Politique de confidentialité
Dernière mise à jour : 18/05/2026
Version : 1.0
Préambule
La présente politique de confidentialité décrit la manière dont ORKOM collecte, utilise, partage et protège les données à caractère personnel de ses utilisateurs et visiteurs.
Elle s'applique :
-
au site web public https://orkom.fr et ses sous-domaines (ci-après « le Site ») ;
-
à l'application https://app.orkom.fr (ci-après « l'Application ») ;
-
à toute interaction avec ORKOM dans le cadre de la fourniture de ses services.
ORKOM s'engage à traiter vos données à caractère personnel conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi française n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
ORKOM est responsable de traitement pour les données qu'il collecte directement (comptes utilisateurs, données de navigation, ...). La présente politique décrit ces traitements.
ORKOM est sous-traitant au sens de l'Article 28 RGPD pour le contenu que ses clients (organisations) uploadent dans l'Application (factures, contrats, dossiers, etc.). Le traitement de ce contenu est régi par un Accord de Traitement (DPA) signé entre ORKOM et chaque client. Les personnes physiques mentionnées dans ce contenu doivent s'adresser à l'organisation cliente concernée pour exercer leurs droits. Voir la section « Contenu confié par les clients ».
1. Qui sommes-nous ?
ORKOM est une SAS au capital de 1000,00 €, immatriculée au RCS de Bordeaux sous le numéro SIREN 993 033 943.
Le responsable du traitement des données à caractère personnel est :
| Champ | Valeur |
|---|---|
| Dénomination | ORKOM |
| Forme juridique | SAS |
| SIREN | 993 033 943 |
| Adresse du siège social | 22 RUE FRANÇOIS MAURIAC 33200 BORDEAUX |
| Représentant légal | Rayan Azmatally, Directeur Général |
| Email de contact général | contact@orkom.fr |
| Email de contact RGPD | support**@orkom.**fr |
2. Données collectées
2.1 Sur le site vitrine (https://orkom.fr)
Lorsque vous visitez notre site vitrine :
| Type de donnée | Détails | Source |
|---|---|---|
| Données de navigation | Adresse IP (anonymisée), pages visitées, navigateur, système d'exploitation, durée de visite | Collecte automatique via Google Analytics 4, après votre consentement |
| Données de contact | Si vous prenez rendez-vous via le bouton « Réserver un appel » : nom, prénom, email, message éventuel | Saisie directe par vous via Google Calendar Appointment Schedules |
| Communications | Si vous nous écrivez à contact@orkom.fr : contenu de l'email, adresse expéditeur | Saisie directe par vous |
2.2 Dans l'Application (https://app.orkom.fr)
Lorsque vous créez un compte et utilisez l'Application :
| Type de donnée | Détails |
|---|---|
| Données d'identification | Nom, prénom, adresse email professionnelle |
| Données d'authentification | Mot de passe (chiffré et géré par Firebase, jamais accessible à ORKOM), secret MFA si activé, codes de secours hachés |
| Données d'organisation | Raison sociale de votre organisation, rôle, rattachement à une équipe |
| Données de connexion | Date de création du compte, dernière connexion, sessions actives |
| Données de facturation | Solde de tokens, historique des transactions internes (montants, dates) |
| Préférences | Langue d'utilisation (français / anglais) |
| Données d'invitation | Si vous êtes invité à rejoindre une organisation : adresse email, rôle proposé, token d'invitation |
2.3 Contenu confié par les clients (rôle de sous-traitant)
Lorsque vous utilisez l'Application dans le cadre de votre travail au sein d'une organisation cliente, vous pouvez uploader des documents, créer des extractions, des tableaux, des dossiers de vérification. Ce contenu appartient à l'organisation cliente, qui en est responsable de traitement.
ORKOM traite ce contenu uniquement sur instruction de l'organisation cliente, dans le cadre d'un Accord de Traitement (DPA) signé avec celle-ci. Le contenu peut inclure des données à caractère personnel de tiers (employés, clients, fournisseurs de l'organisation cliente).
Si vous êtes une personne physique dont les données figurent dans le contenu uploadé par un client d'ORKOM, vous devez exercer vos droits directement auprès de cette organisation, qui est le responsable de traitement. ORKOM assiste ses clients dans l'exercice de ces droits conformément à l'Article 28 RGPD.
3. Finalités du traitement
Le tableau ci-dessous présente les finalités, bases légales et données concernées pour chaque traitement.
| Finalité | Données traitées | Base légale (Art. 6 RGPD) |
|---|---|---|
| Création et gestion de votre compte utilisateur | Identification, authentification, préférences | Exécution du contrat (Art. 6.1.b) |
| Fourniture du service ORKOM | Données d'organisation, contenu uploadé (rôle de sous-traitant), API keys | Exécution du contrat (Art. 6.1.b) |
| Gestion des invitations entre utilisateurs | Email de l'invité, données de l'inviteur | Intérêt légitime d'ORKOM et de l'organisation cliente à constituer ses équipes (Art. 6.1.f) |
| Facturation et obligations comptables | Données de facturation, factures, contrats | Obligation légale (Art. 6.1.c — Code de Commerce) + Exécution du contrat (Art. 6.1.b) |
| Communications transactionnelles (vérification d'email, reset mot de passe, notifications) | Email, prénom | Exécution du contrat (Art. 6.1.b) |
| Sécurité et accountability (audit logs des actions sensibles, logs techniques, détection de fraude) | Identifiants techniques, métadonnées d'actions, IP serveur | Intérêt légitime — sécurité applicative (Art. 32) et démonstration de conformité (Art. 5.2) |
| Exercice de vos droits RGPD | Toutes les données collectées (selon la demande) | Obligation légale (Art. 12 à 22 RGPD) |
| Preuve d'acceptation des documents contractuels | UserId, versions acceptées des CGU et de la présente politique, dates | Intérêt légitime — preuve contractuelle (Art. 6.1.f) |
| Mesure d'audience du site vitrine | Données de navigation (Google Analytics 4) | Consentement (Art. 6.1.a) — collecté via le bandeau cookies |
| Prospection commerciale B2B | Coordonnées des prospects, notes commerciales, historique d'échanges | Intérêt légitime — prospection B2B (Art. 6.1.f) |
| Gestion administrative et juridique interne (contrats clients/fournisseurs, documents légaux) | Identité contractuelle, contenu des contrats | Obligation légale (Art. 6.1.c) + Intérêt légitime (Art. 6.1.f) |
4. Sous-traitants et destinataires
ORKOM fait appel à des sous-traitants techniques de confiance, agissant en qualité de sous-traitants au sens du RGPD, strictement nécessaires à l'exécution du service. Ces sous-traitants sont soumis à des obligations contractuelles de confidentialité et de sécurité conformes aux exigences du RGPD (article 28).
| Sous-traitant | Service | Données concernées | Localisation | Garanties |
|---|---|---|---|---|
| Google LLC | Hébergement applicatif (infrastructure et données stockées), Vertex AI Gemini | Tout données de l’utilisateur et données téléchargées par l’utilisateur (documents) | UE | Data Privacy Framework, Clauses Contractuelles (SCC), Data Processing Addendum |
| Google LLC | Firebase Authentication, Google Analytics, Google Workspace (Gmail, Drive, Sheets, Calendar) | Données de connexion, de navigation, de prospection | USA | Data Privacy Framework, Clauses Contractuelles (SCC), Data Processing Addendum |
| Anthropic, PBC | API Claude - Traitement IA des contenus, utilisé lorsque l'organisation cliente sélectionne Anthropic comme fournisseur de modèle dans ses paramètres | Contenu des documents lorsque cette option est sélectionnée | USA | Clauses Contractuelles (SCC), Data Processing Addendum, Les données ne sont pas utilisées pour l'entraînement |
| Plus Five Five, Inc. (Resend) | Envoi d'emails transactionnels (vérification d'email, réinitialisation de mot de passe, invitations, notifications) | Email, contenu des notifications | USA | EU-US Data Privacy Framework, Clauses Contractuelles Types, DPA signé |
Les traitements IA ne sont pas automatiquement réalisés par Anthropic. Il est possible de choisir sur la plateforme un modèle hébergé en Europe.
Cette liste est susceptible d'évoluer. Toute modification fait l'objet d'une mise à jour de la présente politique.
ORKOM peut être amené à divulguer vos données aux autorités compétentes (administration fiscale, autorités judiciaires) dans le cadre d'une obligation légale ou d'une réquisition judiciaire.
ORKOM ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales.
5. Transferts hors Union européenne
Certains de nos sous-traitants sont établis aux États-Unis. Les transferts les concernant sont strictement limités comme suit :
- Resend (envoi d'emails transactionnels) : seules des données d'identification basiques sont concernées (nom, prénom, adresse email du destinataire). Aucune donnée issue du Contenu Client (documents, données des clients finaux) n'est transmise à Resend.
- Google LLC (authentification via Firebase et mesure d'audience via Google Analytics) : seules les données de compte et de navigation sont concernées. Aucune donnée issue du Contenu Client n'est transmise dans ce cadre, l'hébergement et le stockage du Contenu Client sont assurés au sein de l'Union européenne.
- Anthropic (traitement IA) : ce transfert n'a lieu que si l'organisation cliente active explicitement cette option dans ses paramètres. Par défaut, le traitement IA est réalisé au sein de l'Union européenne, et aucune donnée n'est transmise à Anthropic.
Ces transferts sont encadrés par les garanties suivantes :
-
EU-US Data Privacy Framework (DPF), mécanisme d'adéquation reconnu par la Commission européenne le 10 juillet 2023.
-
Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (Décision d'exécution UE 2021/914), intégrées aux DPA de tous nos sous-traitants américains.
Vous pouvez obtenir une copie des garanties applicables en nous contactant à support@orkom.fr.
6. Durées de conservation
Les durées de conservation sont fixées par finalité, conformément au principe de limitation de la conservation (Art. 5.1.e RGPD).
| Catégorie de données | Durée de conservation | Base |
|---|---|---|
| Compte utilisateur (identification, authentification) | Tant que le compte est actif ou rattaché à une organisation active. Suppression sur demande à tout moment via support@orkom.fr ou manuellement sur la plateforme. | Exécution du contrat |
| Contenu organisationnel (Application) | Tant que l'organisation cliente est active, selon les instructions du responsable de traitement | DPA client |
| Données de facturation et factures émises | 10 ans à compter de la clôture de l'exercice comptable | Obligation légale — Code de Commerce L.123-22 |
| Contrats commerciaux (clients, fournisseurs) | Durée du contrat + 5 ans après son terme | Prescription civile — Code civil Art. 2224 |
| Logs d'audit (actions sensibles dans l'Application) | 2 ans | Sécurité applicative (Art. 32) |
| Logs techniques applicatifs | 30 jours | Sécurité et maintenance |
| Sauvegardes de base de données | 14 jours (sauvegardes complètes) + 7 jours (Point-in-Time Recovery) | Sécurité et continuité |
| Cookies de mesure d'audience (_ga, _ga_*) | 13 mois | Recommandation CNIL |
| Données de prospect (CRM commercial) | 3 ans à compter du dernier contact | Recommandation CNIL prospection B2B |
| Preuve d'acceptation des CGU et de la présente politique | Durée du contrat + 5 ans (anonymisée après suppression du compte) | Prescription civile |
À l'issue de ces durées, vos données sont supprimées définitivement ou anonymisées. Lors de la suppression de votre compte, les références à votre identité dans les journaux d'audit et les acceptations légales sont anonymisées (votre identifiant est retiré, les traces techniques sont conservées pour des raisons d'accountability).
7. Vos droits
Conformément aux Articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Ce que cela signifie | Comment l'exercer |
|---|---|---|
| Droit d'accès (Art. 15) | Obtenir confirmation que vos données sont traitées et en recevoir une copie | Email à support@orkom.fr |
| Droit de rectification (Art. 16) | Corriger une donnée inexacte ou incomplète | Modifier directement depuis votre compte (paramètres) ou email à support@orkom.fr |
| Droit à l'effacement (Art. 17) | Demander la suppression de vos données | Suppression self-service de votre compte (Paramètres > Utilisateur > Supprimer mon compte) ou email à support@orkom.fr |
| Droit à la limitation (Art. 18) | Demander la suspension temporaire d'un traitement | Email à support@orkom.fr |
| Droit à la portabilité (Art. 20) | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON) | Export self-service (Paramètres > Utilisateur > Exporter mes données) |
| Droit d'opposition (Art. 21) | Vous opposer à un traitement fondé sur l'intérêt légitime (prospection notamment) | Email à support@orkom.fr ou lien de désinscription dans nos emails commerciaux |
| Retrait du consentement | Retirer votre consentement à tout moment (cookies notamment) | Via le bouton « Gérer les cookies » en pied de page du site vitrine |
| Directives post-mortem | Définir des directives relatives à vos données après votre décès | Email à support@orkom.fr |
Délai de réponse : ORKOM s'engage à répondre à vos demandes dans un délai maximum d'un mois à compter de leur réception, conformément à l'Article 12.3 RGPD. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas vous en seriez informé.
Justification d'identité : pour des raisons de sécurité, ORKOM peut vous demander de justifier votre identité avant de traiter votre demande.
Cas particulier: Personnes mentionnées dans le contenu client : si vous êtes une personne physique dont les données apparaissent dans des documents uploadés par un client d’ORKOM (ex. employé, prestataire, contact d'un cabinet utilisant ORKOM), vous devez exercer vos droits directement auprès de cette organisation, qui est le responsable de traitement pour ce contenu. ORKOM assistera l'organisation dans le traitement de votre demande conformément à l'Article 28 RGPD.
Droit de réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy — TSA 80715 75334 PARIS CEDEX 07 Téléphone : +33 (0)1 53 73 22 22 Site web : www.cnil.fr
8. Sécurité de vos données
ORKOM met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données (Article 32 RGPD) :
Mesures techniques :
-
Chiffrement des données au repos (AES-256) sur l'ensemble des bases de données et stockages
-
Chiffrement des données en transit (TLS 1.2+ pour toutes les communications)
-
Authentification à deux facteurs (MFA) disponible pour tous les comptes utilisateurs, recommandée pour les administrateurs
-
Mots de passe hashés (jamais stockés en clair par ORKOM)
-
Hébergement en Union européenne (Google Cloud, région europe-west4)
-
Sauvegardes automatiques quotidiennes + Point-in-Time Recovery (7 jours)
-
Isolation stricte des données par organisation cliente (architecture multi-tenant)
-
Journal d'audit des actions sensibles
-
Surveillance des accès et détection d'anomalies
Mesures organisationnelles :
-
Accès aux données limité aux personnes habilitées, selon le principe du moindre privilège
-
Engagements de confidentialité signés par les collaborateurs
-
Formation des équipes aux bonnes pratiques de sécurité et au RGPD
-
Procédures documentées en cas d'incident
-
Sélection rigoureuse des sous-traitants avec exigence contractuelle de garanties équivalentes
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, ORKOM s'engage à notifier la CNIL dans un délai de 72 heures et, si le risque est élevé, à vous en informer directement (Articles 33 et 34 RGPD).
9. Cookies et traceurs
9.1 Cookies du site vitrine (https://orkom.fr)
Le site vitrine utilise les cookies suivants :
| Cookie | Type | Finalité | Durée | Consentement |
|---|---|---|---|---|
| orkom-consent | Strictement nécessaire | Mémoriser votre choix concernant les cookies | 13 mois | Non requis |
| _ga, _ga_* | Mesure d'audience | Statistiques de fréquentation via Google Analytics 4 | 13 mois | Requis (opt-in explicite) |
Aucun cookie de mesure d'audience n'est déposé tant que vous n'avez pas explicitement consenti via le bandeau cookies. Vous pouvez à tout moment modifier votre choix via le bouton « Gérer les cookies » en pied de page.
9.2 Cookies de l'Application (https://app.orkom.fr)
L'Application utilise uniquement des cookies strictement nécessaires à son fonctionnement (gestion de la session d'authentification). Aucun cookie analytique ou publicitaire n'est déposé.
10. Décisions automatisées et profilage
ORKOM utilise des modèles d'intelligence artificielle pour traiter les documents uploadés dans l'Application. Cependant :
-
En tant que responsable de traitement de votre compte utilisateur, ORKOM ne prend aucune décision automatisée produisant des effets juridiques vous concernant au sens de l'Article 22 RGPD.
-
En tant que sous-traitant pour le contenu uploadé par les clients, si une fonctionnalité (par exemple le module de vérification de dossiers) produit une évaluation automatisée, la décision finale est toujours prise par un humain au sein de l'organisation cliente. L'information sur cette évaluation et le droit d'obtenir une intervention humaine relèvent de la responsabilité du client (responsable de traitement).
11. Mises à jour de la présente politique
ORKOM se réserve le droit de modifier la présente politique de confidentialité à tout moment pour refléter les évolutions juridiques, techniques ou organisationnelles.
En cas de modification substantielle, ORKOM vous informera par email (pour les utilisateurs de l'Application) ou via un bandeau d'information visible sur le site, avant l'entrée en vigueur des modifications. La date de la dernière mise à jour figure en tête du présent document.
L'historique des versions est disponible sur demande à support@orkom.fr.
12. Nous contacter
Pour toute question relative à la présente politique ou à l'exercice de vos droits :
-
Email RGPD : support@orkom.fr
-
Email général : contact@orkom.fr
-
Adresse postale : 22 Rue François Mauriac 33200, Bordeaux
Politique de confidentialité ORKOM — Version 1.0 — 18/05/2026