Sécurité des Données

Notre engagement

Lockolis est une société française basée à Lyon qui édite et opère des casiers connectés pour les entreprises. Cette page décrit factuellement comment nous protégeons les données personnelles que vous nous confiez, en cohérence avec nos obligations RGPD.

Nous appliquons le principe de minimisation : seules les données strictement nécessaires à la fourniture du service sont collectées, et nous ne demandons jamais d'informations qui ne sont pas utiles à votre demande.

Données collectées

Selon votre interaction avec le site, nous collectons les données suivantes :

  • Formulaires (démo, contact, configurateur, point relais) : nom, prénom, fonction, email, téléphone, code postal, nom d'entreprise, et toute information que vous renseignez librement dans les champs de commentaires
  • Chat IA : contenu des messages que vous échangez avec l'assistant. Aucune donnée d'identification n'est requise pour utiliser le chat
  • Données techniques : adresse IP (jamais stockée en clair — toujours hachée avec un sel applicatif avant insertion en base), type de navigateur, pages consultées, à des fins de mesure d'audience et de prévention d'abus
  • Cookies : voir notre politique cookies. Aucun cookie publicitaire n'est déposé sans votre consentement explicite (Consent Mode v2)

Hébergement et infrastructure

Localisation des données

Le site et les API sont hébergés sur Vercel avec exécution en région Europe (Frankfurt, fra1). La base de données opérationnelle est hébergée sur Supabase dans la même zone européenne. Vos données ne quittent pas l'Union européenne pour leur stockage principal.

Certifications de nos sous-traitants

Nos hébergeurs sont certifiés selon les standards reconnus de l'industrie :

  • Vercel : SOC 2 Type 2, ISO 27001, conformité RGPD
  • Supabase : SOC 2 Type 2, conformité RGPD

Les attestations à jour sont consultables sur les pages de conformité respectives de ces prestataires.

Chiffrement

Toutes les communications avec le site sont chiffrées en transit via TLS (HTTPS). Le chiffrement des données au repos sur les disques est assuré par défaut par nos hébergeurs (chiffrement géré au niveau infrastructure par Vercel et Supabase).

Mesures techniques

Niveau plateforme (Vercel)

  • Protection anti-DDoS automatique
  • Pare-feu et filtrage des requêtes
  • Headers de sécurité stricts (HSTS, X-Frame-Options, CSP en mode rapport)
  • Journalisation centralisée des requêtes

Niveau applicatif

  • Limitation de débit sur les endpoints publics
  • Vérification d'origine sur les mutations sensibles
  • Audit automatisé des dépendances (npm audit, analyse pré-commit)
  • Authentification administrateur signée HMAC, cookies HttpOnly Secure SameSite

Conservation des données

Les durées de conservation sont définies par finalité :

  • Conversations chat : 90 jours pour les conversations fermées, puis anonymisation définitive du contenu après 365 jours
  • Adresses IP : stockées sous forme hachée (SHA-256 avec sel applicatif), jamais en clair
  • Leads commerciaux : conservés tant que la relation commerciale est active, puis archivés ou supprimés sur demande
  • Cookies analytiques : durée maximale de 13 mois (conformité CNIL)

Sous-traitants et partage

Pour fournir le service, nous nous appuyons sur les sous-traitants suivants, soumis à des accords de traitement (DPA) :

  • Vercel (hébergement web, région UE) — DPA et SCCs en place
  • Supabase (base de données, région UE)
  • HubSpot (CRM, États-Unis) — DPA et Clauses Contractuelles Types (SCCs) pour les transferts hors UE
  • Resend (envoi d'emails transactionnels)
  • Anthropic (modèle IA du chat) — les données échangées via l'API ne sont pas utilisées pour entraîner les modèles, conformément aux conditions Anthropic Console applicables aux comptes commerciaux
  • PostHog (analyse d'audience, région UE)

Aucune donnée n'est vendue ni partagée à des fins publicitaires. Tout partage est soit nécessaire à la fourniture du service, soit imposé par une obligation légale.

Vos droits RGPD

Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :

Accès et rectification

  • Obtenir une copie de vos données personnelles
  • Corriger des informations inexactes ou incomplètes

Suppression et portabilité

  • Demander la suppression de vos données
  • Récupérer vos données dans un format réutilisable

Opposition et limitation

  • Vous opposer à un traitement
  • Limiter un traitement
  • Retirer votre consentement à tout moment

Réclamation

  • Saisir la CNIL en cas de litige (cnil.fr)
  • Obtenir une réponse de notre part sous 30 jours

Incidents de sécurité

En cas de violation de données affectant vos informations personnelles, nous nous engageons à :

  • Évaluer l'incident et son impact dans les meilleurs délais
  • Notifier la CNIL dans les 72 heures lorsque cela est requis par le RGPD
  • Vous informer directement si l'incident présente un risque élevé pour vos droits
  • Prendre les mesures correctives nécessaires et documenter l'incident

Nous contacter

Pour toute question ou pour exercer vos droits :

Email : contact@lockolis.com

Responsable de la protection des données : Rémi DEMIR

Adresse postale : SAS Lockolis, 9 cours Charlemagne, 69002 Lyon

Nous nous engageons à répondre à toute demande dans le délai légal de 30 jours.

Dernière mise à jour : 13/06/2026