Aller au contenu
Réponse en < 1 h ouvrée (délai cible)
Appeler
Démarrer

Politique de confidentialité

Dernière mise à jour : 20 avril 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme OPENN est :
Orus Group S.à r.l.
Siège social : 14 rue de la Fonderie, L-1531 Luxembourg
RCS Luxembourg : [À COMPLÉTER AU GO-LIVE — société en cours de constitution]
TVA intracommunautaire : [À COMPLÉTER AU GO-LIVE — société en cours de constitution]
Email : legal@openn.lu

Pendant la phase de constitution de la société OPENN, la société ORUS Group S.à r.l. (RCS Luxembourg et TVA en cours de finalisation) héberge le compte bancaire professionnel et les relations contractuelles pour le compte d'OPENN.

2. Délégué à la protection des données (DPO)

Conformément à l'article 37 RGPD, OPENN a désigné un délégué à la protection des données. En attendant la nomination définitive d'un DPO humain (prévue en Phase L), le rôle de DPO est assuré par un dispositif de revue interne dénommé Claude proxy (cf. ADR-0016 à venir).

Contact : dpo@openn.lu (adresse à créer en Phase L — société en cours de constitution).
Le délégué à la protection des données est joignable par email pour toute demande d'exercice de droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation).

3. Données collectées

Nous collectons les catégories de données suivantes :

  • Données d'identification : nom, prénom, date de naissance, nationalité, numéro de passeport ou carte d'identité.
  • Données de contact : adresse email, numéro de téléphone, adresse postale.
  • Données d'authentification : hash du mot de passe (bcrypt Supabase Auth), jetons de session, jetons de rafraîchissement.
  • Données contractuelles : forme juridique choisie, statuts, capital apporté, stakeholders déclarés, options d'espace de travail et banque.
  • Données financières : carte masquée et empreinte Stripe, statut des paiements, factures, origine des fonds, informations bénéficiaires effectifs.
  • Documents KYC : pièce d'identité, justificatif de domicile, registre des bénéficiaires effectifs.
  • Consentements : journal des cases cochées, horodatage, IP, user-agent, version des documents juridiques.
  • Données soumises aux assistants IA : entrées et sorties des appels IA effectivement activés (recommandation de forme juridique via Orienteur), scopées au dossier ou à la session de tunnel.
  • Données techniques : adresse IP, user-agent, identifiants de session (cookie de session Supabase Auth, cookie de préférences cookies).

4. Finalités et bases légales (art. 6 RGPD)

  • F-001 Création compte client (email + mot de passe) — exécution du contrat (art. 6-1 b).
  • F-002 Création du dossier société et parcours tunnel — exécution du contrat (art. 6-1 b).
  • F-003 Paiement Stripe — exécution du contrat (art. 6-1 b).
  • F-004 Preuve de consentement RGPD — obligation légale (art. 6-1 c) résultant de l'art. 7 §1 RGPD.
  • F-005 Communications transactionnelles (Resend) — exécution du contrat (art. 6-1 b) et intérêt légitime (art. 6-1 f) pour les rappels SLA.
  • F-006 Assistant IA Orienteur — recommandation de forme juridique (Anthropic) — intérêt légitime (art. 6-1 f). Disclaimer permanent : les recommandations IA ne constituent pas un conseil juridique opposable (ADR-0006) ; la décision finale appartient au client après revue humaine OPENN et, le cas échéant, au notaire instrumentant.
  • F-007 Analytics agrégées cookieless (Plausible) — intérêt légitime (art. 6-1 f), mesure anonyme sans cookie ni identifiant persistant.
  • F-008 Journalisation erreurs (Sentry, sans PII) — intérêt légitime (art. 6-1 f), sécurité et fiabilité du service.
  • F-009 Transmission du dossier aux partenaires (notaire, banque, business center) — exécution du contrat (art. 6-1 b), déclenchée par une validation humaine explicite (ADR-0004).

Le détail fiche par fiche (personnes concernées, destinataires, mesures) est consigné dans le registre des traitements interne (art. 30 RGPD).

5. Durées de conservation

  • Compte utilisateur : 3 ans à compter de la dernière connexion, puis anonymisation (email haché, mot de passe supprimé).
  • Données financières Stripe : 10 ans (obligation légale comptable et LBC/FT, loi LU du 12 novembre 2004).
  • Journal d'audit technique : 13 mois glissants.
  • Journal de consentement (consent_logs) : 5 ans (preuve opposable art. 7 §1 RGPD).
  • Documents KYC (pièce d'identité, RBE, justificatif de domicile) : 5 ans après clôture du dossier (loi LU du 12 novembre 2004, art. 3).
  • Logs d'emails transactionnels (Resend) : 1 an glissant.
  • Cookies soumis à consentement : 13 mois maximum (lignes directrices CNPD).

6. Destinataires & sous-traitants

Les partenaires métier (notaire, banque, business center) ne reçoivent votre dossier qu'après validation humaine explicite d'un utilisateur ops ou admin OPENN (ADR-0004) — aucun envoi automatique.

La liste exhaustive de nos sous-traitants techniques (finalité, localisation, base légale du transfert, politique de confidentialité, durée de conservation) est publiée et tenue à jour sur la page dédiée : /sous-traitants.

Synthèse des sous-traitants actuels : Supabase (hébergement DB et Storage, Frankfurt UE), Vercel (hébergement frontend, région fra1 Frankfurt), Stripe Payments Europe (paiement, Irlande UE), Resend (email transactionnel, États-Unis — SCC + DPF), Anthropic PBC (assistant IA Orienteur, États-Unis — SCC + DPF + opt-out training), Sentry plan Team (monitoring erreurs, cluster EU Frankfurt, sans PII), Plausible Analytics (stats cookieless, UE).

7. Transferts hors Union Européenne

Certains sous-traitants (Vercel, Stripe, Resend, Anthropic) ont leur siège aux États-Unis et peuvent impliquer un transfert de données personnelles hors UE. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914/UE) et par l'adhésion de chaque sous-traitant au Data Privacy Framework (DPF) UE-États-Unis adopté le 10 juillet 2023. Les bases de données, le stockage de documents et les logs applicatifs sensibles sont hébergés exclusivement en Union Européenne (Supabase Frankfurt — ADR-0005).

8. Mesures de sécurité

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256 côté Supabase).
  • Cloisonnement strict par politiques Row-Level Security (RLS) Supabase sur toutes les tables (ADR-0002) et policies sur les buckets Storage (ADR-0003).
  • Accès authentifié et RBAC à 6 rôles (user, ops, admin, notary, bank, business center).
  • Journal d'audit `audit_log` sur toute mutation sensible (documents, paiements, handoffs, actions admin).
  • Journal de consentement `consent_logs` append-only avec preuve IP + user-agent + version des documents (ADR-0013).
  • Vérification cryptographique de signature sur les webhooks entrants (Stripe).
  • Filtrage PII côté Sentry : aucune adresse email, IP, user-agent, token, case_id en clair transmis.
  • Notification de violation : procédure de notification à la CNPD dans un délai maximal de 72 heures (art. 33 RGPD).

9. Vos droits

Conformément aux articles 12 à 22 RGPD, vous disposez des droits suivants, gratuits et exerçables à tout moment :

  • Droit d'accès à vos données personnelles.
  • Droit de rectification des données inexactes.
  • Droit à l'effacement, sous réserve des obligations légales de conservation (notamment LBC/FT et comptables).
  • Droit à la limitation du traitement.
  • Droit à la portabilité de vos données.
  • Droit d'opposition au traitement fondé sur l'intérêt légitime.
  • Droit de retirer à tout moment votre consentement (marketing, transmissions partenaires conditionnelles, cookies non essentiels).
  • Droit de ne pas faire l'objet d'une décision entièrement automatisée.

Pour exercer ces droits, adressez une demande au DPO à dpo@openn.lu en précisant votre identité et l'objet de la demande. OPENN répond dans un délai maximal d'un (1) mois, prorogeable de deux mois en cas de complexité.

Vous pouvez également introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD) (15 boulevard du Jazz, L-4370 Belvaux, Luxembourg) — formulaire de plainte.

10. Notification des violations

Conformément à l'article 33 RGPD, en cas de violation de données à caractère personnel, OPENN notifie la Commission Nationale pour la Protection des Données (CNPD) dans un délai maximal de 72 heures après en avoir pris connaissance. Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci sont informées individuellement dans les meilleurs délais (art. 34 RGPD).

11. Cookies

La description détaillée des cookies utilisés, leur durée et leur catégorie est disponible sur la page dédiée : /cookies.

À la date de publication, OPENN ne dépose aucun cookie marketing et aucun cookie analytics — Plausible est cookieless par construction.

12. Mineurs

OPENN est un service B2B réservé aux personnes majeures capables de contracter (18 ans révolus). Aucune donnée n'est sciemment collectée auprès de mineurs. Si vous pensez qu'un compte a été créé par un mineur, contactez le DPO pour suppression immédiate.

13. Révision de la politique

Toute modification substantielle de la présente politique entraîne : (i) une mise à jour de la date en tête de page, (ii) une notification par email aux utilisateurs actifs, (iii) une nouvelle version dans le journal de consentement pour les clauses qui le requièrent. Les versions antérieures sont archivées pendant cinq (5) ans.