openlegi.fr MCP
Compatibilité Documentation Statut Legal Data Space

Politique de confidentialité – openlegi.fr

1. Objet et champ d'application

La présente politique de confidentialité a pour objet d'informer les utilisateurs du service openlegi.fr (ci‑après le « Service ») des conditions dans lesquelles leurs données à caractère personnel sont collectées, traitées et protégées, conformément au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78‑17 du 6 janvier 1978 modifiée.

L'utilisation du Service implique la mise en œuvre de traitements de données à caractère personnel au sens de ces textes.

2. Responsable du traitement

Le responsable de traitement est l'éditeur du Service openlegi.fr, dont les coordonnées complètes figurent dans les mentions légales accessibles sur le site.

3. Catégories de données traitées

Dans le cadre du Service, l'éditeur est susceptible de traiter notamment les catégories de données suivantes :

3.1. Données d'identification et de compte

Nom, prénom, adresse électronique professionnelle, identifiant de compte, mot de passe (stocké sous forme hachée), organisation de rattachement le cas échéant.

3.2. Données de configuration du compte

Paramètres d'utilisation du Service, préférences techniques, historique de requêtes adressées aux API publiques via le Service (métadonnées).

3.3. Données relatives aux clés d'API

Clés d'API fournies par l'utilisateur pour accéder aux API juridiques publiques, stockées sous forme chiffrée et non lisible en clair par l'éditeur en dehors des opérations techniques strictement nécessaires au fonctionnement du Service.

3.4. Logs techniques et de sécurité

Journaux de connexion et d'usage (adresses IP, horodatages, identifiants techniques, codes de réponse, événements de sécurité), nécessaires au bon fonctionnement, à la sécurité et à la traçabilité du Service.

3.5. Données relatives aux demandes d'exercice de droits

Contenu des demandes adressées via le système de tickets intégré au Service ou via le formulaire de contact, ainsi que les échanges intervenus à cette occasion.

Les données juridiques publiques consultées via le Service (textes législatifs et réglementaires, décisions de justice, informations issues de registres publics, etc.) ne sont pas produites par l'éditeur et relèvent des régimes propres à chaque producteur de données (Légifrance, INPI, etc.), qui mettent en œuvre leur propre politique de confidentialité.

4. Finalités des traitements

Les données personnelles sont traitées pour les finalités suivantes :

4.1. Gestion des comptes utilisateurs et fourniture du Service

Création, gestion et suppression des comptes, configuration des accès, gestion des clés d'API, exécution des requêtes vers les API publiques, mise en forme et restitution des résultats.

4.2. Sécurisation et amélioration du Service

Gestion de la sécurité des accès et des échanges, prévention et détection des incidents de sécurité ou d'abus, production de journaux techniques, amélioration des performances et de la qualité du Service.

4.3. Support utilisateur et gestion des demandes

Gestion des demandes d'assistance, des réclamations et des demandes d'exercice de droits, via le système de tickets ou le formulaire de contact.

4.4. Respect des obligations légales

Conservation de certaines données pour répondre aux obligations légales ou réglementaires applicables, ainsi qu'aux demandes des autorités compétentes.

5. Bases légales des traitements

Les traitements reposent, selon les cas, sur les bases légales suivantes :

5.1. Exécution du contrat

(article 6, § 1, b) RGPD) pour les traitements nécessaires à la fourniture du Service et à la gestion du compte utilisateur (gestion du compte, gestion des clés d'API, exécution des requêtes, support).

5.2. Intérêt légitime

(article 6, § 1, f) RGPD) pour la gestion des demandes transmises via le formulaire de contact, la sécurisation du Service, la prévention des abus, la production de logs techniques, ainsi que l'amélioration et l'optimisation du Service, sous réserve de ne pas porter atteinte aux droits et libertés des personnes concernées.

5.3. Respect d'obligations légales

(article 6, § 1, c) RGPD) pour la conservation de certaines données, notamment dans le cadre des demandes d'exercice de droits, afin de répondre aux obligations légales, réglementaires ou aux demandes des autorités.

6. Durées de conservation

Les données personnelles sont conservées pour des durées limitées, proportionnées aux finalités poursuivies, puis supprimées ou anonymisées.

  • Données de compte : pendant toute la durée d'activation du compte, puis pendant une durée maximale de cinq (5) ans à compter de la clôture du compte, à des fins de preuve et de gestion des litiges.
  • Clés d'API chiffrées : pendant la durée d'activation du compte ou jusqu'à leur révocation par l'utilisateur, puis suppression ou anonymisation sans possibilité de restauration.
  • Logs techniques : pendant une durée maximale de douze (12) mois à compter de leur enregistrement, aux seules fins de sécurité, de traçabilité et d'amélioration du Service.
  • Données relatives aux demandes d'exercice de droits : pendant le temps nécessaire au traitement de la demande, puis archivage pendant une durée maximale de cinq (5) ans à des fins de preuve du respect des obligations issues du RGPD.

L'éditeur s'engage à limiter les durées de conservation conformément aux principes de minimisation et de limitation de la conservation prévus à l'article 5 du RGPD.

7. Destinataires des données et sous‑traitants

Les données personnelles sont destinées aux seules équipes habilitées de l'éditeur, dans la limite de leurs attributions respectives.

L'éditeur peut faire appel à des prestataires techniques agissant en qualité de sous‑traitants au sens de l'article 28 du RGPD (hébergement, maintenance, support, etc.), lesquels ne peuvent traiter les données que sur instruction documentée de l'éditeur et dans le cadre de contrats écrits comportant les clauses exigées par le RGPD.

Liste des sous‑traitants

  • CleverCloud SAS, 4 rue Voltaire – 44000 Nantes (France)

Les données peuvent, le cas échéant, être communiquées à des autorités administratives ou judiciaires, sur requête et dans la limite de ce qui est requis par les textes applicables.

8. Transferts de données hors de l'Union européenne

Les données personnelles sont hébergées et traitées au sein de l'Union européenne.

Si certains sous‑traitants ou prestataires techniques sont situés dans des pays tiers au sens du chapitre V du RGPD, l'éditeur s'assure de la mise en place de garanties appropriées (décisions d'adéquation, clauses contractuelles types, règles d'entreprise contraignantes ou tout autre mécanisme prévu aux articles 44 et suivants du RGPD).

En tout état de cause, les transferts éventuels sont encadrés de manière à garantir un niveau de protection des données personnelles substantiellement équivalent à celui applicable au sein de l'Union européenne.

9. Sécurité des données

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques, notamment : chiffrement des clés d'API, hachage des mots de passe, journalisation des accès, contrôle des habilitations, procédures de sauvegarde et de restauration et, le cas échéant, pseudonymisation de certaines données.

L'utilisateur est toutefois informé qu'aucun système n'est totalement sécurisé et qu'il lui appartient de mettre en œuvre des mesures appropriées pour protéger ses propres systèmes, identifiants et clés d'API.

10. Droits des personnes concernées et modalités d'exercice

Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose, dans les conditions prévues par ces textes, des droits suivants : droit d'accès, de rectification, d'effacement, de limitation du traitement, d'opposition et, le cas échéant, droit à la portabilité.

Ces droits peuvent être exercés :

  • via le système de tickets intégré à l'interface du Service pour les utilisateurs disposant d'un compte ;
  • via le formulaire de contact mis à disposition sur le site pour les personnes ne disposant pas de compte ou ne pouvant y accéder.

L'éditeur s'efforce de répondre aux demandes dans les meilleurs délais et au plus tard dans le délai d'un (1) mois à compter de leur réception, prorogeable dans les cas prévus par l'article 12 du RGPD.

En cas de doute raisonnable sur l'identité du demandeur, l'éditeur peut solliciter la fourniture d'informations complémentaires nécessaires pour confirmer cette identité.

Les personnes concernées disposent également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL).

11. Absence de profilage et caractère gratuit du Service

Le Service est fourni à titre gratuit.

Aucun profilage à des fins de prospection commerciale n'est réalisé sur la base des données personnelles collectées dans le cadre du Service.

Les traitements de données mis en œuvre sont strictement limités aux finalités techniques, de sécurité, de support et de respect des obligations légales décrites dans la présente politique.

12. Cookies et traceurs

12.1. Cadre juridique applicable

L'utilisation de cookies et autres traceurs par le Service est encadrée par l'article 82 de la loi n° 78‑17 du 6 janvier 1978 modifiée, qui transpose l'article 5, paragraphe 3, de la directive 2002/58/CE dite « ePrivacy », telle que modifiée.

12.2. Cookies utilisés par le Service

Le Service utilise exclusivement des cookies de session et autres traceurs strictement nécessaires à son fonctionnement technique, notamment :

  • cookies nécessaires à l'authentification et au maintien de la session utilisateur ;
  • cookies nécessaires à la sécurité des échanges, notamment pour la protection contre les attaques de type « cross‑site request forgery » (CSRF) ou similaires ;
  • le cas échéant, cookies nécessaires à la mémorisation de certains choix techniques indispensables au fonctionnement du Service.

Aucun cookie de mesure d'audience, de suivi publicitaire ou de traçage à des fins marketing n'est déposé ou lu par l'éditeur dans le terminal de l'utilisateur.

Cookies utilisés

Cookie Finalité Durée HttpOnly Secure (HTTPS)
sessionid Maintien de la session utilisateur authentifié Durée de la session navigateur Oui Oui
csrftoken Protection contre les attaques CSRF sur les formulaires Durée de la session Non Oui
messages Affichage des messages de notification (confirmations, erreurs) Une seule requête Non Non

Cookies liés à l'authentification

Cookie Finalité Durée Contexte d'utilisation
account_verified_email Suivi de la vérification de l'adresse email lors de l'inscription Durée de la session Processus d'inscription uniquement
socialaccount_state Paramètre de sécurité OAuth2 pour la connexion Microsoft Durée de la session Connexion via Microsoft Azure AD uniquement

12.3. Consentement de l'utilisateur

Conformément à l'article 82 de la loi Informatique et libertés et à la doctrine de la CNIL, les cookies strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ne requièrent pas le recueil préalable de son consentement.

Dès lors que le Service ne recourt qu'à de tels cookies strictement nécessaires, aucun mécanisme de recueil de consentement aux cookies (bandeau, bouton « accepter/refuser ») n'est mis en œuvre.

L'utilisateur est informé de l'usage de ces cookies par la présente politique de confidentialité accessible sur le site.

Derniere mise a jour : 30 mars 2026