Aller au contenu principal
LexLogik LogoLexLogik

Mentions légales · Annexe au DPA (RGPD)

Mesures techniques et organisationnelles (MTO)

Dienstleister: LexLogik (Version : 2026)

Annexe au contrat de sous-traitance (art. 28 RGPD) - conforme au RGPD et aux exigences du secret professionnel (CNB).

Préambule : le principe zero-retention de LexLogik

LexLogik traite des données pour le compte d'avocats et de professionnels du droit soumis au secret professionnel, conformément au Règlement (UE) 2016/679 (RGPD) et aux exigences du Conseil national des barreaux (CNB). Le cœur de notre architecture de sécurité est le principe zero-retention : les données de contenu des clients ne sont à aucun moment écrites sur des supports de stockage persistant (disques durs/SSD). Tout traitement - y compris la reconnaissance de caractères (OCR) et l'analyse par IA - s'effectue en mémoire vive volatile et isolée (in-memory). Les documents sont supprimés immédiatement après traitement.

1. Pseudonymisation et chiffrement (art. 32 § 1 lit. a RGPD)

  • Chiffrement en transit : tous les transferts de données entre l'appareil du cabinet et les serveurs LexLogik sont protégés par TLS 1.3. Les protocoles obsolètes sont bloqués côté serveur.
  • Chiffrement au repos : bien que les données de contenu ne soient pas stockées de manière persistante, tous les disques serveurs hébergeant le système d'exploitation et la logique applicative sont entièrement chiffrés (LUKS / AES-256).
  • Pseudonymisation des noms de fichiers : les noms de fichiers téléversés sont remplacés côté serveur au moment du chargement par des valeurs de hachage cryptographiques temporaires (UUID). Les noms originaux n'apparaissent jamais dans les journaux système.
  • Pas de stockage de contenu : l'absence totale de persistance des données de contenu rend inutile toute pseudonymisation d'un stockage à long terme.

2. Confidentialité du traitement (art. 32 § 1 lit. b RGPD)

  • Contrôle d'accès : l'accès aux systèmes de production est strictement limité aux administrateurs système désignés, protégé par authentification multi-facteurs et listes de contrôle d'accès (ACL).
  • Séparation des données : les sessions de traitement de chaque client sont logiquement et physiquement isolées. Des contrôles empêchent que les données d'un client soient accessibles à un autre.
  • Engagement du personnel : tous les collaborateurs ayant accès aux systèmes d'infrastructure sont soumis à des obligations de confidentialité écrites (contrat de travail, NDA) avant toute habilitation.
  • Pas de cloud US : aucun recours à AWS, Azure ou Google Cloud pour le traitement des données de contenu (documents). L'ensemble de l'infrastructure est exploitée sur du matériel propre en Allemagne.
  • Exclusion administrative : le personnel LexLogik n'a aucun accès technique au contenu des sessions pendant le traitement.

3. Intégrité (art. 32 § 1 lit. b RGPD)

  • Contrôle d'intégrité des données : des sommes de contrôle cryptographiques (SHA-256) sont calculées pour chaque document téléversé et comparées après le traitement afin de détecter toute modification non autorisée.
  • Journalisation : les événements de sécurité sont enregistrés dans des journaux sécurisés, inaltérables et conservés au minimum un an.
  • Double reconnaissance de texte : deux moteurs de reconnaissance de caractères indépendants (Surya + Tesseract) traitent chaque document en parallèle. Les divergences sont signalées pour vérification visuelle via « La Loupe ».

4. Disponibilité et résilience (art. 32 § 1 lit. b, c RGPD)

  • Infrastructure redondante : les composants critiques de l'infrastructure sont déployés de manière redondante dans plusieurs datacenters certifiés ISO 27001, situés en Allemagne (UE).
  • Plan de continuité : des procédures documentées garantissent la restauration des fonctions critiques dans les délais définis en cas d'incident.
  • Protection contre les attaques : pare-feu, systèmes de détection d'intrusion (IDS) et filtrages DDoS sont en place en permanence.

5. Contrôle et audit (art. 32 § 1 lit. d RGPD)

  • Évaluations périodiques : l'efficacité des mesures de sécurité fait l'objet d'évaluations régulières, d'audits internes et de tests de pénétration.
  • Droit d'audit du responsable : conformément à l'art. 28 RGPD, le responsable du traitement (cabinet d'avocats) peut demander un audit ou un rapport sur les mesures de sécurité mises en œuvre.
  • Notification des violations : en cas de violation de données, LexLogik UG notifie le responsable du traitement sans délai indu (délai cible : 24 h), afin de lui permettre de respecter l'obligation de notification à la CNIL dans le délai de 72 h prévu par l'art. 33 RGPD.
  • Assistance : LexLogik UG prête assistance pour la gestion des demandes relatives aux droits des personnes concernées (accès, rectification, effacement, portabilité).

La présente annexe fait partie intégrante du contrat de sous-traitance (art. 28 RGPD) conclu entre le cabinet et LexLogik UG (haftungsbeschränkt). Pour toute question technique ou juridique : info@lexlogik.com. Pour la politique de confidentialité complète : confidentialité.