(conformément au règlement (UE) 2016/679 – RGPD, à la loi n° 7817 « Informatique et Libertés » modifiée, et au Digital Services Act)
1. Qui sommes-nous ? – Responsable du traitement
| Société | Fusion SAS |
| Adresse | Les fondreaux 58180 MARZY – France |
| SIREN / RCS | 940 817 471 – RCS Nevers |
| Courriel générique | cdj@fusioncdj.com |
| Délégué à la protection des données (DPO) | cdj@fusioncdj.com |
Important :
- Pour les comptes Orion (identifiants, logs, facturation, support), Fusion SAS agit en responsable de traitement.
- Pour les données contenues dans les constats rédigés avec Orion, chaque office de commissaire de justice est responsable de traitement et Fusion SAS intervient comme soustraitant.
2. Quelles données collectons-nous ?
| Catégories de données | Exemples | Origine |
| Identité professionnelle | nom, prénom, titre, cabinet, numéro CNHJ | formulaire d’inscription |
| Coordonnées | email nominatif, téléphone professionnel, adresse de l’étude | utilisateur |
| Données de connexion | ID de session, adresse IP, type de navigateur, horodatage | collecte automatique |
| Logs d’activité | création/modification de constat, appels API, usage IA | collecte automatique |
| Données de facturation | SIREN, TVA, IBAN, historique des paiements | utilisateur |
| Contenus métier | textes, photos, vidéos, panoramas 360 °, captures d’écran, métadonnées | importés par l’utilisateur |
| Données issues des services Google (si connexion activée) | jetons OAuth, identifiant(s) technique(s), liste d’agendas, événements nécessaires à la synchronisation. | API Google, via OAuth (autorisation de l’utilisateur). |
| textes | textes, photos, vidéos, panoramas 360 °, captures d’écran, métadonnées | importés par l’utilisateur |
Aucun traitement de données dites « sensibles » (art. 9 RGPD) n’est réalisé à l’initiative de Fusion SAS ; si un constat en contient, la responsabilité en incombe au clientresponsable de traitement.
2bis. Données utilisateur Google (Google Agenda)
Données utilisateur Google – Connexion à Google Agenda (et autres services Google le cas échéant)
Lorsque l’utilisateur active la fonctionnalité de connexion à un compte Google, Orion utilise le protocole OAuth 2.0 afin d’obtenir une autorisation d’accès limitée aux données Google strictement nécessaires à la fonctionnalité demandée.
a) Quelles données Google sont concernées
Selon les autorisations (scopes) accordées par l’utilisateur, Orion peut traiter notamment :
-
Données d’authentification : jetons OAuth (access token / refresh token), identifiant technique du compte, périmètre des autorisations accordées (scopes).
-
Google Agenda : liste des agendas accessibles, événements (identifiant d’événement, intitulé, dates/heures, lieu, description, informations de disponibilité, et autres champs strictement nécessaires à la synchronisation, selon les options activées).
b) Finalités (à quoi servent ces données)
Les données Google sont utilisées exclusivement pour :
-
permettre la synchronisation entre Orion et Google Agenda (lecture et/ou création, mise à jour, suppression d’événements selon la configuration) ;
-
éviter les doublons et maintenir la cohérence des synchronisations (ex. correspondance entre un événement Orion et un événement Google via identifiants techniques) ;
-
fournir les fonctionnalités explicitement demandées par l’utilisateur dans l’interface Orion.
c) Base légale
-
Consentement : l’utilisateur choisit de connecter (ou non) son compte Google et peut retirer son consentement à tout moment en déconnectant Google.
-
Le cas échéant, exécution du contrat : fourniture de la fonctionnalité de synchronisation demandée dans le cadre de l’abonnement Orion.
d) Stockage, durée de conservation et suppression
-
Les jetons OAuth et les éléments techniques nécessaires à la synchronisation (ex. identifiants d’événements, journaux techniques) sont conservés uniquement pendant la durée d’activation de la connexion Google et, au plus tard, jusqu’à la révocation par l’utilisateur, puis supprimés ou rendus inexploitables dans des délais compatibles avec les exigences de sécurité et de traçabilité.
-
Les journaux techniques liés à la synchronisation (horodatages, erreurs, identifiants techniques) peuvent être conservés pour une durée limitée afin d’assurer la sécurité, le support et la preuve d’exécution, puis supprimés ou anonymisés.
e) Partage / transfert / divulgation des données utilisateur Google (point exigé par Google)
Fusion SAS ne vend pas les données utilisateur Google et ne les transfère ni ne les divulgue à des tiers à des fins publicitaires, de courtage de données, de revente, de profilage ou de ciblage publicitaire.
Les données utilisateur Google peuvent être communiquées uniquement :
-
Aux personnes habilitées de Fusion SAS, dans la stricte mesure nécessaire à la maintenance et au support, et uniquement sur demande explicite de l’utilisateur ou pour des raisons de sécurité / conformité légale ;
-
Aux sous-traitants techniques intervenant pour l’hébergement, la journalisation (logs), la supervision et la sécurité, agissant sur instructions de Fusion SAS, soumis à des obligations contractuelles de confidentialité et de sécurité ;
-
Aux autorités administratives ou judiciaires, uniquement en cas d’obligation légale ;
-
À Google, uniquement dans la mesure nécessaire au fonctionnement de la synchronisation (appels API) lorsque Orion crée/modifie/supprime des événements dans Google Agenda à la demande de l’utilisateur.
f) Contrôle par l’utilisateur
L’utilisateur peut à tout moment :
-
déconnecter son compte Google depuis Orion ;
-
révoquer l’accès d’Orion à son compte Google via les paramètres de sécurité de son compte Google.
g) Conformité à la politique “Google API Services User Data Policy – Limited Use”
L’utilisation et tout éventuel transfert de données reçues depuis les API Google par Orion sont limités à la fourniture ou l’amélioration de fonctionnalités visibles et demandées par l’utilisateur, conformément à la Google API Services User Data Policy, y compris les exigences de “Limited Use”.
3. Pourquoi traitons-nous vos données ? – Finalités & bases légales
| Finalité | Base légale (art. 6 RGPD) |
| Gestion des comptes utilisateurs, authentification, attribution des droits | Exécution du contrat |
| Fourniture et facturation des abonnements | Exécution du contrat |
| Support technique, assistance et formation | Intérêt légitime (qualité de service) |
| Sécurisation et maintien en conditions opérationnelles (logs, backups, traçabilité) | Intérêt légitime (sécurité) + obligation légale (preuve) |
| Amélioration de la plateforme (statistiques anonymisées) | Intérêt légitime (R&D) |
| Synchronisation avec Google Agenda (si activée par l’utilisateur) | Consentement (connexion OAuth) et/ou Exécution du contrat (fonctionnalité demandée). |
| Conservation probatoire de 25 ans des actes et médias | Obligation légale / mission d’intérêt public du commissaire de justice |
Les données des comptes utilisateurs (données des constats, statistiques, etc…) sont strictement confidentielles et appartiennent exclusivement à l’office de Commissaires de Justice administrateur. Ces données ne sont jamais utilisées pour entraîner des modèles d’IA sauf accord expresse de l’office, dans un but de développements spécifiques propres à ce même office.
Les données sont strictement confidentielles et Fusion SAS ne les traite que pour exécuter et sécuriser le service Orion conformément aux instructions de l’office utilisateur ; elles ne sont ni vendues, ni exploitées à des fins publicitaires, ni utilisées pour entraîner des modèles d’IA, sauf accord écrit préalable de l’office pour un développement spécifique.
4. Combien de temps conservons-nous les données ?
| Type de données | Durée de conservation |
| Compte utilisateur (identité, accès) | Durée du contrat + 5 ans (prescription) |
| Logs de connexion | 12 mois glissants |
| Contenus des constats, médias, journaux de preuve | 25 ans (archivage) |
| Données de facturation | 10 ans (obligation comptable) |
| Tickets support | 3 ans après clôture |
Au terme des durées prévues, les données sont anonymisées ou détruites de façon sécurisée.
5. Qui peut avoir accès à vos données ?
- Personnel habilité de Fusion SAS (accès limité à la maintenance, sur demande des utilisateurs).
- Soustraitants certifiés ISO 27001/27701 (hébergeur cloud intraUE, mail transactionnel, service de logs).
- Autorités judiciaires ou administratives, uniquement sur demande légale motivée.
- Nous ne vendons aucune donnée, y compris les données utilisateur Google. Nous ne transférons et ne divulguons ces données à des tiers que dans la mesure nécessaire à la fourniture du service (hébergement, maintenance, sécurité, support), ou lorsque la loi l’impose.
6. Sécurité des données
Fusion SAS applique les mesures suivantes :
- Chiffrement TLS 1.3 en transit et AES256 au repos ;
- Hébergement redondant Tier III+ dans l’Union européenne ;
- Tests de pénétration réguliers, correctifs déployés < 30 j après détection de vulnérabilité critique.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez :
- Droit d’accès : obtenir une copie de vos données ;
- Droit de rectification : corriger toute inexactitude ;
- Droit d’opposition et de limitation (dans les conditions prévues) ;
- Droit d’effacement (hors obligations légales de conservation) ;
- Droit à la portabilité des données que vous avez fournies.
8. Cookies et traceurs
Le site utilise :
- Cookies techniques indispensables (session, langue) « exempts de consentement ».
- Cookies de mesure d’audience configurés pour ne pas collecter d’identifiant unique audelà de 13 mois.
Aucun cookie publicitaire n’est déposé. Une bannière d’information apparaît lors de la première visite, avec un bouton « En savoir plus » renvoyant vers la présente politique.
9. Modifications de la politique
La présente politique peut être mise à jour pour refléter les évolutions réglementaires ou fonctionnelles d’Orion. En cas de changement substantiel, vous serez averti 30 jours avant l’entrée en vigueur via :
- Un email envoyé à l’adresse de votre compte,
- Un encart d’information lors de votre prochaine connexion.