Retyc logo blue

Politique de protection des données à caractère personnel

Retyc - un service de TripleStack SAS

Version 1.1 - En vigueur à compter du : 24 mai 2026

Article 1 - Présentation et champ d'application

TripleStack SAS, société par actions simplifiée unipersonnelle au capital de 1.000 euros, immatriculée au RCS de Lyon sous le numéro 853 010 064, ayant son siège social au 12 B rue du Stade - 69290 Grézieu-la-Varenne (ci-après « TripleStack » ou « Retyc »), agit en qualité de responsable de traitement pour les données à caractère personnel collectées dans le cadre de l'exploitation de la plateforme Retyc accessible à l'adresse https://retyc.com (la « Plateforme »).

TripleStack est représentée par son Président, Monsieur Emilien Mantel.

La présente politique (ci-après la « Politique ») a pour objet d'informer l'ensemble des utilisateurs de la Plateforme - qu'ils soient des professionnels (clients B2B) ou des particuliers (clients B2C et utilisateurs anonymes) - des conditions dans lesquelles TripleStack collecte, traite et conserve leurs données à caractère personnel, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » modifiée (ci-après la « LIL »).

La présente Politique fait partie intégrante des Conditions Générales d'Utilisation et de Vente (CGU) de la Plateforme. En cas de contradiction entre la présente Politique et les CGU, les dispositions spécifiques à la protection des données de la présente Politique prévalent.

La Plateforme distingue trois catégories d'utilisateurs auxquels la présente Politique s'applique :

  • les Utilisateurs Enregistrés B2B : personnes physiques utilisant la Plateforme dans le cadre de leur activité professionnelle, pour le compte d'un client B2B ;
  • les Utilisateurs Enregistrés B2C : personnes physiques utilisant la Plateforme à titre personnel, en qualité de consommateurs ;
  • les Utilisateurs Anonymes : personnes accédant à la Plateforme sans compte enregistré, notamment pour télécharger un fichier partagé.

Article 2 - Données collectées, finalités et bases légales

2.1 Gestion des comptes et fourniture des Services

Données collectées : prénom, nom, adresse électronique, mot de passe (stocké sous forme hachée - TripleStack n'a pas accès au mot de passe en clair).

Personnes concernées : Utilisateurs Enregistrés B2B et B2C.

Finalité : création et gestion du compte utilisateur, authentification, fourniture des Services, gestion de l'Organisation du client.

Base légale : exécution du contrat (article 6, paragraphe 1, b) du RGPD).

Durée de conservation : pendant toute la durée du contrat, puis supprimées immédiatement à la clôture du compte, sauf obligation légale de conservation contraire.

2.2 Gestion des abonnements payants et facturation

Données collectées : données d'identification (nom, prénom, adresse électronique), informations relatives à l'abonnement souscrit, historique de facturation.

Personnes concernées : Utilisateurs Enregistrés B2B et B2C titulaires d'un abonnement payant.

Finalité : gestion des abonnements, émission des factures, suivi des paiements.

Destinataires : ces données sont susceptibles d'être transmises à l'expert-comptable de TripleStack, agissant en qualité de sous-traitant, aux seules fins de l'établissement des comptes sociaux et de l'accomplissement des obligations comptables légales.

Base légale : exécution du contrat (article 6, paragraphe 1, b) du RGPD) et respect des obligations légales en matière comptable (article 6, paragraphe 1, c) du RGPD).

Durée de conservation : les données de facturation sont conservées dix (10) ans à compter de la clôture de l'exercice comptable concerné, conformément aux obligations légales en matière de comptabilité.

2.3 Traitement des paiements

Données collectées : TripleStack ne collecte ni ne stocke directement les données bancaires ou de carte de paiement. Ces données sont collectées et traitées directement par Stripe, prestataire de services de paiement agissant en qualité de responsable de traitement indépendant.

Personnes concernées : Utilisateurs Enregistrés B2B et B2C titulaires d'un abonnement payant.

Finalité : traitement sécurisé des transactions financières.

Base légale : exécution du contrat (article 6, paragraphe 1, b) du RGPD).

Durée de conservation : les données de transaction transmises à Stripe sont conservées par Stripe selon les conditions définies dans sa propre politique de confidentialité, accessible à l'adresse https://stripe.com/fr/privacy. TripleStack conserve uniquement les références de transaction nécessaires à la gestion comptable, pour une durée de dix (10) ans.

2.4 Sécurité et journalisation

Données collectées : adresses IP, logs de connexion (date, heure, type et version du navigateur), horodatages des actions sur la Plateforme, métadonnées des fichiers : taille, date de création et de modification, arborescence de l'Organisation (le nom et le type de fichier sont chiffrés côté client et inaccessibles à TripleStack).

Personnes concernées : Utilisateurs Enregistrés B2B, B2C et Utilisateurs Anonymes.

Finalité : sécurité de la Plateforme, détection et prévention des abus, administration technique, traçabilité.

Base légale : intérêt légitime de TripleStack à assurer la sécurité et l'intégrité de la Plateforme (article 6, paragraphe 1, f) du RGPD).

Durée de conservation : les logs de sécurité sont conservés douze (12) mois à compter de leur collecte.

2.5 Statistiques d'utilisation anonymisées

Données collectées : données d'utilisation agrégées et anonymisées (types de fonctionnalités utilisées, fréquence et durée des activités). Ces données sont collectées via un outil d'analyse d'audience auto-hébergé (Umami), qui ne dépose aucun cookie sur le terminal de l'utilisateur et ne collecte aucune donnée à caractère personnel identifiable.

Personnes concernées : Utilisateurs Enregistrés B2B, B2C et Utilisateurs Anonymes.

Finalité : amélioration des Services et de la Plateforme.

Base légale : intérêt légitime de TripleStack à améliorer ses Services (article 6, paragraphe 1, f) du RGPD). Ces données étant anonymisées, elles ne constituent pas techniquement des données à caractère personnel au sens du RGPD.

Durée de conservation : vingt-quatre (24) mois glissants.

2.6 Support et correspondance

Données collectées : adresse électronique, nom, contenu des échanges avec le support.

Outil de support : le support est accessible à l'adresse https://support.retyc.com. Il est hébergé sur la même infrastructure Scaleway que la Plateforme (France, Union européenne) et utilise le système d'authentification unique (SSO) de Retyc.

Personnes concernées : Utilisateurs Enregistrés B2B et B2C.

Finalité : réponse aux demandes d'assistance, suivi des incidents, amélioration de la qualité du service.

Base légale : exécution du contrat (article 6, paragraphe 1, b) du RGPD) et intérêt légitime de TripleStack à améliorer ses Services (article 6, paragraphe 1, f) du RGPD).

Durée de conservation : les échanges de support sont conservés trente-six (36) mois à compter de la clôture du compte.

2.7 Communications relatives au compte et au Service

Données collectées : adresse électronique.

Personnes concernées : Utilisateurs Enregistrés B2B et B2C.

Finalité : envoi des notifications transactionnelles liées au compte (confirmation d'inscription, alertes de sécurité, informations relatives aux modifications du Service ou des CGU).

Base légale : exécution du contrat (article 6, paragraphe 1, b) du RGPD) et respect des obligations légales d'information (article 6, paragraphe 1, c) du RGPD).

Sous-traitant : les communications sont acheminées via Scaleway ou Brevo (anciennement Sendinblue), prestataire d'envoi d'emails établi en France, agissant en qualité de sous-traitant. Brevo peut conserver des métadonnées d'envoi (horodatage, statut de délivrance) conformément à sa propre politique de confidentialité, accessible à l'adresse https://www.brevo.com/fr/legal/privacypolicy/.

Durée de conservation : pendant toute la durée du contrat, puis supprimées immédiatement à la clôture du compte.

2.8 Utilisateurs Anonymes

Données collectées : adresse IP, date et heure du téléchargement.

Personnes concernées : Utilisateurs Anonymes accédant à un fichier partagé.

Finalité : sécurité, prévention des abus, administration technique de la Plateforme.

Base légale : intérêt légitime de TripleStack à assurer la sécurité de la Plateforme (article 6, paragraphe 1, f) du RGPD).

Durée de conservation : douze (12) mois à compter de la collecte.

2.9 Destinataires des transferts de fichiers

Données collectées : adresse électronique des destinataires désignés par le Client lors de la création d'un transfert.

Personnes concernées : toute personne dont l'adresse électronique est renseignée par un Utilisateur Enregistré comme destinataire d'un transfert.

Finalité : envoi de la notification de réception du transfert ; possibilité pour le propriétaire du transfert de renvoyer une notification.

Base légale : intérêt légitime de TripleStack et du Client à assurer la bonne réception des transferts (article 6, paragraphe 1, f) du RGPD).

Durée de conservation : les adresses électroniques des destinataires sont supprimées à l'expiration ou à la suppression du transfert concerné. Elles ne sont pas exploitées à des fins de prospection commerciale ou de marketing.

2.10 Historisation des événements (datarooms et transferts)

Données collectées : type d'événement (téléchargement, suppression, modification, etc.), identité de l'Utilisateur Enregistré concerné, horodatage. Les données sensibles associées aux événements (nom de fichier notamment) sont stockées sous forme chiffrée et inaccessibles à TripleStack.

Personnes concernées : Utilisateurs Enregistrés B2B et B2C ayant accès à une dataroom ou à un transfert.

Finalité : traçabilité et audit des actions effectuées au sein des datarooms et des transferts, conformément aux fonctionnalités natives de la Plateforme.

Base légale : exécution du contrat (article 6, paragraphe 1, b) du RGPD).

Durée de conservation - Datarooms : les logs d'événements relatifs aux datarooms sont conservés trois cent soixante-cinq (365) jours glissants, ou supprimés totalement à la suppression de la dataroom si celle-ci intervient avant l'expiration de ce délai.

Durée de conservation - Transferts : les logs d'événements relatifs aux transferts sont conservés jusqu'à la suppression ou l'expiration du transfert concerné (délai maximum de quatre-vingt-dix (90) jours). Les données des transferts expirés font l'objet d'une purge automatique dans les quatre (4) heures suivant l'expiration.

Tracking des destinataires anonymes : lorsque le destinataire d'un transfert n'est pas connecté à un compte Retyc, TripleStack enregistre un identifiant technique pseudonymisé, composé d'un hash non réversible de l'adresse IP et du user-agent (navigateur) du destinataire. Cet identifiant permet uniquement de distinguer les téléchargements effectués par des utilisateurs anonymes distincts ; il ne permet pas l'identification formelle du destinataire. Base légale : intérêt légitime de TripleStack à assurer la traçabilité des transferts (article 6, paragraphe 1, f) du RGPD).

Export des logs de dataroom : le Client dispose d'une fonctionnalité d'export de ses logs de dataroom directement depuis la Plateforme.

Article 3 - Architecture zero-knowledge et accès aux données

La Plateforme repose sur une architecture de chiffrement de bout en bout dite zero-knowledge : les fichiers déposés par les utilisateurs sur la Plateforme sont chiffrés côté client avant tout transfert vers les serveurs de TripleStack. TripleStack ne détient pas les clés de déchiffrement et n'a donc techniquement pas accès au contenu des fichiers stockés, ni aux métadonnées chiffrées (nom et type de fichier).

En conséquence, les traitements effectués par TripleStack en qualité de responsable de traitement portent exclusivement sur les métadonnées et données de compte listées à l'article 2 de la présente Politique, et non sur le contenu des fichiers.

Article 4 - Destinataires et sous-traitants

TripleStack s'engage à ne pas commercialiser les données à caractère personnel de ses utilisateurs.

Les données à caractère personnel peuvent être traitées par les sous-traitants, dont la liste complète et à jour est disponible à l'adresse https://retyc.com/fr/legal/subprocessors.

Pour Stripe, dont les serveurs peuvent être situés en dehors de l'Union européenne, TripleStack a conclu avec ce prestataire un accord encadrant le transfert de données conformément aux clauses contractuelles types adoptées par la Commission européenne.

En dehors des cas listés ci-dessus, TripleStack ne communique les données à caractère personnel de ses utilisateurs à des tiers que dans les cas suivants :

  • sur réquisition d'une autorité administrative ou judiciaire habilitée, dans la limite des capacités techniques d'accès de TripleStack au regard de son architecture zero-knowledge ;
  • pour protéger les droits et intérêts légaux de TripleStack.

Article 5 - Transferts hors de l'Union européenne

À l'exception des données de paiement traitées par Stripe dans les conditions décrites à l'article 2.3, l'ensemble des données à caractère personnel traitées par TripleStack sont hébergées et traitées exclusivement sur des infrastructures situées dans l'Union européenne.

Tout transfert vers un pays tiers est encadré par des garanties appropriées au sens du Chapitre V du RGPD, et notamment par les clauses contractuelles types de la Commission européenne.

Article 6 - Sécurité

TripleStack met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données à caractère personnel de ses utilisateurs, et notamment :

  • chiffrement de bout en bout des fichiers selon une architecture zero-knowledge ;
  • chiffrement des communications par protocole TLS ;
  • stockage des mots de passe sous forme hachée (TripleStack n'a pas accès aux mots de passe en clair) ;
  • hébergement exclusif sur des infrastructures situées dans l'Union européenne ;
  • contrôles d'accès stricts, limités aux personnels habilités ;
  • procédures de journalisation et de surveillance des accès ;
  • sauvegardes régulières et sécurisées.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, TripleStack s'engage à en informer les personnes affectées dans les meilleurs délais, conformément à l'article 34 du RGPD.

Article 7 - Cookies et traceurs

7.1 Cookies strictement nécessaires

La Plateforme utilise uniquement des cookies strictement nécessaires à son fonctionnement, notamment pour la gestion des sessions utilisateurs et la mémorisation des préférences de navigation. Ces cookies ne nécessitent pas le consentement préalable de l'utilisateur.

7.2 Outil de mesure d'audience

La Plateforme utilise Umami, un outil d'analyse d'audience auto-hébergé sur l'infrastructure Scaleway en France. Cet outil ne dépose aucun cookie sur le terminal de l'utilisateur, ne collecte aucune donnée à caractère personnel identifiable, et traite les données de manière entièrement anonymisée. Il ne relève donc pas du régime de consentement applicable aux cookies analytiques.

7.3 Absence de cookies publicitaires ou tiers

Aucun cookie tiers à des fins publicitaires, de ciblage ou de suivi comportemental n'est déposé sur le terminal des utilisateurs de la Plateforme.

Article 8 - Mineurs

La Plateforme s'adresse à des personnes majeures capables de contracter des obligations conformément à la législation du pays dans lequel se trouve l'utilisateur. TripleStack ne collecte pas sciemment de données à caractère personnel concernant des mineurs de moins de quinze (15) ans.

Si TripleStack venait à avoir connaissance qu'un mineur de moins de quinze (15) ans a créé un compte sans le consentement de son représentant légal, il procéderait à la suppression du compte et des données associées dans les meilleurs délais.

Article 9 - Droits des personnes concernées

Conformément au RGPD et à la LIL, les utilisateurs disposent des droits suivants sur leurs données à caractère personnel :

  • Droit d'accès (article 15 du RGPD) : obtenir la confirmation que des données les concernant sont traitées, ainsi qu'une copie de ces données et des informations sur les modalités du traitement ;
  • Droit de rectification (article 16 du RGPD) : obtenir la correction de données inexactes ou incomplètes ;
  • Droit à l'effacement (article 17 du RGPD) : obtenir la suppression de leurs données, dans les cas prévus par le RGPD ;
  • Droit à la limitation du traitement (article 18 du RGPD) : obtenir la limitation du traitement dans les cas prévus par le RGPD ;
  • Droit à la portabilité (article 20 du RGPD) : recevoir leurs données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement ;
  • Droit d'opposition (article 21 du RGPD) : s'opposer à tout moment au traitement de leurs données fondé sur l'intérêt légitime de TripleStack ;
  • Droit de retrait du consentement : retirer à tout moment leur consentement, sans que ce retrait affecte la licéité du traitement effectué avant ce retrait ;
  • Droit de définir des directives post-mortem (article 85 de la LIL) : formuler des directives relatives au sort de leurs données après leur décès.

Important - exercice des droits après clôture du compte : en cas de suppression du compte, les données étant supprimées ou anonymisées de manière irréversible immédiatement à la clôture, toute demande d'accès, de rectification ou de portabilité reçue postérieurement à cette clôture ne pourra être satisfaite, en raison de l'impossibilité technique d'y donner suite. Cette limitation est une conséquence inhérente à la politique de suppression immédiate et à l'architecture zero-knowledge de la Plateforme.

Pour exercer l'un de ces droits, les utilisateurs peuvent adresser leur demande à TripleStack :

  • Par e-mail : privacy@retyc.net ;
  • Par courrier : TripleStack SAS, 12 B rue du Stade, 69290 Grézieu-la-Varenne, France.

La demande devra être accompagnée d'une copie d'une pièce d'identité en cours de validité. TripleStack s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, délai pouvant être prolongé de deux (2) mois en cas de complexité ou de nombre important de demandes, avec information préalable de l'utilisateur.

Les utilisateurs peuvent également déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : https://www.cnil.fr/fr/plaintes.

Article 10 - Délégué à la protection des données

Pour toute question relative à la protection des données personnelles, les utilisateurs peuvent contacter TripleStack à l'adresse : privacy@retyc.net.

Article 11 - Modifications de la présente Politique

TripleStack se réserve le droit de modifier la présente Politique à tout moment, notamment pour se conformer à toute évolution réglementaire, jurisprudentielle ou technique, ou pour refléter les évolutions de la Plateforme et des Services.

En cas de modification substantielle, les utilisateurs en seront informés au moins quinze (15) jours avant l'entrée en vigueur de la nouvelle version, par e-mail ou par notification sur la Plateforme. La version en vigueur est celle accessible sur la Plateforme à la date de consultation.

Article 12 - Langue

En cas de conflit ou de contradiction entre les stipulations des différentes versions linguistiques de ma présente politique de protection des données à caractère personnel, la version française prévaudra.

Article 13 - Contact

Pour toute question ou réclamation concernant la présente Politique :

  • Par e-mail : privacy@retyc.net ;
  • Par courrier : TripleStack SAS, 12 B rue du Stade, 69290 Grézieu-la-Varenne, France.