Politique de Confidentialité — Legato
Dernière mise à jour : 27 avril 2026
1. Identité du responsable de traitement
Legato SAS SaaS de conseil fiscal à destination des CGP et experts-comptables Contact RGPD : privacy@legato.fr
2. Données collectées
2.1 Utilisateurs professionnels (CGP / Experts-comptables)
| Catégorie | Données | Finalité |
|---|---|---|
| Identité | Nom, prénom, email professionnel | Création de compte, authentification |
| Professionnel | Cabinet, numéro ORIAS/SIRET, rôle | Vérification de l'éligibilité beta |
| Technique | Adresse IP (inscription), user-agent | Preuve de consentement RGPD, sécurité |
| Paiement | Email Stripe (tokenisé) | Facturation — aucune carte stockée en propre |
| Usage | Logs d'analyse fiscale, dossiers créés | Amélioration du service, audit légal |
2.2 Clients finaux des CGP/EC (données traitées pour compte)
Legato agit en tant que sous-traitant pour les données des clients finaux que les CGP/EC chargent dans la plateforme. Ces données comprennent :
- Situation patrimoniale agrégée (tranches, montants)
- Événements fiscaux déclarés (cessions, transmissions)
- Documents uploadés dans le coffre-fort numérique
Les CGP/EC sont responsables de traitement pour leurs clients finaux et s'engagent, via les CGU, à avoir obtenu les consentements nécessaires.
3. Bases légales des traitements
| Traitement | Base légale (RGPD art. 6) |
|---|---|
| Création de compte et service | Exécution du contrat (6.1.b) |
| Logs d'audit fiscal | Obligation légale comptable (6.1.c) |
| Amélioration du service | Intérêt légitime (6.1.f) — opt-out disponible |
| Marketing et emails beta | Consentement explicite (6.1.a) |
4. Durées de conservation
| Données | Durée | Motif |
|---|---|---|
| Compte utilisateur actif | Durée de la relation contractuelle + 3 ans | Prescription commerciale |
| Données de facturation | 10 ans | Obligation comptable (CGI art. 54) |
| Logs d'audit fiscal | 10 ans | Obligation de traçabilité fiscale |
| Données clients finaux | Durée définie par le CGP/EC responsable | Sous-traitance |
| Données de consentement | 5 ans après retrait | Preuve CNIL |
| Leads non convertis | 3 ans après dernier contact | Prospection B2B |
5. Destinataires des données
- Équipe Legato : accès sur le principe du besoin d'en connaître
- Neon (PostgreSQL cloud) : hébergement base de données — DPA signé, hébergement EU
- Vercel : hébergement applicatif — DPA disponible, hébergement EU disponible
- Stripe (via NanoCorp) : paiement tokenisé — certifié PCI-DSS niveau 1
- Aucun transfert hors UE sans garanties appropriées (clauses contractuelles types UE)
6. Droits des personnes concernées
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (art. 17) : demander la suppression de votre compte via
DELETE /api/user/:idou par email à privacy@legato.fr - Droit à la portabilité (art. 20) : recevoir vos données en format JSON
- Droit d'opposition (art. 21) : s'opposer aux traitements fondés sur l'intérêt légitime
- Droit à la limitation (art. 18) : geler un traitement contesté
Délai de réponse : 30 jours calendaires (prolongeable à 90 jours pour les demandes complexes).
Réclamation CNIL : www.cnil.fr/fr/plaintes — en cas de réponse insatisfaisante.
7. Sécurité
- Chiffrement TLS 1.3 en transit
- Données au repos chiffrées (AES-256, Neon)
- Authentification renforcée (NextAuth, sessions httpOnly)
- Journalisation d'audit immuable (table
audit_logsans UPDATE/DELETE) - Revue de sécurité trimestrielle prévue
8. Cookies et traceurs
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
next-auth.session-token | Strictement nécessaire | Session authentifiée | Session |
next-auth.csrf-token | Strictement nécessaire | Protection CSRF | Session |
| Analytics NanoCorp | Mesure d'audience | Pages vues anonymisées | 13 mois |
Le consentement est demandé pour les cookies non strictement nécessaires lors de la première visite.
9. Modifications
Toute modification substantielle sera notifiée par email 30 jours avant entrée en vigueur. La date de mise à jour figure en tête de document.
Document conforme au Règlement (UE) 2016/679 (RGPD) et aux recommandations CNIL.