Définitions
« Application » : l'application mobile Sapitor, éditée par la Société.
« Société » ou « STATU CO » : STATU CO, SASU au capital de 1 000 €, immatriculée au RCS de Nantes sous le numéro 992 329 300, dont le siège social est situé 13 rue Michel Ange, 44700 Orvault.
« Utilisateur » : toute personne physique ou morale utilisant l'Application dans le cadre de son activité d'expert judiciaire, d'expert technique ou d'expert d'assuré.
« Contenu Utilisateur » : l'ensemble des données confiées par l'Utilisateur dans le cadre de l'utilisation du Service, incluant les enregistrements audio, les photographies, les transcriptions, les rapports générés, les modèles de rapport et tout autre document.
« Service » : l'ensemble des fonctionnalités proposées par l'Application, notamment la transcription automatique d'enregistrements audio et la génération de pré-rapports.
« Abonnement » : la souscription par l'Utilisateur à une offre payante permettant l'accès aux fonctionnalités du Service.
1. Responsable de traitement et sous-traitant
1.1. Données du compte et de la relation commerciale
Responsable de traitement : STATU CO.
1.2. Contenu Utilisateur
Responsable de traitement : l'Utilisateur, qui détermine les finalités et les moyens du traitement des données collectées lors de ses missions.
Sous-traitant : STATU CO, qui traite le Contenu Utilisateur pour le compte de l'Utilisateur aux seules fins d'exécution du Service.
2. Données collectées
2.1. Données du compte
| Catégorie | Données | Caractère |
|---|---|---|
| Identification | Adresse électronique | Obligatoire |
| Informations professionnelles | Informations éventuellement communiquées par l'Utilisateur (qualité, juridiction, spécialité) ou renseignées par la Société dans le cadre de la relation commerciale | Facultatif |
| Modèle de rapport | Document Word communiqué par l'Utilisateur pour personnaliser la génération de rapports, pouvant contenir des informations professionnelles et personnelles | Facultatif |
| Connexion | Identifiants de session, adresse IP, type de terminal, version du système d'exploitation | Automatique |
| Paiement | Gérées par Apple (App Store) ou Google (Google Play). STATU CO n'a pas accès aux données bancaires de l'Utilisateur. | — |
| Usage | Statistiques d'utilisation anonymisées (fréquence, pages consultées, erreurs) | Automatique |
2.2. Contenu Utilisateur (traité en qualité de sous-traitant)
| Catégorie | Description |
|---|---|
| Enregistrements audio | Captations vocales lors des missions de l'Utilisateur, pouvant contenir la voix de tiers |
| Photographies | Images prises par l'Utilisateur dans le cadre de ses missions |
| Transcriptions | Texte résultant de la transcription automatique des enregistrements |
| Rapports | Pré-rapports Word générés à partir des transcriptions |
| Métadonnées | Date, heure, durée, géolocalisation (si activée par l'Utilisateur) |
Précision sur les données vocales : le traitement vocal a pour unique finalité la conversion de la parole en texte (transcription). Il ne constitue pas un traitement de données biométriques au sens de l'article 9 du RGPD.
Données sensibles potentielles : les enregistrements peuvent contenir des données de santé ou relatives à des infractions selon la nature de l'expertise. L'Utilisateur, en qualité de responsable de traitement, est seul responsable de la licéité de la collecte de ces données et de l'information des personnes concernées.
3. Finalités et bases légales
3.1. Traitements dont STATU CO est responsable
| Finalité | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat (art. 6.1.b RGPD) |
| Fourniture du Service | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation et suivi des abonnements | Exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c) |
| Support technique | Intérêt légitime (art. 6.1.f RGPD) |
| Statistiques agrégées et anonymisées | Intérêt légitime (art. 6.1.f RGPD) |
| Sécurité et prévention de la fraude | Intérêt légitime (art. 6.1.f RGPD) |
3.2. Traitements en qualité de sous-traitant
Le Contenu Utilisateur est traité sur instruction de l'Utilisateur aux fins de : réception, stockage sécurisé, transcription automatique, génération du pré-rapport, mise à disposition dans l'Application et envoi par email.
La base légale de ces traitements relève de la responsabilité de l'Utilisateur en sa qualité de responsable de traitement.
4. Engagements de confidentialité et de sécurité
Dans le cadre de sa mission de sous-traitant, STATU CO met en oeuvre l'ensemble des mesures appropriées pour garantir les engagements suivants :
- La confidentialité de l'ensemble des données confiées par l'Utilisateur, incluant les enregistrements audio, les photographies, les transcriptions, les rapports, les modèles de rapport et tout autre document ;
- Le cloisonnement des données de chaque Utilisateur, rendues inaccessibles aux autres Utilisateurs ;
- L'absence de communication de données à des tiers, en dehors des sous-traitants identifiés à l'article 7 de la présente Politique, lesquels sont tous liés par des engagements de confidentialité et de protection des données au moins équivalents ;
- L'absence d'entraînement de modèles d'intelligence artificielle à partir des données de l'Utilisateur ;
- L'absence de réutilisation des données, y compris des modèles de rapport communiqués par l'Utilisateur, à des fins étrangères au Service de cet Utilisateur ;
- L'hébergement et le traitement exclusif en France de l'ensemble des données d'expertise (enregistrements, photographies, transcriptions, rapports), y compris les traitements par intelligence artificielle (modèles inférés en France) ;
- Le chiffrement des données en transit (TLS 1.2+) et au repos (AES-256) ;
- La limitation de l'accès au Contenu Utilisateur au personnel strictement habilité, soumis à une obligation de confidentialité.
Le personnel habilité de STATU CO peut accéder au Contenu Utilisateur dans la stricte mesure nécessaire à la fourniture du Service, au support technique et à l'amélioration de la qualité du Service. Cet accès ne constitue pas un manquement aux engagements énumérés ci-dessus.
Ces engagements constituent une obligation de moyens au sens de l'article 32 du RGPD, adaptée à l'état de l'art et proportionnée aux risques identifiés.
5. Hébergement et parcours des données
- Captation locale : enregistrement audio et photographies sur le terminal de l'Utilisateur. À ce stade, les données sont uniquement locales.
- Transmission chiffrée : envoi aux serveurs via connexion chiffrée (TLS 1.2+).
- Stockage sécurisé : serveurs situés en France (région parisienne), chiffrés au repos (AES-256). L'infrastructure est certifiée ISO 27001.
- Transcription et génération du rapport : traitement par des modèles d'intelligence artificielle inférés en France. Les données ne quittent pas le territoire français pendant le traitement.
- Mise à disposition : rapport disponible dans l'Application (conservé sur les serveurs en France) et envoyé par email si demandé par l'Utilisateur. En cas d'envoi par email, la sécurité du transport dépend du prestataire de messagerie de l'Utilisateur.
6. Résidence des données
6.1. Garantie de résidence des données d'expertise
L'ensemble des données du Service est hébergé et traité exclusivement en France : enregistrements audio, photographies, transcriptions, rapports, modèles de rapport, données de compte et traitements par intelligence artificielle. Les modèles d'intelligence artificielle utilisés pour la transcription et la génération de rapports sont inférés en France. Les données ne quittent à aucun moment le territoire français.
6.2. Données de paiement
Seule exception : les données transactionnelles liées aux achats in-app (identifiant anonymisé, statut d'abonnement, montant) transitent par les Etats-Unis dans le cadre du fonctionnement des paiements via Apple et Google. Ce transfert est encadré par les Clauses Contractuelles Types de la Commission Européenne (art. 46(2)(c) RGPD). Aucune donnée d'expertise n'est concernée.
7. Sous-traitants
7.1. Liste des sous-traitants
| Service | Prestataire | Localisation des données |
|---|---|---|
| Hébergement, stockage et intelligence artificielle | Microsoft Ireland Operations Limited (certifiée ISO 27001) | France (Île-de-France) |
| Gestion des abonnements in-app | RevenueCat, Inc. (certifiée SOC 2) | Etats-Unis (voir article 6.2) |
7.2. Engagements des sous-traitants
Chaque sous-traitant est lié par des clauses contractuelles garantissant un niveau de protection conforme au RGPD et des engagements de confidentialité stricts. Les données d'expertise ne sont jamais utilisées pour l'entraînement de modèles d'intelligence artificielle par les sous-traitants.
7.3. Changement de sous-traitant
En cas de changement de sous-traitant, l'Utilisateur est informé au moins trente (30) jours à l'avance et dispose de la possibilité de s'opposer, conformément à l'article 28(2) du RGPD.
8. Durées de conservation
8.1. Données du compte
| Données | Durée de conservation |
|---|---|
| Compte utilisateur (profil, identifiants) | Durée de l'Abonnement. Supprimé six (6) mois après la fin de l'Abonnement en l'absence de réabonnement. |
| Données comptables | Conservées par le prestataire de gestion des abonnements conformément aux obligations légales applicables. |
| Logs techniques | 30 jours à 12 mois selon le type. |
8.2. Contenu Utilisateur
| Données | Utilisateur abonné | Après fin de l'Abonnement |
|---|---|---|
| Enregistrements audio | 1 an (rotation automatique) | Supprimés six (6) mois après la fin de l'Abonnement |
| Photographies | 1 an (rotation automatique) | Supprimées six (6) mois après la fin de l'Abonnement |
| Transcriptions | 1 an (rotation automatique) | Supprimées six (6) mois après la fin de l'Abonnement |
| Rapports et dossiers d'expertise | 10 ans | Conservés un (1) an après la fin de l'Abonnement |
| Modèles de rapport (templates) | Durée de l'Abonnement | Supprimés six (6) mois après la fin de l'Abonnement |
Justification de la conservation des rapports : la durée de 10 ans est alignée sur la prescription décennale applicable notamment en matière de construction (article 1792-4-1 du Code civil). Cette durée par défaut s'applique uniformément à l'ensemble des expertises, quelle que soit la spécialité, afin de garantir une politique protectrice pour l'expert. L'Utilisateur peut à tout moment demander une durée de conservation réduite.
8.3. Suppression
Suppression d'un contenu par l'Utilisateur : les données sont définitivement effacées des serveurs dans un délai maximum de trente (30) jours.
Suppression du compte : l'Utilisateur peut demander la suppression de son compte à tout moment. Un délai de trente (30) jours est appliqué avant la suppression définitive, pendant lequel l'Utilisateur peut annuler sa demande. À l'issue de ce délai, l'ensemble des données est définitivement supprimé, à l'exception des données dont la conservation est imposée par la loi.
Fin de l'Abonnement sans réabonnement : les données sont conservées pendant une période de grâce de six (6) mois. L'Utilisateur conserve un accès en consultation pendant cette période. À l'issue de ce délai, les données sont supprimées, à l'exception des rapports et dossiers d'expertise (conservés un an après la fin de l'Abonnement) et des données comptables.
9. Droits des personnes
9.1. Droits de l'Utilisateur
L'Utilisateur dispose des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition prévus par le RGPD.
Exercice : support@sapitor.fr. Réponse sous un (1) mois.
9.2. Droits des personnes enregistrées
Les personnes dont la voix ou l'image figure dans le Contenu Utilisateur exercent leurs droits auprès de l'Utilisateur, responsable de traitement. STATU CO assiste l'Utilisateur dans le traitement de ces demandes.
9.3. Réclamation
Conformément à l'article 77 du RGPD, toute personne peut introduire une réclamation auprès de la CNIL : www.cnil.fr.
10. Responsabilité de l'Utilisateur
L'Utilisateur est seul responsable de l'information des personnes présentes lors de ses opérations d'enregistrement et du respect de la réglementation applicable (article 226-1 du Code pénal, RGPD).
La Société met à disposition dans l'Application des outils facilitant cette information (écran d'information, annonce type).
La Société ne saurait être tenue responsable d'un enregistrement effectué en violation de la loi par l'Utilisateur.
11. Accord de traitement des données (article 28 RGPD)
11.1. Objet
Traitement du Contenu Utilisateur aux fins de fourniture du Service : réception, stockage sécurisé, transcription automatique, génération de rapport, mise à disposition, suppression.
11.2. Données et personnes concernées
- Données : enregistrements audio, photographies, métadonnées, transcriptions, rapports.
- Personnes : toute personne dont la voix ou l'image figure dans le Contenu Utilisateur.
11.3. Engagements de STATU CO en qualité de sous-traitant
STATU CO s'engage à :
(a) Traiter le Contenu Utilisateur uniquement conformément aux finalités définies dans les Conditions Générales d'Utilisation et la présente Politique ;
(b) Garantir la confidentialité de l'ensemble du personnel ayant accès aux données ;
(c) Mettre en oeuvre les mesures de sécurité décrites à l'article 4 de la présente Politique ;
(d) Informer l'Utilisateur préalablement à tout changement de sous-traitant ultérieur (article 7.3) ;
(e) Assister l'Utilisateur pour le traitement des demandes d'exercice des droits des personnes concernées ;
(f) Assister l'Utilisateur pour le respect de ses obligations en matière de sécurité, de notification de violation et d'analyse d'impact (articles 32 à 36 du RGPD) ;
(g) Supprimer l'ensemble des données à la fin de la relation contractuelle, conformément aux durées prévues à l'article 8 ;
(h) Mettre à disposition les informations nécessaires pour démontrer le respect des obligations du présent article et contribuer aux audits. Les audits sont réalisés aux frais du demandeur, sur préavis de trente (30) jours, et limités à un (1) audit par période de douze (12) mois. STATU CO peut satisfaire cette obligation par la mise à disposition des rapports de certification de ses prestataires d'infrastructure.
11.4. Notification des violations
En cas de violation de données personnelles, STATU CO notifie l'Utilisateur dans les quarante-huit (48) heures suivant la découverte de la violation, en précisant : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises.
12. Cookies et analytics
Application mobile : aucun cookie. Identifiants techniques strictement nécessaires au fonctionnement du Service.
Site web sapitor.fr : statistiques d'audience anonymisées, sans cookies et sans collecte de données personnelles.
13. Modification de la présente Politique
Toute modification substantielle de la présente Politique est notifiée à l'Utilisateur au moins quinze (15) jours avant son entrée en vigueur.
14. Contact
STATU CO
13 rue Michel Ange, 44700 Orvault
support@sapitor.fr | 07 44 76 33 66
RCS Nantes 992 329 300 | TVA : FR03992329300