Politique de confidentialité

La présente politique de confidentialité (ci-après « la Politique ») décrit les conditions dans lesquelles la société Major Holding, éditrice du service SmartAvocat, collecte, traite et protège les données à caractère personnel des utilisateurs du service, conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Article 1 — Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées dans le cadre du fonctionnement du service SmartAvocat (gestion des comptes, facturation, support, statistiques) est :

Raison sociale	Major Holding, SASU
Siège social	7 Avenue des Ajoncs, 35800 Dinard, France
Contact	contact@smartavocat.fr

Les coordonnées complètes de l'éditeur figurent dans les mentions légales.

Article 2 — Délégué à la protection des données

Le délégué à la protection des données (DPO) est joignable à l'adresse suivante :

Email : dpo@smartavocat.fr
Courrier : Major Holding — DPO, 7 Avenue des Ajoncs, 35800 Dinard, France

Le DPO est le point de contact pour toute question relative au traitement des données personnelles et pour l'exercice des droits des personnes concernées prévus aux articles 15 à 22 du RGPD.

Article 3 — Qualité des parties au regard du RGPD

3.1. SmartAvocat en tant que responsable du traitement

Pour les traitements liés à la gestion du service lui-même (comptes utilisateurs, facturation, support technique, statistiques d'utilisation, sécurité), la société Major Holding agit en qualité de responsable du traitement au sens de l'article 4.7 du RGPD. Elle détermine les finalités et les moyens de ces traitements.

3.2. SmartAvocat en tant que sous-traitant

Pour les données à caractère personnel contenues dans les Données du Cabinet (données des clients du cabinet d'avocats, des parties adverses, des tiers intervenant dans les dossiers), la société Major Holding agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le cabinet d'avocats utilisateur du Service demeure le responsable du traitement de ces données.

À ce titre, la société Major Holding s'engage notamment à :

ne traiter les données personnelles que sur instruction documentée du Cabinet, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, sauf si elle y est tenue en vertu du droit de l'Union ou du droit français (article 28.3.a du RGPD) ;
veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité (article 28.3.b du RGPD) ;
mettre en oeuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD ;
ne pas faire appel à un autre sous-traitant sans l'autorisation préalable générale du Cabinet, conformément à la liste publiée à l'article 10, et informer le Cabinet de tout ajout ou remplacement de sous-traitant (article 28.2 du RGPD) ;
aider le Cabinet à s'acquitter de son obligation de donner suite aux demandes d'exercice de droits des personnes concernées (articles 15 à 22 du RGPD) ;
aider le Cabinet à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à disposition du sous-traitant ;
selon le choix du Cabinet, supprimer ou restituer les données à l'issue de la prestation, et détruire les copies existantes, sauf obligation légale de conservation (article 28.3.g du RGPD) ;
mettre à disposition du Cabinet toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour permettre la réalisation d'audits, y compris des inspections, par le Cabinet ou un autre auditeur mandaté par celui-ci (article 28.3.h du RGPD).

Article 4 — Données collectées

Dans le cadre de la fourniture du Service, les catégories de données suivantes sont collectées et traitées :

4.1. Données de compte utilisateur

Nom, prénom
Adresse électronique professionnelle
Mot de passe (stocké sous forme de condensat cryptographique irréversible — hachage Argon2id)
Numéro de téléphone (facultatif)
Photo de profil (facultatif)
Paramètres de double authentification (TOTP)
Rôle au sein du Cabinet (administrateur, collaborateur, secrétaire)

4.2. Données du cabinet

Dénomination sociale, forme juridique
Adresse du siège social
Numéro SIRET / SIREN
Numéro de TVA intracommunautaire
Numéro de téléphone, adresse électronique
Numéro de toque, barreau de rattachement

4.3. Données des dossiers

Référence et intitulé du dossier
Nature de l'affaire, domaine juridique
Parties (clients, parties adverses, intervenants)
Échéances, audiences, événements
Notes et commentaires

4.4. Documents

Fichiers téléversés par les utilisateurs (contrats, conclusions, correspondances, pièces)
Métadonnées des fichiers (nom, taille, type MIME, date de création, auteur)
Documents générés par le Service (factures, modèles)

4.5. Courriers électroniques

En-têtes des messages synchronisés (expéditeur, destinataires, objet, date) — synchronisation automatique
Corps des messages — chargé à la demande de l'utilisateur uniquement
Pièces jointes — chargées à la demande de l'utilisateur uniquement
Paramètres de connexion IMAP/OAuth (jetons chiffrés, aucun mot de passe en clair)

4.6. Données de facturation

Informations de facturation (nom, adresse, SIRET)
Historique des factures émises
Identifiant client Stancer (aucune donnée de carte bancaire n'est stockée par SmartAvocat)

4.7. Données techniques et journaux

Adresse IP de connexion
Type et version du navigateur (User-Agent)
Date, heure et durée de connexion
Actions effectuées dans le Service (journal d'audit)
Journaux d'erreurs techniques

Article 5 — Bases légales et finalités du traitement

Conformément à l'article 6 du RGPD, chaque traitement de données à caractère personnel repose sur une base légale déterminée :

Finalité	Base légale (RGPD)	Données concernées
Création et gestion des comptes utilisateurs	Exécution du contrat (art. 6.1.b)	Données de compte
Fourniture du Service (dossiers, documents, contacts, agenda)	Exécution du contrat (art. 6.1.b)	Données du cabinet, des dossiers, documents, emails
Facturation et gestion de l'abonnement	Exécution du contrat (art. 6.1.b)	Données de facturation
Conservation des factures (10 ans)	Obligation légale (art. 6.1.c) — art. L.123-22 C. com.	Données de facturation
Conservation des données de connexion (1 an)	Obligation légale (art. 6.1.c) — LCEN art. 6-II, décret n° 2021-1362 du 20 octobre 2021	Journaux de connexion, adresses IP
Sécurité du Service (détection d'intrusion, prévention des abus)	Intérêt légitime (art. 6.1.f) — sécurité des systèmes d'information	Données techniques, journaux
Support technique et communication	Exécution du contrat (art. 6.1.b)	Données de compte, échanges de support
Statistiques d'utilisation anonymisées	Intérêt légitime (art. 6.1.f) — amélioration du Service	Données agrégées et anonymisées (Umami)
Envoi d'emails transactionnels (notifications, alertes)	Exécution du contrat (art. 6.1.b)	Adresse électronique

Pour les traitements fondés sur l'intérêt légitime (article 6.1.f du RGPD), l'Éditeur a réalisé une mise en balance entre ses intérêts légitimes et les droits et libertés des personnes concernées. Le détail de cette analyse de mise en balance est disponible sur demande auprès du DPO.

Article 6 — Durée de conservation

Conformément au principe de limitation de la conservation prévu à l'article 5.1.e du RGPD, les données personnelles ne sont conservées que pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées :

Type de données	Durée de conservation	Justification
Données de compte utilisateur	Durée de vie du compte (conservées tant que le compte existe)	Exécution du contrat (art. 14.3 des CGU)
Données du Cabinet (dossiers, documents, contacts)	Durée de vie du compte (conservées tant que le compte existe)	Exécution du contrat (art. 14.3 des CGU)
Courriers électroniques synchronisés	Durée de vie du compte (conservées tant que le compte existe)	Exécution du contrat
Données de facturation	10 ans à compter de la clôture de l'exercice comptable	Obligation légale (art. L.123-22 Code de commerce)
Journaux de connexion (adresse IP, horodatage)	12 mois	Obligation légale (LCEN art. 6-II, décret n° 2021-1362)
Journal d'audit (actions dans le Service)	24 mois glissants	Intérêt légitime (sécurité)
Données du plan gratuit	Durée de vie du compte (conservées tant que le compte existe)	Exécution du contrat
Statistiques d'audience (Umami)	Données anonymisées, non concernées par le RGPD	—

À l'expiration des durées de conservation indiquées, les données sont supprimées de manière définitive et irréversible, ou anonymisées de façon à rendre impossible toute ré-identification, conformément aux recommandations de la CNIL.

Article 7 — Destinataires des données

Les données à caractère personnel sont accessibles aux catégories de destinataires suivantes :

les personnels habilités de la société Major Holding, dans la limite de leurs attributions et soumis à une obligation de confidentialité ;
les utilisateurs du même Cabinet, selon les rôles et permissions définis par l'Administrateur ;
les sous-traitants techniques listés à l'article 10, dans le cadre strict de l'exécution de leurs prestations et sur la base d'un accord de traitement des données (DPA).

Les données ne sont en aucun cas cédées, vendues, louées ou communiquées à des tiers à des fins commerciales, publicitaires ou de profilage.

Les données peuvent être communiquées à des autorités publiques (judiciaires, administratives, fiscales) en réponse à une obligation légale ou une décision de justice. L'Éditeur informera le Cabinet de toute demande émanant d'une autorité publique concernant les Données du Cabinet, sauf si la loi l'interdit.

Article 8 — Transferts hors Union européenne

8.1. Données traitées par SmartAvocat

L'ensemble des données traitées par SmartAvocat est hébergé exclusivement en France. Aucun transfert de données à caractère personnel n'est effectué en dehors de l'Union européenne dans le cadre du fonctionnement du Service.

L'infrastructure technique (serveurs applicatifs, bases de données PostgreSQL, stockage objet S3) est hébergée en France, chez Scaleway SAS (8 rue de la Ville l'Évêque, 75008 Paris). L'ensemble des sous-traitants listés à l'article 10 traite les données exclusivement au sein de l'Union européenne.

Aucun service américain n'est utilisé par SmartAvocat (pas de Google, AWS, Stripe, Cloudflare ou tout autre prestataire soumis au Cloud Act ou à la section 702 du FISA).

8.2. Services tiers connectés par l'Utilisateur

Le Service offre la possibilité à l'Utilisateur de connecter ses propres comptes de services tiers, notamment :

Messagerie : Gmail (Google), Outlook (Microsoft), ou tout autre fournisseur IMAP ;
Stockage : Google Drive (Google), OneDrive (Microsoft), Dropbox, pCloud, ou tout autre fournisseur compatible.

La connexion de ces services tiers est une décision volontaire et facultative de l'Utilisateur. SmartAvocat agit uniquement comme interface technique pour permettre à l'Utilisateur d'accéder à ses propres données hébergées chez ces fournisseurs tiers depuis le Service.

L'Utilisateur reconnaît que :

la connexion de services tiers dont les serveurs sont situés en dehors de l'Union européenne (notamment aux États-Unis) peut impliquer des transferts de données hors UE, soumis aux conditions générales et à la politique de confidentialité de chaque fournisseur tiers ;
SmartAvocat ne contrôle pas le traitement des données effectué par ces fournisseurs tiers et n'agit ni en qualité de responsable du traitement ni en qualité de sous-traitant pour les données transitant via ces services ;
il lui appartient d'évaluer la conformité de ces services tiers au RGPD et aux exigences de sa profession, notamment au regard du secret professionnel prévu à l'article 66-5 de la loi n° 71-1130 du 31 décembre 1971 ;
il assume l'entière responsabilité du choix de connecter ces services et des conséquences qui en découlent en matière de transferts de données hors UE.

8.3. Modification de la politique de transfert

En cas de modification de cette politique impliquant un transfert hors UE pour les données traitées directement par SmartAvocat (article 8.1), les utilisateurs seraient informés préalablement avec un préavis minimum de trente (30) jours et les garanties appropriées (clauses contractuelles types adoptées par la Commission européenne conformément à l'article 46.2.c du RGPD, ou décision d'adéquation au sens de l'article 45 du RGPD) seraient mises en place conformément au chapitre V du RGPD.

Article 9 — Droits des personnes

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi n° 78-17 du 6 janvier 1978 modifiée, vous disposez des droits suivants sur vos données personnelles :

Droit	Description	Référence RGPD
Accès	Obtenir la confirmation que vos données sont traitées et en recevoir une copie dans un format structuré	Article 15
Rectification	Faire corriger des données inexactes ou compléter des données incomplètes	Article 16
Effacement	Obtenir la suppression de vos données dans les cas prévus par le RGPD (« droit à l'oubli »)	Article 17
Limitation	Obtenir la limitation du traitement de vos données (gel des données)	Article 18
Portabilité	Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV), et les transmettre à un autre responsable du traitement	Article 20
Opposition	Vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière	Article 21
Décision automatisée	Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques (nota : SmartAvocat ne pratique aucune décision automatisée)	Article 22
Directives post-mortem	Définir des directives relatives au sort de vos données après votre décès	Loi n° 78-17, art. 85

9.1. Exercice des droits

Vous pouvez exercer vos droits par l'un des moyens suivants :

Email : dpo@smartavocat.fr
Courrier : Major Holding — DPO, 7 Avenue des Ajoncs, 35800 Dinard, France
Depuis le Service : paramètres du compte > « Mes données personnelles »

Toute demande doit être accompagnée d'un justificatif d'identité en cours de validité (conformément aux recommandations de la CNIL, seule une copie d'un document d'identité officiel sera demandée si un doute raisonnable existe sur l'identité du demandeur). L'Éditeur s'engage à répondre à toute demande dans un délai maximum de trente (30) jours à compter de la réception de la demande complète. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes, conformément à l'article 12.3 du RGPD. Le demandeur sera informé de cette prolongation et de ses motifs dans le délai initial d'un mois.

L'exercice de ces droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l'Éditeur se réserve le droit d'exiger le paiement de frais raisonnables tenant compte des coûts administratifs, ou de refuser de donner suite à la demande, conformément à l'article 12.5 du RGPD.

9.2. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle compétente au sens de l'article 77 du RGPD :

Site web : www.cnil.fr
Adresse : CNIL, 3 place de Fontenoy — TSA 80715, 75334 Paris Cedex 07

Article 10 — Sous-traitants

Conformément à l'article 28 du RGPD, l'Éditeur fait appel aux sous-traitants suivants pour la fourniture du Service, tous situés au sein de l'Union européenne :

Sous-traitant	Adresse	Pays	Finalité	Garanties
Scaleway SAS	8 rue de la Ville l'Évêque, 75008 Paris	France	Hébergement de l'infrastructure (serveurs applicatifs, base de données PostgreSQL managée, stockage objet S3)	Certification ISO 27001, HDS (Hébergeur de Données de Santé), SOC 2 Type II. Données hébergées à Paris.
Stancer SAS	68 rue du Faubourg Saint-Honoré, 75008 Paris	France	Traitement des paiements par carte bancaire et prélèvement SEPA	Agrément ACPR (Autorité de contrôle prudentiel et de résolution), certification PCI-DSS niveau 1. Aucune donnée de carte bancaire n'est stockée par SmartAvocat.
Lettermint	Union européenne	UE	Envoi de courriers électroniques transactionnels (notifications, alertes, confirmations)	Hébergement UE, DPA conforme à l'article 28 du RGPD.
Ascensio System SIA (ONLYOFFICE)	Riga	Lettonie (UE)	Composant logiciel d'édition collaborative de documents (ONLYOFFICE Community, auto-hébergé sur Scaleway)	Logiciel auto-hébergé sur l'infrastructure Scaleway en France. Aucune donnée ne transite par les serveurs d'Ascensio System.

Aucun sous-traitant situé en dehors de l'Union européenne n'est utilisé pour le traitement des données à caractère personnel. Aucun service soumis au Cloud Act américain, à la section 702 du FISA ou à toute autre législation extra-territoriale permettant l'accès aux données par une autorité étrangère n'est utilisé.

Les outils suivants sont auto-hébergés sur l'infrastructure Scaleway de l'Éditeur en France et ne constituent pas des sous-traitants au sens de l'article 28 du RGPD, aucune donnée personnelle n'étant transmise à un tiers :

Umami : solution de mesure d'audience sans cookies, ne collectant aucune donnée personnelle ;
Caddy : reverse proxy TLS (gestion des certificats HTTPS).

L'Éditeur s'assure que chaque sous-traitant présente des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées, conformément à l'article 28 du RGPD. Un accord de traitement des données (DPA) est conclu avec chaque sous-traitant.

La liste des sous-traitants peut être mise à jour. En cas d'ajout d'un nouveau sous-traitant, les utilisateurs seront informés par courrier électronique ou notification dans le Service, avec un préavis minimum de trente (30) jours permettant de formuler des objections motivées. En cas d'objection légitime, le Cabinet peut résilier l'Abonnement dans les conditions prévues aux CGU.

Article 11 — Sécurité des données

Conformément à l'article 32 du RGPD, l'Éditeur met en oeuvre les mesures techniques et organisationnelles suivantes pour assurer un niveau de sécurité adapté au risque, en tenant compte de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement :

11.1. Chiffrement

En transit : toutes les communications sont chiffrées en TLS 1.3 (HTTPS). Les certificats sont gérés automatiquement par Caddy et renouvelés avant expiration.
Au repos : les fichiers stockés dans le stockage objet (S3) sont chiffrés en AES-256-GCM. Les bases de données managées par Scaleway bénéficient d'un chiffrement au repos natif.
Mots de passe : les mots de passe des utilisateurs sont stockés sous forme de condensats cryptographiques irréversibles (Argon2id avec paramètres conformes aux recommandations de l'ANSSI), rendant impossible leur lecture en clair.

11.2. Contrôle d'accès

Authentification par identifiant et mot de passe, avec authentification à deux facteurs (TOTP) disponible et recommandée ;
Gestion des rôles et permissions par Cabinet (administrateur, collaborateur, secrétaire) ;
Isolation stricte des données entre Cabinets (architecture multi-tenant avec cloisonnement logique par identifiant de Cabinet) ;
Politique de mots de passe robuste (longueur minimale, vérification contre les bases de mots de passe compromis conformément aux recommandations de l'ANSSI) ;
Verrouillage temporaire du compte après plusieurs tentatives d'authentification échouées.

11.3. Journalisation et audit

Journal d'audit de toutes les opérations sensibles (connexions, modifications de permissions, accès aux dossiers, suppressions) ;
Journalisation des accès aux données avec horodatage, identifiant utilisateur et adresse IP ;
Conservation des journaux conformément aux durées prévues à l'article 6.

11.4. Sauvegarde et continuité

Sauvegardes automatisées quotidiennes de la base de données, réalisées par l'hébergeur (Scaleway Managed Database) ;
Sauvegardes chiffrées et stockées dans un emplacement géographiquement distinct au sein du territoire français ;
Fonctionnalité d'export des données mise à disposition des utilisateurs pour leurs propres sauvegardes ;
Procédures de restauration testées périodiquement.

11.5. Mesures organisationnelles

Accès aux données de production limité aux personnels strictement habilités ;
Principe du moindre privilège appliqué à tous les accès internes ;
Sensibilisation du personnel aux enjeux de la protection des données et de la sécurité informatique ;
Revue périodique des habilitations et des mesures de sécurité ;
Procédure de gestion des incidents de sécurité documentée.

Article 12 — Cookies et traceurs

12.1. Cookies techniques

Le Service utilise un cookie de session d'authentification, strictement nécessaire à son fonctionnement. Ce cookie ne contient aucune donnée personnelle identifiante et est supprimé à la déconnexion de l'utilisateur ou à l'expiration de la session. Ce cookie est exempté du recueil de consentement conformément à l'article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée et aux lignes directrices de la CNIL (délibération n° 2020-091 du 17 septembre 2020).

12.2. Mesure d'audience

Le site utilise Umami, une solution de mesure d'audience auto-hébergée sur nos propres serveurs en France (Scaleway). Umami est configuré de manière à :

ne déposer aucun cookie sur le terminal de l'utilisateur ;
ne collecter aucune donnée à caractère personnel ;
ne permettre aucun suivi inter-sites (cross-site tracking) ;
anonymiser les adresses IP avant tout traitement statistique.

Conformément aux recommandations de la CNIL relatives aux solutions de mesure d'audience exemptées de consentement (délibération n° 2020-091 du 17 septembre 2020), l'utilisation d'Umami dans cette configuration ne nécessite pas le recueil du consentement préalable de l'utilisateur.

12.3. Absence de cookies tiers

Aucun cookie publicitaire, de profilage, de réseau social ou de tracking tiers n'est déposé par le Site ou le Service. Aucun bandeau de consentement aux cookies n'est donc affiché.

Article 13 — Violation de données à caractère personnel

13.1. Notification à la CNIL

Conformément à l'article 33 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, l'Éditeur notifie la violation à la CNIL dans les meilleurs délais et, si possible, dans un délai maximum de soixante-douze (72) heures après en avoir pris connaissance. La notification comprend a minima les informations prévues à l'article 33.3 du RGPD.

13.2. Information des personnes concernées

Conformément à l'article 34 du RGPD, lorsque la violation de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, l'Éditeur informe les personnes concernées dans les meilleurs délais, par courrier électronique et/ou notification dans le Service, en décrivant :

la nature de la violation ;
les catégories et le nombre approximatif de données et de personnes concernées ;
les conséquences probables de la violation ;
les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets ;
les coordonnées du DPO pour obtenir des informations complémentaires.

13.3. Information du Cabinet (sous-traitance)

En sa qualité de sous-traitant au sens de l'article 28 du RGPD, l'Éditeur s'engage à notifier au Cabinet toute violation de données concernant les Données du Cabinet dans les meilleurs délais après en avoir pris connaissance, et en tout état de cause dans un délai permettant au Cabinet de respecter le délai de 72 heures prévu à l'article 33 du RGPD, afin de permettre au Cabinet, en tant que responsable du traitement, de satisfaire à ses propres obligations de notification.

Article 14 — Données sensibles et secret professionnel

L'Éditeur reconnaît que les Données du Cabinet peuvent contenir des données couvertes par le secret professionnel des avocats (article 66-5 de la loi n° 71-1130 du 31 décembre 1971 modifiée) et, potentiellement, des catégories particulières de données au sens de l'article 9 du RGPD (données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, données de santé, données relatives à la vie sexuelle ou l'orientation sexuelle) ainsi que des données relatives aux condamnations pénales et aux infractions au sens de l'article 10 du RGPD.

L'Éditeur met en oeuvre les mesures de sécurité renforcées décrites à l'article 11 de la présente Politique pour protéger ces données. Toutefois, le Cabinet demeure seul responsable, en tant que responsable du traitement, de la licéité du traitement de ces données, du respect de ses obligations déontologiques et du secret professionnel. Il appartient au Cabinet de s'assurer qu'il dispose d'une base légale et d'une exception au sens des articles 9.2 ou 10 du RGPD pour le traitement de ces catégories particulières de données.

Article 15 — Modifications de la présente politique

L'Éditeur se réserve le droit de modifier la présente Politique à tout moment. Toute modification substantielle sera notifiée aux utilisateurs par courrier électronique et/ou notification dans le Service au moins trente (30) jours avant son entrée en vigueur.

En cas de modification substantielle affectant les droits des personnes concernées ou les conditions de traitement des données, l'Éditeur recueillera, si nécessaire, un nouveau consentement des utilisateurs concernés.

Les versions antérieures de la Politique sont archivées et disponibles sur demande auprès du DPO.

La version en vigueur de la Politique est celle accessible à l'adresse smartavocat.fr/legal/confidentialite.

Dernière mise à jour : mars 2026