Protection des données

Conformité RGPD

UltiSuite est conçue pour la conformité opérationnelle au RGPD : vos droits, nos outils et la transparence sur cette instance.

Dernière mise à jour: 29 juin 2026

Conformité RGPD intégrée

UltiSuite intègre les mécanismes opérationnels du Règlement général sur la protection des données (RGPD) : transparence, droits des personnes, consentements, portabilité, effacement, limitation du traitement, registre des activités et suivi des demandes (DSAR).

La suite est conçue pour un déploiement souverain : vos données restent sur l'infrastructure que vous contrôlez. Les composants logiciels (Authentik, Nextcloud, base de données, stockage, etc.) ne sont pas des sous-traitants externes — ils font partie de votre instance.

Seuls les services tiers réellement activés sur votre instance (fournisseurs IA, OAuth, paiements, etc.) peuvent recevoir des données en dehors de ce périmètre. Ils sont listés dynamiquement sur la page des sous-traitants.

Vos droits

Droit d'accès (art. 15) — obtenir une vue d'ensemble de vos données et catégories traitées via le résumé dans votre compte, ou un export complet.

Droit de rectification (art. 16) — modifier votre profil, vos contacts et vos contenus directement dans les applications concernées.

Droit à l'effacement (art. 17) — demander la suppression de votre compte et de vos données associées, orchestrée sur l'ensemble des services activés.

Droit à la limitation (art. 18) — activer la restriction de traitement pour bloquer l'enrichissement IA, les webhooks sortants et les appels LLM externes.

Droit à la portabilité (art. 20) — télécharger un export structuré (ZIP) de vos données personnelles.

Droit d'opposition (art. 21) — retirer vos consentements (ex. enrichissement contacts par IA) ou limiter certains traitements.

Droit de ne pas faire l'objet d'une décision automatisée — les suggestions IA restent des aides ; vous gardez le contrôle des envois et des actions.

Comment exercer vos droits

Connectez-vous et ouvrez Compte → Confidentialité & données (`/account/confidentialite`) pour gérer vos consentements, exporter vos données, limiter le traitement ou demander l'effacement de votre compte.

Vous pouvez effacer les données stockées localement dans votre navigateur (cache, préférences, file d'attente hors ligne) depuis la même page.

Si votre compte est géré par une organisation, certaines demandes peuvent être traitées par l'administrateur de votre instance. Contactez-le ou le référent confidentialité indiqué ci-dessous.

Transparence et documentation

Politique de confidentialité complète : finalités, bases légales, conservation, cookies et stockage local.

Liste des sous-traitants externes activés sur cette instance, générée dynamiquement selon vos intégrations.

Modèle d'accord de traitement (DPA) pour les clients B2B et déploiements multi-organisations.

API publique `GET /api/v1/privacy/disclosure` pour intégrer la liste des sous-traitants dans vos propres processus.

Sécurité, rétention et effacement

Durées de rétention configurables par l'administrateur (journaux d'audit, webhooks, transcriptions, corbeille Drive, mails supprimés) et appliquées par des workers automatiques.

Effacement orchestré : lors d'une demande de suppression, UltiSuite purge les données sur PostgreSQL, Authentik, Nextcloud, stockage objet et modules activés (Immich, etc.).

Chiffrement des identifiants mail, option zero-trust pour le chiffrement de bout en bout des messages, sessions OIDC sécurisées.

Analytics d'usage via Matomo auto-hébergé en mode sans cookie lorsque activé — pas de bandeau cookies analytics dans cette configuration.

Gouvernance pour les administrateurs

Export du registre des activités de traitement (ROPA) au format JSON depuis la console d'administration.

Suivi des demandes DSAR (export, effacement, restriction) avec clôture automatique à la fin des traitements.

Export des données utilisateur par un administrateur pour répondre aux demandes d'accès.

Documentation compliance (DPIA, réponse incident) disponible pour les déploiements à risque élevé.

Précisions importantes

« 100 % conforme RGPD » signifie que la suite fournit les fonctionnalités techniques et organisationnelles nécessaires à la mise en conformité opérationnelle. La conformité juridique globale de votre déploiement reste la responsabilité du responsable de traitement (votre organisation ou l'opérateur de l'instance).

Les modèles DPA et textes légaux doivent être revus par votre conseil juridique avant usage contractuel.

Les sauvegardes et journaux techniques peuvent conserver temporairement des données après effacement, selon les cycles de purge configurés — voir la politique de confidentialité.

Contact et réclamations

Contact confidentialité : voir l'administrateur de votre instance UltiSuite.

Vous pouvez aussi introduire une réclamation auprès de la CNIL ou de l'autorité de protection des données compétente dans votre pays.

100 % conforme RGPD

Fonctionnalités compliance intégrées

Chaque point ci-dessous est disponible dans la suite — sans module tiers payant ni développement sur mesure.

  • Export portable des données (ZIP, 7 jours)
  • Effacement orchestré multi-services
  • Limitation et consentements utilisateur
  • Sous-traitants listés dynamiquement
  • Registre ROPA exportable
  • Suivi DSAR automatisé
  • Matomo cookieless (optionnel)
  • Pages légales publiques sans connexion

Sous-traitants externes activés

Uniquement les prestataires tiers réellement configurés sur cette instance.

Chargement de la liste des sous-traitants…

Page sous-traitantsAccord de traitement (DPA)