Document légal

Politique de confidentialité

Version 2 du 6 juillet 2026

La présente politique décrit la manière dont DILIVAULT, SAS au capital de 1 500 euros, RCS Paris 106 405 707, 50 avenue des Champs-Élysées, 75008 Paris (ci-après « DiliVault », « nous ») traite les données personnelles dans le cadre du site dilivault.fr (le « Site ») et de la plateforme de data room DiliVault (la « Plateforme »).

Contact pour toute question relative aux données personnelles : privacy@dilivault.fr.

1. Nos deux rôles au sens du RGPD

DiliVault intervient à deux titres distincts, et il est important de les distinguer :

a) Responsable de traitement. Pour les données que nous collectons pour notre propre compte : visiteurs du Site, prospects, demandes de démonstration, comptes utilisateurs de la Plateforme, facturation, relation client.

b) Sous-traitant. Pour les documents déposés dans les data rooms par nos clients. Ces documents peuvent contenir des données personnelles (contrats de travail, actes, pièces d’identité, etc.). Ils sont traités exclusivement sur instruction du client, qui reste responsable de traitement. Ce rôle est encadré par l’accord de traitement des données (DPA) annexé à nos Conditions Générales de Services. Nous n’accédons pas au contenu des data rooms en dehors des opérations techniques nécessaires au service (classification, OCR, indexation), exécutées automatiquement sur notre propre infrastructure.

2. Données traitées en tant que responsable de traitement

Traitement Données Base légale Durée de conservation
Demande de démonstration et contact Nom, prénom, email professionnel, société, fonction, téléphone Mesures précontractuelles (art. 6.1.b) et intérêt légitime 3 ans après le dernier contact
Prise de rendez-vous en ligne (via Google Calendar) Nom, email, créneau choisi, informations saisies dans le formulaire de réservation Mesures précontractuelles (art. 6.1.b) 3 ans après le dernier contact
Gestion des comptes utilisateurs de la Plateforme Nom, prénom, email professionnel, société, rôle, identifiants de connexion Exécution du contrat (art. 6.1.b) Durée du deal, puis suppression à la clôture de la data room (hors export remis au client)
Journal d’audit (audit trail) Identité de l’utilisateur, horodatage, documents consultés, durée de consultation, adresse IP Exécution du contrat et intérêt légitime (sécurité, traçabilité du deal) Durée du deal ; remis au client dans l’export de clôture, puis supprimé de nos systèmes
Facturation et comptabilité Coordonnées du client, éléments de facturation Obligation légale (art. 6.1.c) 10 ans (obligations comptables)
Sécurité et journaux techniques Adresse IP, logs de connexion Intérêt légitime (sécurité) 12 mois
Mesure d’audience du Site Voir section Cookies Consentement, ou exemption CNIL selon l’outil 25 mois maximum

Nous ne réalisons aucune prospection commerciale sans lien avec une demande entrante. Aucune donnée n’est vendue ni transmise à des tiers à des fins commerciales.

3. Où sont les données

L’intégralité des données (Site et Plateforme) est hébergée sur un serveur dédié dans le datacenter C’CIN au Coudray (Eure-et-Loir, France), certifié ISO 27001 et HDS — à l’exception de la prise de rendez-vous en ligne et de la mesure d’audience, qui s’appuient sur des services Google (voir sections 4 et 7). Les traitements d’intelligence artificielle (classification, OCR, indexation, chat) s’exécutent sur cette même infrastructure. Aucune donnée n’est transférée hors de l’Union européenne, et aucune API tierce n’est appelée pour le traitement des documents. Les données déposées dans les data rooms ne sont jamais utilisées pour entraîner des modèles d’intelligence artificielle.

4. Destinataires

Les données sont accessibles aux seules personnes habilitées de DiliVault, dans la limite de leurs fonctions, et aux sous-traitants listés dans le DPA (hébergement C’CIN). La prise de rendez-vous en ligne utilise Google Calendar et la mesure d’audience Google Analytics (Google Ireland Ltd) : les données correspondantes sont traitées par Google selon ses conditions, encadrées par les clauses contractuelles types de la Commission européenne, et peuvent à ce titre être transférées hors de l’Union européenne. Au sein d’une data room, l’accès aux documents est déterminé par les rôles configurés par l’administrateur de la room ; chaque consultation est tracée dans le journal d’audit, accessible à l’administrateur de la room.

Les données peuvent être communiquées aux autorités compétentes sur réquisition, dans les conditions prévues par le droit français.

5. Sécurité

DiliVault met en œuvre des mesures techniques et organisationnelles adaptées à la sensibilité des opérations traitées : serveur dédié, chiffrement des données en transit et au repos, contrôle d’accès par rôles, watermarking dynamique des documents consultés, journalisation complète, datacenter certifié ISO 27001 et HDS avec contrôle d’accès physique. Le détail des mesures figure dans le DPA.

6. Vos droits

Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité sur vos données, ainsi que du droit de définir des directives post mortem. Pour les exercer : privacy@dilivault.fr. Nous répondons dans un délai d’un mois. Une pièce justifiant votre identité peut être demandée en cas de doute raisonnable.

Si vos données figurent dans des documents déposés dans une data room, le responsable de traitement est le client de DiliVault (la société cédante ou son conseil) : nous transmettrons votre demande à ce dernier, conformément à l’article 28 du RGPD.

Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07).

7. Cookies

Le Site utilise :

  • Cookies strictement nécessaires au fonctionnement : exemptés de consentement. Il s’agit du cookie cc_cookie (mémorise votre choix de consentement, 6 mois).
  • Cookies de mesure d’audience : Google Analytics, chargé via Google Tag Manager, déposé uniquement avec votre consentement. Cookies _ga et _ga_* (distinguent les visiteurs, 13 mois). Vous pouvez retirer votre consentement à tout moment via le lien « Gérer les cookies » en pied de page.
  • Prise de rendez-vous : l’ouverture du module de réservation (Google Calendar) peut entraîner le dépôt de cookies par Google, nécessaires au fonctionnement du service de réservation, régis par la politique de confidentialité de Google.

Aucun cookie publicitaire, aucun traceur de réseau social n’est déposé par le Site.

8. Évolution de la politique

Cette politique peut être mise à jour pour refléter l’évolution du service ou de la réglementation. La version en vigueur, datée, est publiée sur le Site. En cas de modification substantielle, les utilisateurs de la Plateforme en sont informés.