1. Contrat.eu ne stocke aucun contrat sur ses serveurs : les documents sont générés et téléchargés directement dans votre navigateur.
2. Les données bancaires sont traitées exclusivement par Stripe — jamais par nous.
3. Nous ne vendons, ne louons et ne partageons aucune donnée à des tiers à des fins commerciales.
4. Vous pouvez exercer vos droits RGPD en 1 email, à l'adresse indiquée au §11.
1. Nos principes
Contrat.eu a été conçu selon le principe de minimisation des données (art. 5-1-c RGPD) :
- aucune création de compte obligatoire ;
- aucune collecte d'information avant paiement ;
- traitement 100% côté navigateur pour les contrats générés (vos données restent sur votre appareil) ;
- sous-traitants soigneusement sélectionnés (Stripe, Cloudflare, Google Analytics, tous situés en UE ou couverts par le Data Privacy Framework).
2. Responsable de traitement
Le responsable de traitement au sens de l'article 4-7 du RGPD est :
- Éditeur :
(SAS, SIREN 897 975 785) - Adresse : 44 Boulevard Napoléon III, 06200 Nice, France
- Email :
Compte tenu de la nature et du volume de traitement, la désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire au sens de l'article 37 RGPD. Un référent RGPD est néanmoins joignable à l'adresse email ci-dessus.
3. Données collectées
Contrat.eu collecte uniquement les catégories de données suivantes :
| Catégorie | Détail | Quand |
|---|---|---|
| Données de navigation | Adresse IP anonymisée, type de navigateur, pages consultées | À chaque visite (logs Cloudflare, 24 h) |
| Données de paiement | Email, nom, adresse de facturation, dernier chiffres de la CB (non-stockés par nous) | Lors d'un achat (via Stripe) |
| Données saisies dans les contrats | Noms, SIRET, adresses, clauses… | Côté navigateur uniquement — jamais transmises à nos serveurs |
| Quota et statut d'abonnement | Nombre de téléchargements gratuits consommés, statut Pro | Stockage local (localStorage) du navigateur — jamais envoyé à nos serveurs |
4. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Fourniture du service de génération | Exécution du contrat (art. 6-1-b) |
| Traitement des paiements | Exécution du contrat (art. 6-1-b) |
| Émission des factures | Obligation légale (art. 6-1-c — art. 289 CGI) |
| Sécurité du site (anti-fraude, logs) | Intérêt légitime (art. 6-1-f) |
| Support utilisateur (email) | Exécution du contrat (art. 6-1-b) |
5. Destinataires et sous-traitants
Vos données peuvent être partagées avec les sous-traitants suivants, liés par un accord de traitement conforme à l'article 28 RGPD :
| Sous-traitant | Service | Pays | Garantie |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Traitement des paiements | Irlande (UE) | Hébergement UE, certifié PCI-DSS |
| Cloudflare Inc. | Hébergement & CDN | États-Unis | Clauses contractuelles types (SCC) + Data Privacy Framework |
| Google Ireland Limited | Mesure d'audience (Google Analytics 4) | Irlande (UE) / États-Unis | Clauses contractuelles types (SCC) + Data Privacy Framework |
Aucune donnée n'est cédée, vendue ou louée à des tiers à des fins commerciales ou publicitaires.
6. Durées de conservation
- Données de facturation : 10 ans après l'émission (obligation légale, art. L.123-22 Code de commerce)
- Données de paiement Stripe : selon la politique Stripe, généralement 7 ans
- Logs de sécurité : 12 mois maximum (recommandation CNIL)
- Emails de support : 3 ans après le dernier contact
- Données saisies dans les formulaires contrat : non conservées — détruites à la fermeture du navigateur
7. Transferts hors Union européenne
Les données transitant par Cloudflare (hébergement) peuvent être stockées temporairement aux États-Unis. Ce transfert est encadré par :
- l'adhésion de Cloudflare au EU-US Data Privacy Framework (décision d'adéquation CE 2023/1795) ;
- la signature des clauses contractuelles types (CCT) de la Commission européenne.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie des données vous concernant
- Rectification : corriger des données inexactes
- Effacement (« droit à l'oubli ») : demander la suppression de vos données
- Limitation : suspendre temporairement un traitement
- Opposition : s'opposer à un traitement basé sur l'intérêt légitime
- Portabilité : recevoir vos données dans un format structuré
- Définir des directives post-mortem sur le devenir de vos données
Pour exercer ces droits, écrivez-nous à l'adresse email indiquée au §11. Réponse garantie sous 30 jours maximum (art. 12-3 RGPD). Une pièce d'identité peut être demandée en cas de doute sur votre identité.
9. Cookies, traceurs et stockage local
9.1. Stockage local strictement nécessaire
Les éléments suivants sont utilisés exclusivement pour le fonctionnement du service et sont exemptés du consentement préalable (art. 82 loi Informatique et Libertés et recommandations CNIL du 17 septembre 2020) :
| Nom | Type | Finalité | Durée |
|---|---|---|---|
contrat_eu_downloads | localStorage | Compteur de téléchargements gratuits | Jusqu'à effacement navigateur |
contrat_eu_pro | localStorage | Statut d'abonnement Pro | 35 jours |
contrat_eu_credits | localStorage | Crédits d'achat à l'unité | Jusqu'à consommation |
contrat_eu_purchases | localStorage | Historique de paiements (session_id Stripe) | Jusqu'à effacement navigateur |
9.2. Mesure d'audience — Google Analytics 4
Contrat.eu utilise Google Analytics 4 (identifiant de mesure G-GQVETQR9MZ) afin d'analyser la fréquentation du site de façon agrégée : pages vues, sources de trafic, taux de conversion. Cette mesure poursuit une finalité statistique et d'amélioration continue du service.
| Nom | Type | Finalité | Durée |
|---|---|---|---|
_ga | Cookie tiers (Google) | Identifiant de visiteur unique | 13 mois |
_ga_GQVETQR9MZ | Cookie tiers (Google) | État de session GA4 | 13 mois |
Responsable conjoint : Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande. Les données sont susceptibles d'être transférées hors UE sous couvert du EU-US Data Privacy Framework (décision d'adéquation CE 2023/1795) et des clauses contractuelles types.
Opposition : vous pouvez refuser le traçage Google Analytics à tout moment :
- en installant le module complémentaire de désactivation officiel de Google ;
- en activant le mode « Do Not Track » de votre navigateur ou en bloquant les cookies tiers ;
- en utilisant un bloqueur de trackers (uBlock Origin, Privacy Badger…).
9.3. Ce que nous n'utilisons pas
Aucun cookie publicitaire, de reciblage ou de profilage commercial n'est déposé. Aucun pixel Meta/Facebook, TikTok, LinkedIn ou autre réseau social de traçage n'est intégré.
10. Sécurité
Contrat.eu met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données (art. 32 RGPD) :
- chiffrement TLS 1.3 (HTTPS) sur l'intégralité du site ;
- HSTS activé, en-têtes de sécurité (X-Frame-Options, CSP…) ;
- sous-traitants certifiés (PCI-DSS pour Stripe, ISO 27001 pour Cloudflare) ;
- principe du moindre privilège pour l'accès aux données ;
- aucune base de données exposée à internet.
11. Contact & Réclamation CNIL
Pour toute question relative à la protection de vos données :
- Email :
- Délai de réponse : 30 jours maximum
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Plainte en ligne : cnil.fr/fr/plaintes