coffre-fort numérique avec audit trail de chaque accès
• Journalisation et supervision des accès
• Scan antivirus de chaque fichier déposé (ClamAV)
• Limitation du débit (rate-limiting) par adresse IP sur les points d'authentification et de recherche, avec retour HTTP 429 et en-tête Retry-After au-delà du seuil
• Blocage temporaire d'une adresse IP après 5 tentatives de connexion infructueuses en 15 minutes (durée de blocage : 30 minutes)
• Vérification anti-bot par captcha mathématique local (cookie HMAC, sans dépendance externe) à partir de la 2^e tentative de connexion infructueuse depuis une adresse IP donnée, RGPD-compatible et sans transfert de données à un tiers
• En-têtes HTTP de sécurité (CSP, HSTS, X-Frame-Options, X-Content-Type-Options) et protection CSRF (vérification d'origine + double-submit cookie sur les opérations sensibles)
• Filtre anti-injection LLM en amont et analyseur de sortie LLM en aval (cf. section 7)
• Partage sécurisé par lien chiffré avec expiration et auto-destruction
• Hébergeur certifié ISO 27001 (qualification SecNumCloud ANSSI en cours de sélection), avec protection anti-DDoS de niveau réseau (L3/L4) assurée par l'hébergeur ou par un service de proxy CDN en amont
• Sauvegardes chiffrées quotidiennes et plan de continuité d'activité

9. Violation de données (art. 33-34 RGPD)

En cas de violation de données, le cabinet notifie la CNIL dans les 72 heures après en avoir pris connaissance, et informe sans délai les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Un registre interne des violations est tenu conformément à l'article 33.5 RGPD.

10. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès (art. 15) : obtenir une copie de vos données
• Droit de rectification (art. 16) : corriger vos données inexactes
• Droit à l'effacement (art. 17) : sous réserve des obligations légales de conservation
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
• Droit d'opposition (art. 21) : incluant l'opposition au recours à l'IA générative
• Droit à la limitation (art. 18)
• Directives post-mortem (art. 85 loi 78-17)

Ces droits peuvent être exercés en contactant : rgpd@amielavocat.com.

Certains droits peuvent être limités lorsque les données sont couvertes par le secret professionnel ou nécessaires à l'exercice de la défense d'un droit en justice (art. 9.2.f et 23 RGPD, art. 66-5 loi 31 décembre 1971).

11. Cookies

La plateforme n'utilise que des cookies strictement nécessaires à son fonctionnement (authentification, langue, flash messages). Aucun cookie de mesure d'audience, publicitaire ou de profilage n'est utilisé. Ces cookies techniques sont exemptés de consentement au sens de l'article 82 de la loi Informatique et Libertés et des lignes directrices de la CNIL.

12. Réclamation auprès de la CNIL

Vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr

13. Médiation

Tout client consommateur peut également saisir le Mediateur de la consommation de la profession d'avocat : https://mediateur-consommation-avocat.fr.

14. Mise à jour

La présente politique est susceptible d'évoluer. Toute modification substantielle est communiquée aux utilisateurs et peut donner lieu à un renouvellement de leur acceptation.