gGrefia
Essai gratuit
Confidentialité

Politique de confidentialité

Dernière mise à jour : 11 juin 2026.

Préambule

Grefia SAS (« nous ») édite le service Grefia accessible à l'adresse grefia.fr, outil de gestion en ligne destiné aux cabinets d'avocats. La présente politique décrit comment nous collectons, utilisons et protégeons les données personnelles dans le cadre du service, conformément au Règlement Général sur la Protection des Données (UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

Responsable de traitement et sous-traitant

Pour les données du compte Grefia (avocat utilisateur du service) : Grefia SAS agit en tant que responsable de traitement.

Pour les données traitées dans le cadre du service (clients du cabinet, dossiers, factures, temps tracké, documents) : Grefia SAS agit en tant que sous-traitant au sens de l'article 28 du RGPD. Le cabinet d'avocats reste responsable de traitement de ses propres données clients.

Un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD est disponible sur demande à contact@grefia.fr.

Données collectées

Nous collectons et traitons les catégories de données suivantes :

  • Identification de l'avocat : nom, prénom, email, mot de passe haché (bcrypt).
  • Données du cabinet : raison sociale, adresse, SIRET, TVA intracommunautaire, IBAN, logo, coordonnées de contact.
  • Données métiersaisies par l'avocat : clients (nom, adresse, email), dossiers, entrées de temps, factures et avoirs, paiements, documents générés, relances.
  • Données techniques : adresse IP (à des fins de sécurité, conservée 30 jours en journaux), horodatage des connexions, jetons de session.
  • Tokens OAuth Outlook(optionnel) : lorsque l'avocat connecte sa boîte Outlook pour l'envoi des relances. Stockés chiffrés en AES-256-GCM.
  • Données de facturation Grefia: gérées par Creem.com Inc. (Merchant of Record) — moyens de paiement, adresse de facturation, n° de TVA intracom, factures d'abonnement. Grefia n'accède jamais aux numéros de carte complets.

Finalités et bases légales

  • Fourniture du service (Art. 6.1.b — exécution du contrat) : gestion du compte, stockage des données du cabinet, génération de factures et de documents.
  • Facturation et recouvrement(Art. 6.1.b — exécution du contrat) : émission des factures de l'abonnement Grefia (par Creem en qualité de Merchant of Record), gestion des paiements et application de l'autoliquidation TVA pour les clients B2B intra-UE.
  • Sécurité du service(Art. 6.1.f — intérêt légitime) : journalisation des connexions, détection des tentatives d'intrusion.
  • Communications transactionnelles (Art. 6.1.b — exécution du contrat) : confirmation d'inscription, réinitialisation de mot de passe, alertes de sécurité.
  • Obligations légales et comptables (Art. 6.1.c) : conservation des factures et pièces comptables conformément aux obligations du Code de commerce.

Aucune donnée n'est traitée à des fins de prospection sans consentement préalable. Nous n'utilisons jamais vos données pour entraîner un modèle d'IA.

Sous-traitants

Nous faisons appel aux sous-traitants suivants, tous établis dans l'Union européenne :

  • Hetzner Online GmbH(Allemagne) — hébergement de l'application et de la base de données.
  • Creem.com Inc. — encaissement des abonnements en qualité de Merchant of Record. Données traitées : email, nom du cabinet, adresse de facturation, n° de TVA intracommunautaire, données de paiement (chiffrées, jamais accessibles à Grefia). Conformité PCI-DSS niveau 1.
  • Resend (États-Unis, garanties appropriées via clauses contractuelles types) — envoi des emails transactionnels (réinitialisation de mot de passe, notifications).
  • Microsoft Ireland(Irlande) — envoi des relances via l'intégration Outlook, uniquement lorsque l'avocat l'active explicitement et avec son propre compte.

Le cœur du Service (application + base de données + sauvegardes) reste hébergé dans l'Union européenne. Certains sous-traitants techniques (Creem, Resend) sont basés aux États-Unis et sont encadrés par les clauses contractuelles types adoptées par la Commission européenne pour les transferts hors UE.

Durée de conservation

  • Données du compte et du cabinet: conservées pendant toute la durée de l'abonnement et jusqu'à 12 mois après la résiliation, pour permettre une réactivation.
  • Factures et pièces comptables: conservées 10 ans conformément à l'article L.123-22 du Code de commerce.
  • Journaux techniques (logs) : 30 jours.
  • Sauvegardes : conservées 30 jours en rolling backup.

Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, et le droit de définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, écrivez à contact@grefia.fr en précisant votre demande. Nous y répondons sous 30 jours.

Vous pouvez également exporter ou supprimer toutes les données de votre cabinet à tout moment depuis Paramètres → Mon compte.

Vous disposez du droit d'introduire une réclamation auprès de la CNIL.

Délégué à la protection des données

La désignation d'un DPO n'est pas obligatoire pour Grefia (cf. article 37 du RGPD). Toutes les questions relatives à la protection des données peuvent être adressées à contact@grefia.fr.

Cookies

Grefia n'utilise que des cookies strictement nécessaires au fonctionnement du service :

  • Cookie de session (authentification) — exempté de consentement (Art. 82 LIL).
  • Cookies Creem sur la page de paiement (checkout.creem.io) — strictement nécessaires à la prévention de la fraude. Régis par la politique de confidentialité de Creem.

Aucun cookie publicitaire, aucun traceur d'analyse comportementale, aucun script tiers de tracking. C'est pourquoi aucun bandeau de consentement n'est affiché.

Notification de violation

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés, nous notifierons l'événement à la CNIL dans les 72 heures (Art. 33 RGPD) et informerons les cabinets concernés dans les meilleurs délais (Art. 34 RGPD).

Modifications

Nous pouvons mettre à jour cette politique pour refléter des évolutions légales, techniques ou de l'offre. Les changements substantiels seront notifiés par email aux utilisateurs actifs avec un préavis de 30 jours.