Dernière mise à jour : 7 juin 2026
Politique de confidentialité
DIMCONTROL s'engage à protéger la vie privée de ses utilisateurs et à traiter leurs données personnelles en conformité avec le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et la loi Informatique et Libertés.
1. Responsable du traitement
Le responsable du traitement des données collectées via l'application DIMCONTROL est la société éditrice de la plateforme, joignable à l'adresse suivante : contact@dimcontrol.fr.
2. Référent Protection des Données
Pour toute question relative à la protection de vos données personnelles, à l'exercice de vos droits RGPD ou à un signalement d'incident, contactez notre référent :
Email : contact@dimcontrol.fr
Note : la désignation formelle d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire pour DIMCONTROL au regard du RGPD (Art. 37). Un référent interne est néanmoins désigné pour traiter vos demandes dans les délais légaux (1 mois maximum).
3. Données collectées et finalités
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Nom, prénom, email | Création et gestion du compte | Exécution du contrat (Art. 6.1.b) | Durée du compte + 3 ans |
| Mot de passe (haché bcrypt) | Authentification sécurisée | Exécution du contrat (Art. 6.1.b) | Durée du compte |
| Fichiers PDF des plans (mode IA ou Manuel avec PDF) | Analyse automatique des cotes (mode IA) ou affichage du plan (Manuel) | Consentement explicite (Art. 6.1.a + Art. 7) | 12 mois après dernière modification du projet, puis suppression automatique |
| Cotes extraites + résultats de contrôle | Génération des PV dimensionnels | Exécution du contrat (Art. 6.1.b) | Durée du projet + 1 an |
| Logs de connexion (IP, date, user-agent) | Sécurité, anti-fraude, traçabilité | Intérêt légitime (Art. 6.1.f) | 6 mois |
| Historique des exports + audit log | Traçabilité qualité ISO 9001 | Exécution du contrat (Art. 6.1.b) | Durée du projet + 1 an |
| Données de paiement (Stripe) | Abonnement payant | Exécution du contrat (Art. 6.1.b) | 10 ans (obligation légale comptable) |
💡 Mode Confidentiel (disponible dès l'offre Gratuit, illimité à partir d'Atelier) : aucun fichier PDF n'est envoyé sur nos serveurs. L'extraction des cotes se fait 100% dans votre navigateur via WebAssembly. Seules les cotes extraites (sans le PDF original) sont transmises.
🖥️ Édition Locale (logiciel Windows installé sur votre poste) : aucune donnée client n'est envoyée à nos serveurs hors la vérification périodique de licence (jeton signé). Voir section 5 bis pour le détail.
4. Consentement explicite pour le stockage cloud du PDF
Lorsque vous créez un projet en mode "Analyse IA" ou "Saisie manuelle avec PDF", votre fichier PDF est stocké sur nos serveurs OVH (Gravelines, France) pour permettre la consultation ultérieure du plan annoté.
Le stockage cloud nécessite votre consentement explicite (Art. 7 RGPD) : une case à cocher obligatoire vous demande de certifier que le plan n'est pas stratégique ou confidentiel avant l'envoi. Sans ce consentement, aucun PDF ne sera transmis.
Pour les plans sensibles (défense, nucléaire, R&D protégée), utilisez le Mode Confidentiel (disponible dès l'offre Gratuit, illimité à partir d'Atelier) qui traite le fichier uniquement dans votre navigateur (aucun envoi cloud, garantie technique), ou l'Édition Locale (logiciel Windows installé sur votre poste, 100 % hors-ligne au quotidien).
Conservation du PDF cloud : 12 mois après la dernière modification du projet. Un email de rappel est envoyé 30 jours avant la suppression automatique. Vous pouvez cliquer sur le lien de réactivation pour remettre le compteur à zéro, télécharger le PDF, ou laisser la suppression se faire. La suppression ne concerne que le PDF cloud ; les cotes extraites et les PV générés restent disponibles dans votre compte.
Suppression à la demande (Art. 17) : vous pouvez à tout moment retirer un PDF du cloud depuis les paramètres du projet (bouton "Retirer mon plan du cloud"). Le PDF est alors supprimé immédiatement de nos serveurs ; le projet bascule en mode local (vous redéposez le PDF si vous le souhaitez plus tard, avec vérification d'intégrité SHA-256).
Une preuve traçable du consentement (date, IP, user-agent) est conservée dans notre journal d'audit pour justifier de la conformité RGPD.
5. Hébergement et transferts de données
L'infrastructure principale est hébergée exclusivement en France chez : OVHcloud SAS, 2 rue Kellermann, 59100 Roubaix, France. Les fichiers PDF (mode IA/Manuel) sont stockés dans la région Gravelines (FR) via OVH Object Storage, avec chiffrement SSE-OMK au repos.
Transfert hors UE — analyse IA : lorsque vous utilisez le mode "Analyse IA", les fichiers PDF sont transmis de manière chiffrée (TLS 1.3) à notre sous-traitant Anthropic PBC (San Francisco, USA), éditeur de l'IA Claude. Ce transfert est encadré par des Clauses Contractuelles Types (SCC) conformes à la décision d'adéquation UE-US (Data Privacy Framework). Le fichier n'est pas conservé par Anthropic au-delà du temps nécessaire à l'analyse (politique de zero retention activée).
Aucun transfert hors UE n'a lieu pour les modes "Saisie manuelle", Mode Confidentiel ni pour l'Édition Locale (Desktop).
5 bis. Édition Locale (logiciel Windows installé)
L'Édition Locale est une application Windows distincte du service SaaS, à installer sur les postes des utilisateurs. Elle est commercialisée sous le plan Souverain (par poste activé). Son architecture est conçue pour qu'aucune donnée métier (plans, cotes, mesures, PV) ne transite par nos serveurs.
Données traitées localement uniquement (jamais transmises à DIMCONTROL) :
- Fichiers PDF des plans techniques
- Cotes extraites, mesures relevées, résultats de conformité
- PV exportés (Excel + PDF)
- Identité entreprise locale (logo, adresse imprimée sur le PV)
- Catalogue des instruments de mesure
Échanges réseau avec nos serveurs (limités à la licence) :
| Échange | Fréquence | Contenu |
|---|---|---|
| Authentification au login | À chaque connexion | Email, mot de passe, code 2FA (TOTP), identifiant du poste |
| Renouvellement du jeton de licence | ~tous les 10 jours | Jeton de rafraîchissement signé Ed25519, identifiant du poste |
| Vérification de l'abonnement | À chaque renouvellement | Plan en cours côté serveur (booléen : Souverain actif ou non) |
Mode dégradé hors-ligne : si la connexion à nos serveurs échoue au-delà du TTL de licence, l'application bascule dans une période de grâce de 5 jours pendant laquelle elle reste pleinement fonctionnelle. Au-delà, elle passe en lecture seule (consultation et export possibles, plus de création ni de modification) jusqu'à la prochaine connexion réseau réussie.
Stockage local des jetons : les jetons de licence et le mot de passe ne sont jamais stockés en clair sur le poste. Ils sont chiffrés au repos via Windows DPAPI (Data Protection API) et liés au compte Windows de l'utilisateur. Un autre utilisateur du même PC ne peut pas y accéder.
Suppression / désinstallation : la désinstallation de l'application via le panneau de configuration Windows supprime l'exécutable. Les données métier (projets, PV, instruments) restent dans le profil utilisateur tant qu'elles ne sont pas explicitement effacées ; elles n'ont jamais quitté le poste. Pour révoquer un poste à distance (perte de matériel, fin de mission), utilisez la fonction « Désactiver ce poste » dans les paramètres de votre compte SaaS.
6. Sous-traitants (Article 28 RGPD)
DIMCONTROL fait appel aux sous-traitants suivants, tous liés par un contrat de traitement (DPA) conforme au RGPD :
| Sous-traitant | Rôle | Localisation | Encadrement |
|---|---|---|---|
| OVHcloud SAS | Hébergement infra + stockage PDF | France (UE) | DPA + ISO 27001 |
| Anthropic PBC | IA Claude (analyse des plans, mode IA uniquement, avec votre consentement) | USA | SCC + Data Privacy Framework + zero retention |
| Stripe Payments Europe Ltd. | Traitement des paiements (abonnements) | Irlande (UE) | DPA + PCI-DSS |
| OVHcloud SAS (SMTP) | Envoi des emails transactionnels (reset mot de passe, notifications) | France (UE) | Contrat hébergeur OVH |
| Sentry GmbH | Monitoring d'erreurs techniques (sans donnée perso identifiable) | Allemagne (UE) | DPA + PII scrubbing |
| Google Ireland Ltd. | Analytics web (Google Analytics 4) — uniquement avec votre consentement cookies | Irlande (UE) — données USA via Data Privacy Framework | DPA Google + anonymisation IP active |
DIMCONTROL ne vend, ne loue et ne partage pas vos données personnelles avec des tiers à des fins commerciales ou publicitaires.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de vos données | Paramètres → Exporter mes données |
| Rectification (Art. 16) | Corriger vos données inexactes | Paramètres → Mon profil |
| Effacement (Art. 17) | Supprimer votre compte / un projet / un PDF cloud | Paramètres → Supprimer mon compte (compte entier), ou bouton « Retirer du cloud » sur la page projet |
| Portabilité (Art. 20) | Recevoir vos données en format lisible (JSON, Excel) | Paramètres → Exporter mes données |
| Opposition (Art. 21) | S'opposer à un traitement | Email : contact@dimcontrol.fr |
| Limitation (Art. 18) | Limiter un traitement | Email : contact@dimcontrol.fr |
| Retrait du consentement (Art. 7.3) | Retirer votre accord au stockage cloud du PDF | Bouton « Retirer mon plan du cloud » dans paramètres du projet |
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.
8. Cookies
DIMCONTROL utilise uniquement des cookies strictement nécessaires au fonctionnement de l'application (session d'authentification). Aucun cookie publicitaire ou de traçage tiers n'est utilisé.
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
| authjs.session-token | Maintien de la session utilisateur | 30 jours | Nécessaire |
| authjs.csrf-token | Protection contre les attaques CSRF | Session | Nécessaire |
9. Sécurité des données
- Chiffrement des mots de passe (bcrypt, facteur 12)
- Sessions JWT chiffrées et signées
- Isolation stricte des données par utilisateur (vérifications côté serveur sur chaque requête)
- Communications chiffrées TLS 1.2 minimum (TLS 1.3 par défaut)
- Stockage PDF : chiffrement au repos SSE-OMK (clé gérée par OVHcloud)
- Hébergement en datacenter certifié ISO 27001
- En-têtes de sécurité HTTP (HSTS, X-Frame-Options, CSP, Permissions-Policy…)
- Backup automatique quotidien de la base de données avec rétention 14 jours local + 30 jours cloud
- Journal d'audit (audit log) traçant les actions sensibles (consentement, suppression, modification critique)
- Notification en cas de violation de données dans les 72h conformément à l'Art. 33 RGPD
10. Durées de conservation détaillées
Les durées de conservation par type de donnée sont indiquées en section 3. Au-delà, voici les règles générales :
- PDF des plans (cloud) : 12 mois après la dernière modification du projet, puis suppression automatique. Email de notification 30 jours avant.
- Cotes, résultats, PV générés : durée du projet + 1 an après dernière activité, sauf demande de suppression explicite.
- Compte utilisateur supprimé : suppression de toutes les données personnelles associées sous 30 jours. Les données strictement nécessaires à des obligations légales (facturation : 10 ans) sont conservées avec accès restreint.
- Logs de sécurité : 6 mois, puis anonymisation ou suppression.
11. Modifications de la politique
Cette politique peut être mise à jour pour refléter les évolutions techniques ou réglementaires. En cas de modification substantielle, vous serez notifié par email avant la prise d'effet. La date de dernière mise à jour est indiquée en tête de document.
12. Contact
Pour toute question relative à cette politique : contact@dimcontrol.fr