LAWBY← Retour à l'accueil

Document juridique

Politique de confidentialité

Dernière mise à jour : 9 mai 2026

La présente politique a pour objet d'informer les utilisateurs du site lawby.fr et du logiciel LAWBY(ci-après ensemble « la Plateforme ») sur les modalités de collecte, de traitement et de protection de leurs données à caractère personnel. Elle s'inscrit dans le strict respect du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés », et des obligations spécifiques au secret professionnel de l'Avocat (article 66-5 de la loi n° 71-1130 du 31 décembre 1971).

1. Responsable de traitement

Le responsable de traitement est la société LAWBY SAS, représentée par son Président Jean-Maurice BICHARA-JABOUR. Pour toute question relative au traitement de vos données, vous pouvez écrire à contact@lawby.fr.

En l'état actuel des effectifs, LAWBY SAS n'est pas soumise à l'obligation de désigner un Délégué à la Protection des Données (DPO). Un DPO sera désigné lorsque les seuils légaux seront atteints. En attendant, le Président assume ces fonctions.

2. Données collectées

LAWBY applique un principe strict de minimisation : seules les données nécessaires aux finalités décrites ci-après sont collectées.

2.1. Données de navigation et de candidature bêta

  • Formulaire d'accès bêta : civilité, nom, prénom, email professionnel, dénomination du cabinet, taille du cabinet, message libre, horodatage.
  • Données techniques de navigation : empreinte IP hashée (algorithme SHA-256, tronquée à 16 caractères), user-agent, page de provenance, date et heure de connexion. Ces données sont collectées à des fins de sécurité et de prévention de la fraude.

2.2. Données de compte (à l'ouverture commerciale)

  • Identifiants : email professionnel, authentification par lien magique sans mot de passe, sessions sécurisées (JWT signés, durée 7 jours par défaut).
  • Profil utilisateur : nom complet, rôle au sein du cabinet (avocat associé, collaborateur, juriste, paralégal), préférences linguistiques.
  • Cabinet :raison sociale, SIREN, barreau, formule d'abonnement.
  • Journal d'activité :dates et types d'actions sensibles (création/suppression de dossier, génération d'acte, export), à des fins d'auditabilité.

2.3. Données métier confiées par l'Avocat

Lorsque l'Avocat utilise LAWBY pour traiter ses dossiers, il peut être amené à téléverser, dans le cadre de l'exercice de sa mission :

  • des pièces de procédure (assignations, conclusions, mémoires, jugements) ;
  • des pièces du dossier client (correspondances, contrats, expertises, photographies, certificats médicaux) ;
  • des données nominatives de tiers (parties au litige, témoins, experts, magistrats).

Ces données sont couvertes par le secret professionnel de l'Avocat(article 66-5 de la loi du 31 décembre 1971) et bénéficient d'une protection renforcée détaillée à l'article 6 ci-après. LAWBY agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour ces traitements, l'Avocat utilisateur étant le responsable de traitement.

3. Finalités du traitement

  • Gestion des candidatures bêta et qualification des cabinets prospects.
  • Exécution du contrat de prestation SaaS : fourniture du service, support, facturation, recouvrement.
  • Sécurité de la Plateformeet prévention des fraudes (tentatives d'accès, abus, usage non conforme).
  • Amélioration du service(mesure d'audience anonymisée et agrégée, après recueil du consentement de l'utilisateur).
  • Respect des obligations légales et réglementaires (comptabilité, lutte contre le blanchiment, réquisitions judiciaires régulières).
  • Gestion des relations contractuelles (notifications de mise à jour des CGU, alertes de sécurité, factures).

4. Bases légales

  • Article 6.1.b RGPD — exécution contractuelle : fourniture du service SaaS et gestion du compte cabinet.
  • Article 6.1.f RGPD — intérêt légitime : sécurité de la Plateforme, lutte contre la fraude, mesure de la performance.
  • Article 6.1.a RGPD — consentement :mesure d'audience non essentielle, communications commerciales.
  • Article 6.1.c RGPD — obligation légale : conservation comptable, réquisitions judiciaires.

5. Destinataires et sous-traitants

L'accès aux données est strictement limité aux personnes ayant besoin d'en connaître dans le cadre de l'exécution du service ou des obligations légales. Aucune donnée n'est revendue ou cédée à des tiers commerciaux.

LAWBY SAS travaille avec un nombre restreint de sous-traitants, engagés contractuellement au respect des articles 28 et suivants du RGPD :

  • Vercel Inc.(États-Unis ; déploiement Paris — eu-cdg1) : hébergement frontal et fonctions serveur. Aucune donnée utilisateur n'est stockée durablement chez Vercel.
  • Supabase Inc. (États-Unis ; serveurs UE — Paris eu-west-3) : base de données, stockage de fichiers et authentification. Données chiffrées au repos (AES-256) et en transit (TLS 1.3).
  • Resend Inc. (États-Unis ; serveurs UE) : envoi des emails transactionnels (lien magique de connexion, notifications, factures).
  • OVH SAS (France) : messagerie professionnelle contact@lawby.fr et services associés.
  • Anthropic PBC(États-Unis) : fournisseur du modèle d'intelligence artificielle Claude utilisé pour la génération assistée. Mode zéro rétention activé: les données soumises ne sont ni stockées ni utilisées pour l'entraînement de modèles.
  • Stripe Payments Europe Ltd(Irlande) : prestataire de paiement (à l'ouverture commerciale). Les coordonnées bancaires complètes ne transitent jamais par les serveurs LAWBY.

Tout transfert vers un pays tiers à l'Union européenne est encadré par les clauses contractuelles typesde la Commission européenne (décision 2021/914 du 4 juin 2021) et, le cas échéant, par des mesures techniques complémentaires (chiffrement en bout-en-bout, pseudonymisation, contrôle d'accès).

6. Sécurité et secret professionnel

LAWBY étant destiné à des avocats soumis au secret professionnel, nous mettons en œuvre des mesures techniques et organisationnelles renforcées :

  • Chiffrement TLS 1.3 de toutes les communications.
  • Chiffrement AES-256 au repos pour les bases de données et le stockage de fichiers.
  • Hébergement exclusif des données utilisateur dans l'Union européenne (Paris, eu-west-3).
  • Authentification sans mot de passe par lien magique à usage unique, valable 60 minutes.
  • Isolation multi-tenant stricte au niveau base de donnéesvia Row Level Security PostgreSQL : un cabinet ne peut techniquement pas accéder aux données d'un autre, même en cas de bug applicatif.
  • Journal d'audit horodaté de toute action sensible (création, modification, suppression, export).
  • Politique de mots de passe forts, rotation régulière des secrets d'accès, principe du moindre privilège pour les collaborateurs internes.
  • Sauvegarde quotidienne, conservée 7 jours, chiffrée, restaurable en moins de 4 heures.
  • Politique de gestion des incidents de sécurité conforme à l'article 33 du RGPD : notification à la CNIL sous 72 heures et à la personne concernée le cas échéant.

7. Durée de conservation

  • Candidatures bêta : 36 mois à compter du dernier contact, puis suppression sauf opposition.
  • Comptes actifs :durée de la relation contractuelle, puis 5 ans pour répondre à d'éventuelles actions en responsabilité (prescription civile de droit commun).
  • Dossiers et pièces téléversés :conservés tant que l'Avocat utilisateur ne les supprime pas. Suppression irréversible (incluant les sauvegardes) sous 30 jours après demande explicite.
  • Logs de sécurité et d'audit : 12 mois.
  • Factures et justificatifs comptables : 10 ans (obligation légale, article L.123-22 du Code de commerce).
  • Cookies et traceurs : selon la durée propre à chaque cookie, plafonnée à 13 mois (recommandation CNIL).

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données ;
  • Droit de rectification des données inexactes ;
  • Droit à l'effacement(« droit à l'oubli ») ;
  • Droit à la limitation du traitement ;
  • Droit d'opposition, en particulier au traitement à des fins de prospection ;
  • Droit à la portabilité de vos données ;
  • Droit de retirer votre consentementà tout moment, sans que cela n'affecte la licéité des traitements antérieurs ;
  • Droit de définir des directives post-mortem(article 85 de la loi Informatique et Libertés).

Pour exercer ces droits, écrivez à contact@lawby.fren précisant votre demande. Nous vous répondrons dans un délai maximum d'un mois (prorogeable de deux mois en cas de demande complexe). Une copie d'un titre d'identité pourra vous être demandée en cas de doute raisonnable sur l'identité du demandeur.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, cnil.fr/fr/plaintes.

9. Profilage et décision automatisée

LAWBY ne procède à aucune décision entièrement automatisée produisant des effets juridiques au sens de l'article 22 du RGPD. Les contenus générés par intelligence artificielle sont des propositions destinées à l'Avocat, qui en demeure l'auteur responsable et le signataire.

10. Cookies et traceurs

Le Site utilise un nombre minimal de cookies. Les modalités sont détaillées dans notre politique cookies.

11. Évolution de la présente politique

La présente politique est susceptible d'évoluer pour tenir compte des évolutions légales, techniques ou commerciales. Toute modification substantielle sera notifiée par courriel aux utilisateurs disposant d'un compte au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête du document.

Pour toute question relative à ce document, contactez-nous à contact@lawby.fr.