Article 28 RGPD
Traitement des données.
Inventaire formel et public du traitement des données personnelles par LutteBlanchiment, conforme à l'article 28 du RGPD. Cette page sert de base au DPA (Data Processing Agreement) signé avec chaque client. Pour le DPA contractualisé, demandez-le ici.
Rôles et responsabilités
Responsable du traitement
L'assujetti (vous)
Vous décidez des finalités et moyens du traitement de vos données clients. Vous êtes seul responsable au sens de l'article 4.7 RGPD.
Sous-traitant
LutteBlanchiment
Nous traitons les données pour votre compte, sur instructions documentées (votre usage de l'API ou de l'agent), au sens de l'article 28 RGPD.
Catégories de données traitées
Données d'authentification
- Email professionnel
- Hash du mot de passe (bcrypt)
- Cookies de session Supabase Auth
Rétention : Durée du compte + 30 jours après suppression
Données de profil organisation
- Nom de l'entité assujettie
- Secteur d'activité (entity_type)
- Numéro SIREN (optionnel)
- Coordonnées du MLRO
Rétention : Durée du contrat + 5 ans (CMF L.561-12)
Données de tiers analysés (clients du client)
- Nom, prénom, alias
- Date de naissance, nationalité, pays de résidence
- Profession, fonction publique présumée (PPE)
- Bénéficiaires effectifs (personnes physiques)
- Montants et nature des opérations (KYB)
Rétention : 5 ans à compter de la fin de la relation (article L.561-12 CMF)
Données techniques
- Adresse IP (logs serveur)
- User agent
- Tokens API (clés Bearer hashées)
- Logs d'appel API
Rétention : 12 mois (sauf audit trace LCB-FT : 5 ans)
Audit trace LCB-FT (preuve forensique)
- Identifiant utilisateur + organisation
- Modèle d'IA utilisé + raison du choix
- Chunks RAG injectés (avec scores)
- Outils appelés + entrées/sorties tronquées
- Empreinte SHA-256 immuable
Rétention : 5 ans (article L.561-12 CMF)
Sous-traitants ultérieurs
Au sens de l'article 28.2 RGPD. Toute modification de cette liste fait l'objet d'une notification aux clients sous DPA, avec faculté d'opposition motivée pendant 30 jours.
| Sous-traitant | Rôle | Localisation | Rétention |
|---|---|---|---|
Anthropic, PBC DPA fournisseur ↗ | Inférence LLM (Claude Sonnet 4.6, Claude Haiku 4.5) Question réglementaire, screening, analyse, génération de drafts | US (Virginia) — DPA + SCC post-Schrems II | 0 jour (Zero Data Retention API) |
Mistral AI SAS DPA fournisseur ↗ | Inférence LLM (Mistral Large, Ministral 8B) Mode Sovereign EU. Inférence LLM sans transit hors UE. | France — Paris | 0 jour (clause ZDR contractuelle) |
OpenAI, L.L.C. DPA fournisseur ↗ | Embeddings (text-embedding-3-large), OCR optionnel Indexation vectorielle des questions et chunks réglementaires. | US — DPA + SCC | 0 jour (API Enterprise, opt-out training par défaut) |
Supabase, Inc. DPA fournisseur ↗ | Base de données (Postgres + pgvector + Auth) Stockage des organisations, utilisateurs, audit traces, embeddings. | Frankfurt — eu-central-1 | Selon configuration client (par défaut : actif tant que le compte est ouvert + 5 ans CMF L.561-12) |
Vercel, Inc. DPA fournisseur ↗ | Hébergement front (Next.js), routes API, CDN edge, DDoS protection Distribution du site et exécution des routes API publiques. | Région UE configurée (fra1) avec failover global | Logs runtime 30 jours (config Vercel) |
Bases légales
Article 6.1.c RGPD — obligation légale. Les assujettis listés à l'article L.561-2 du Code monétaire et financier sont soumis à des obligations LCB-FT (vigilance, déclaration de soupçon, conservation). Le traitement par LutteBlanchiment vise à exécuter ces obligations légales pour le compte de l'assujetti.
Article 6.1.f RGPD — intérêt légitime. Pour les opérations de screening, vérification de sanctions et adverse media, l'intérêt légitime est la prévention de la criminalité financière (considérant 6 du règlement AMLR (UE) 2024/1624).
Article L.561-12 CMF — conservation. Obligation de conservation pendant 5 ans des informations et documents relatifs aux opérations et à l'identité des clients. Cette obligation prime sur le droit à l'effacement RGPD pour les données concernées.
Droits des personnes concernées
Droit d'accèsArticle 15 RGPD
Toute personne peut demander à l'assujetti (responsable du traitement) accès à ses données. LutteBlanchiment, en tant que sous-traitant, assiste l'assujetti dans cette réponse.
Droit de rectificationArticle 16 RGPD
Demande à adresser à l'assujetti. LutteBlanchiment offre une API de rectification pour propager rapidement.
Droit à l'effacementArticle 17 RGPD
Limité par l'article L.561-12 CMF qui impose une conservation 5 ans. L'effacement effectif intervient à l'issue de cette période, sauf opposition légitime de l'autorité.
Droit à la portabilitéArticle 20 RGPD
Export JSON disponible via l'API publique (POST /v1/jobs/export). Format machine-readable.
Droit d'oppositionArticle 21 RGPD
Le droit d'opposition ne s'applique pas aux traitements fondés sur une obligation légale (LCB-FT). Il s'applique au traitement marketing (newsletter, contact).
Droit de réclamationArticle 77 RGPD
Toute personne peut adresser une réclamation à la CNIL (cnil.fr) ou à l'autorité de contrôle compétente.
Mesures techniques
- Chiffrement TLS 1.3 en transit, AES-256 au repos
- Authentification multi-facteurs disponible (TOTP)
- Tokens API hashés bcrypt en base
- Audit trace SHA-256 par appel — non altérable
- Isolation par organisation via RLS Postgres (Row Level Security)
- Sauvegardes Supabase chiffrées, rétention 30 jours, restauration testée trimestriellement
- Politique de mot de passe : 8+ caractères, blacklist top 10000
- Logs d'accès conservés 12 mois, anonymisés au-delà
- Tests de pénétration annuels (à venir T3 2026)
- Plan de reprise d'activité : RTO 4h, RPO 1h
Notification de violation
En cas de violation de données impliquant les données traitées pour votre compte, LutteBlanchiment notifie l'assujetti sans délai injustifié et au plus tard sous 48 heures après en avoir pris connaissance. La notification précise la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, et les mesures prises ou proposées pour y remédier (article 33 RGPD).
Contact
Pour toute question relative au traitement des données ou pour obtenir le DPA contractualisé, écrivez à dpo@lutteblanchiment.fr ou via le formulaire de contact.
Vous pouvez également contacter la CNIL : cnil.fr/fr/plaintes.
Dernière mise à jour : 2026-05-04