Protection de vos données

Le responsable du traitement de vos données est la société qui édite et exploite le service Sucesio. Pour toute question relative à la confidentialité, vous pouvez contacter notre délégué à la protection des données (DPO).

Responsable de traitement

Sucesio SA, société anonyme, éditeur du service Sucesio (sucesio.io / app.sucesio.io). Adresse du siège social communiquée sur demande.

Délégué à la protection des données

Pour exercer vos droits ou poser toute question : dpo@sucesio.io. Nous nous engageons à répondre dans un délai d'un mois maximum.

Pour rendre le service possible, Sucesio collecte les catégories de données suivantes, fournies volontairement par vous :

• Données d'identité : nom, prénom, date de naissance, type et numéro de pièce d'identité.
• Données de contact : adresse e-mail, numéro de téléphone, pays de résidence, langue préférée.
• Données patrimoniales : inventaire de vos actifs (comptes bancaires, biens immobiliers, crypto-actifs, objets, droits intellectuels), passifs (prêts, dettes), pièces jointes associées.
• Données relatives à vos proches : nom, e-mail, téléphone, lien de parenté de vos héritiers et de votre contact de confiance. Cette collecte repose sur la base légale de l'intérêt légitime ; vous garantissez avoir informé ces personnes.

Vos données sont traitées uniquement pour les finalités suivantes :

• Vous fournir le service de coffre-fort patrimonial numérique : hébergement chiffré, accès personnel, export, suppression.
• Exécuter le protocole de transmission post-mortem : vérification de présence périodique, escalade vers le contact de confiance, transmission aux héritiers désignés après validation officielle du décès.
• Gérer votre abonnement, la facturation et l'assistance client.
• Garantir la sécurité du service et prévenir la fraude : journalisation des accès, détection d'anomalies, conservation d'un journal d'audit immuable.
• Vous adresser, uniquement sous réserve de votre consentement préalable, granulaire et révocable, des communications optionnelles : conseils et bonnes pratiques, nouveautés produit, offres commerciales. Chaque consentement est indépendant des autres et peut être retiré à tout moment depuis votre espace personnel ou depuis le lien de désinscription présent dans chaque email.

Conformément à l'article 6 du RGPD, chaque traitement repose sur l'une des bases légales suivantes :

• Exécution du contrat (art. 6.1.b) : pour la fourniture du service, la facturation, l'authentification, le protocole de transmission.
• Consentement (art. 6.1.a) : pour les communications optionnelles (rappels mensuels du coffre-fort, newsletters), retirable à tout moment.
• Intérêt légitime (art. 6.1.f) : pour la sécurité du service, la prévention de la fraude, l'amélioration produit (sans profilage individuel).
• Obligation légale (art. 6.1.c) : pour la conservation des journaux d'audit aux fins de preuve et de conformité fiscale.

Vous pouvez retirer votre consentement à tout moment via votre espace personnel ou en écrivant à dpo@sucesio.io. Cela n'affecte pas la licéité des traitements effectués avant le retrait.

Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent être transmises aux destinataires suivants, strictement nécessaires à la fourniture du service :

• Équipe Sucesio habilitée : nombre restreint de personnes soumises à un engagement de confidentialité, avec accès limité aux opérations strictement nécessaires (support, conformité, validation manuelle d'un certificat de décès).
• Sous-traitants techniques (RGPD art. 28) : Hetzner Cloud (Allemagne) pour l'hébergement, Scaleway (France) pour les sauvegardes chiffrées, Resend pour l'envoi d'e-mails transactionnels, Clerk pour l'authentification, Stripe pour les paiements, Inngest pour les tâches asynchrones.
• Vos héritiers désignés : uniquement après votre décès, après validation officielle par notre équipe et après le délai de grâce de 30 jours.
• Autorités publiques : uniquement sur réquisition judiciaire ou obligation légale formellement établie.

Sucesio applique une politique stricte d'hébergement européen. Aucune donnée personnelle de coffre-fort n'est transférée hors de l'Espace économique européen (EEE) :

• Serveurs applicatifs : Hetzner Cloud, Allemagne (Nuremberg).
• Sauvegardes chiffrées : Scaleway Object Storage, France (Paris).
• Base de données : auto-hébergée sur nos serveurs en Allemagne.
• Pièces jointes (PDF, images, audio, vidéo) : stockées chiffrées sur la même infrastructure.

Nous conservons vos données uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées :

• Données de votre coffre-fort : tant que votre compte est actif.
• Période de grâce post-suppression : 30 jours après votre demande de suppression, pour vous permettre d'annuler.
• Suppression effective : à l'issue des 30 jours, l'intégralité de vos données chiffrées est effacée de manière irréversible.
• Journaux d'audit anonymisés : conservés 10 ans en France (article 2272 du Code civil) et 5 ans en Espagne, sans données personnelles identifiables.
• Données de facturation : 10 ans conformément aux obligations comptables et fiscales.
• Données de transmission post-décès : les données transmises aux héritiers sont effacées 30 jours après la transmission complète.

À l'expiration de ces durées, vos données sont effacées de manière sécurisée ou anonymisées de façon irréversible.

Conformément au RGPD, vous disposez à tout moment des droits suivants : accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité (art. 20) et opposition (art. 21). Les droits d'accès et d'effacement sont directement accessibles depuis votre espace personnel, section « Données & vie privée » de « Mon compte ».

Si vous résidez en France

Vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr, 3 place de Fontenoy, 75007 Paris.

Si vous résidez en Espagne

Vous pouvez introduire une réclamation auprès de l'Agencia Española de Protección de Datos (AEPD) : www.aepd.es, C/ Jorge Juan, 6, 28001 Madrid.

Vos données les plus sensibles (actifs, messages, identifiants des héritiers) sont chiffrées avec l'algorithme AES-256-GCM avant tout stockage en base. La clé maître de chaque utilisateur est elle-même protégée par un protocole cryptographique à seuils (Shamir 2-sur-3), garantissant qu'aucun acteur seul, y compris Sucesio, ne peut accéder à vos données sans la procédure complète de transmission. Toutes les connexions sont protégées par HTTPS strict (TLS 1.3), authentification forte (mot de passe + double authentification 2FA TOTP optionnelle mais recommandée).

Notre engagement différenciateur : la validation de tout certificat de décès et le déclenchement de la transmission sont effectués manuellement par un opérateur humain habilité Sucesio, jamais par un algorithme automatique ou une intelligence artificielle. Cette validation humaine s'accompagne d'une période de grâce de 30 jours, d'une vérification croisée avec les registres officiels de l'état civil et d'un journal d'audit immuable.

Cette politique peut être amenée à évoluer pour refléter les changements légaux, techniques ou organisationnels. Toute modification substantielle vous sera notifiée par e-mail au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.