DIV Protocol
SolutionComment ça marche ?TarifsBlogContact

POLITIQUE DE CONFIDENTIALITÉ

DIV PROTOCOL SAS

Dernière mise à jour : 13 février 2026

1. Introduction et engagement

La société DIV PROTOCOL SAS (ci-après « DIV PROTOCOL », « nous », « notre » ou « nos »), société par actions simplifiée au capital de 105,10 €, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 939 283 164, dont le siège social est situé au 200 rue de la Croix-Nivert, 75015 Paris, accorde la plus haute importance à la protection de vos données personnelles. La présente Politique de Confidentialité a pour objet de vous informer, en toute transparence, des modalités de collecte, de traitement, de conservation et de protection de vos données personnelles dans le cadre de l'utilisation de notre plateforme de stockage sécurisé, de partage et de chiffrement de bout en bout de données professionnelles. DIV PROTOCOL agit en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD), la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée), et la directive 2002/58/CE « ePrivacy ».

2. Responsable du traitement

Le responsable du traitement des données à caractère personnel est : DIV PROTOCOL SAS Capital social : 105,10 € SIREN : 939 283 164 RCS Paris : 939 283 164 Siège social : 200 rue de la Croix-Nivert, 75015 Paris Représentée par : Gaspard Bonnot, Président E-mail : contact@divprotocol.com Pour les traitements effectués pour le compte des Clients dans le cadre du Service, DIV PROTOCOL agit en qualité de sous-traitant au sens de l'article 28 du RGPD.

3. Données collectées

DIV PROTOCOL collecte et traite uniquement les données strictement nécessaires à la fourniture, à la sécurité et à l'amélioration du Service. Ces données sont les suivantes :

  • Données d'identification : nom, prénom, adresse e-mail professionnelle, nom de l'entreprise, fonction au sein de l'entreprise ;
  • Données de connexion : identifiants de compte, journaux de connexion (logs), adresses IP, date et heure de connexion, type de navigateur et système d'exploitation ;
  • Données d'authentification : méthode 2FA utilisée (e-mail, TOTP), empreinte de clé WebAuthn (le cas échéant) ;
  • Données d'usage : actions réalisées sur la Plateforme (upload, téléchargement, partage, modification, suppression — soit plus de 28 types d'actions tracées), préférences d'interface, configurations ;
  • Données contractuelles : informations de facturation, coordonnées bancaires (traitées par Stripe, jamais stockées par DIV PROTOCOL), historique des abonnements et transactions ;
  • Données techniques : métadonnées des fichiers (nom, taille, type MIME, date de création/modification, structure arborescente), données de diagnostic et de performance.

Important : en raison de l'architecture de chiffrement de bout en bout, DIV PROTOCOL n'a pas accès au contenu en clair des fichiers hébergés. Seules les métadonnées listées ci-dessus sont accessibles côté serveur. DIV PROTOCOL ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, etc.).

4. Finalités du traitement

Les données personnelles collectées sont traitées exclusivement pour les finalités suivantes :

  • Fourniture et gestion du Service : création et gestion des comptes, authentification, hébergement, stockage, partage, édition collaborative ;
  • Sécurité et intégrité : détection et prévention des accès non autorisés, des fraudes et des incidents de sécurité, journalisation des événements d'audit ;
  • Gestion de la relation commerciale : facturation, gestion des abonnements, support technique, communication relative au Service ;
  • Amélioration du Service : analyse agrégée et anonymisée des usages pour améliorer les performances, l'ergonomie et les fonctionnalités ;
  • Conformité légale et réglementaire : respect des obligations comptables, fiscales, et de conservation légale ;
  • Communication : envoi d'informations relatives au Service (mises à jour, maintenance, incidents), et, avec votre consentement, newsletter et communications commerciales.

5. Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale spécifique :

  • Exécution du contrat (Art. 6.1.b) : création de compte, fourniture du Service, gestion des abonnements, support technique ;
  • Intérêt légitime (Art. 6.1.f) : sécurité des systèmes d'information, prévention de la fraude, amélioration du Service, journalisation d'audit ;
  • Obligation légale (Art. 6.1.c) : conservation des données de facturation, coopération avec les autorités compétentes ;
  • Consentement (Art. 6.1.a) : envoi de communications commerciales et newsletter.

Vous pouvez retirer votre consentement à tout moment pour les traitements fondés sur cette base, sans que cela n'affecte la licéité des traitements effectués antérieurement.

6. Sous-traitants et destinataires

DIV PROTOCOL fait appel à des prestataires techniques de confiance, agissant en qualité de sous-traitants au sens du RGPD, strictement nécessaires à l'exécution du Service. Ces sous-traitants sont soumis à des obligations contractuelles de confidentialité et de sécurité conformes aux exigences du RGPD (article 28).

  • OVH SAS (Roubaix, France) : hébergement de l'infrastructure et des données sur des serveurs situés en France et dans l'Union européenne. OVH fournit également les services de gestion de secrets (Secret Manager) pour le stockage sécurisé des clés d'infrastructure ;
  • Stripe Inc. (Dublin, Irlande — UE) : traitement des paiements par carte bancaire. Stripe est certifié PCI-DSS Niveau 1. Les données bancaires sont traitées directement par Stripe et ne transitent pas par les serveurs de DIV PROTOCOL ;
  • OnlyOffice (Lettonie — UE) : suite bureautique intégrée permettant l'édition collaborative de documents. Le traitement s'effectue dans le cadre du déchiffrement temporaire des documents pour l'édition, dans l'environnement sécurisé de la Plateforme ;
  • Vercel Inc. (San Francisco, USA) : hébergement du site web vitrine (landing page) uniquement. Aucune donnée utilisateur de la Plateforme ne transite par Vercel.

DIV PROTOCOL ne cède, ne loue, ne vend ni ne communique aucune donnée personnelle à des tiers à des fins commerciales, publicitaires ou de profilage. DIV PROTOCOL pourra être amenée à communiquer des données personnelles aux autorités compétentes (judiciaires, administratives, fiscales) en application d'une obligation légale.

7. Hébergement et localisation des données

L'ensemble des Données Client et des données personnelles traitées dans le cadre du Service sont hébergées exclusivement sur des serveurs situés en France et dans l'Union européenne, chez OVH SAS. Le site web vitrine (landing page) est hébergé par Vercel Inc. aux États-Unis. Ce site ne traite aucune donnée personnelle issue de la Plateforme ; seules des données de navigation standards (cookies techniques, analytics anonymes) peuvent être collectées dans ce cadre. DIV PROTOCOL garantit qu'aucun transfert de Données Client ou de données personnelles liées au Service n'est effectué en dehors de l'Union européenne.

8. Sécurité des données

DIV PROTOCOL met en œuvre des mesures techniques et organisationnelles robustes pour protéger vos données personnelles contre tout accès non autorisé, toute altération, divulgation ou destruction :

  • Chiffrement de bout en bout (E2E) : les fichiers sont chiffrés côté client avant tout transfert. DIV PROTOCOL n'a jamais accès aux clés de déchiffrement ;
  • Chiffrement au repos : les données stockées sur les serveurs sont chiffrées au repos ;
  • Chiffrement en transit : toutes les communications sont chiffrées en transit ;
  • Authentification renforcée : 2FA (e-mail, TOTP, backup codes), magic links, WebAuthn/Passkeys ;
  • Contrôle d'accès strict : permissions granulaires par Utilisateur et par ressource, principe du moindre privilège ;
  • Journalisation et audit : plus de 28 types d'actions tracées dans les journaux d'audit ;
  • Isolation des données : isolation logique des données par Client ;
  • Sauvegardes chiffrées : sauvegardes régulières et redondantes, stockées de manière chiffrée ;
  • Surveillance continue : monitoring de l'infrastructure et alertes en temps réel.

9. Durées de conservation

Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, augmentée des délais légaux de prescription :

  • Données de compte (identification, authentification) : conservées pendant la durée du contrat, puis supprimées dans les 30 jours suivant la clôture du compte ;
  • Données de facturation et contractuelles : conservées pendant 10 ans à compter de la clôture de l'exercice comptable, conformément au Code de commerce (Art. L.123-22) ;
  • Journaux de connexion (logs) : conservés pendant 12 mois conformément à l'article 6-II de la LCEN ;
  • Journaux d'audit : conservés pendant la durée du contrat et 12 mois après sa cessation ;
  • Données de la corbeille : supprimées définitivement après vidage de la corbeille ou expiration du délai de conservation ;
  • Cookies : voir la Politique Cookies pour les durées spécifiques.

10. Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (Art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie ;
  • Droit de rectification (Art. 16) : faire corriger des données inexactes ou compléter des données incomplètes ;
  • Droit à l'effacement (Art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
  • Droit à la limitation du traitement (Art. 18) : demander la suspension du traitement dans certains cas ;
  • Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
  • Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime ;
  • Droit de retrait du consentement (Art. 7.3) : retirer votre consentement à tout moment pour les traitements fondés sur cette base ;
  • Droit de définir des directives post-mortem : définir des directives relatives au sort de vos données après votre décès (loi Informatique et Libertés).

Pour exercer vos droits, adressez votre demande par e-mail à : contact@divprotocol.com Votre demande sera traitée dans un délai maximal de trente (30) jours à compter de sa réception. Ce délai peut être prolongé de deux (2) mois en cas de complexité ou de nombre élevé de demandes, sous réserve de vous en informer. Une pièce d'identité pourra vous être demandée en cas de doute raisonnable sur votre identité.

11. Cookies et traceurs

DIV PROTOCOL utilise des cookies et traceurs dans le cadre de son site web et de sa Plateforme. Pour une information complète sur les cookies utilisés, leurs finalités, leurs durées de conservation et les modalités de gestion de vos préférences, veuillez consulter notre Politique Cookies dédiée, accessible à l'adresse /cookies.

12. Transferts internationaux

DIV PROTOCOL ne transfère aucune donnée personnelle liée au Service en dehors de l'Union européenne. Le site web vitrine est hébergé par Vercel Inc. aux États-Unis. Ce traitement est encadré par les clauses contractuelles types (SCC) adoptées par la Commission européenne et ne concerne aucune donnée personnelle issue de la Plateforme. Les paiements sont traités par Stripe via son entité irlandaise (Stripe Technology Europe Limited), au sein de l'Union européenne.

13. Notification des violations de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, DIV PROTOCOL s'engage à :

  • notifier la Commission Nationale de l'Informatique et des Libertés (CNIL) dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD ;
  • informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD ;
  • documenter toute violation dans un registre interne, incluant les faits, les effets et les mesures correctives prises.

14. Contact et réclamations

Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits, vous pouvez contacter : DIV PROTOCOL SAS — Service Juridique 200 rue de la Croix-Nivert, 75015 Paris E-mail : contact@divprotocol.com Si vous estimez, après nous avoir contactés, que vos droits en matière de protection des données ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : CNIL — 3 Place de Fontenoy, TSA 80715 — 75334 Paris Cedex 07 www.cnil.fr

15. Modification de la Politique de Confidentialité

DIV PROTOCOL se réserve le droit de modifier la présente Politique de Confidentialité à tout moment afin de l'adapter aux évolutions légales, réglementaires, techniques ou organisationnelles. Toute modification substantielle sera notifiée aux Utilisateurs par courrier électronique ou par notification sur la Plateforme au moins quinze (15) jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en tête du présent document.