C-Clerc IA Logo bleu
Demander une démo
C-Clerc IA Logo bleu

Politique de Confidentialité -Plugin Outlook C-Clerc

Dernière mise à jour : 10 mars 2026 Version : 1.0

Préambule

La société C-CLERC (ci-après « C-Clerc », « nous », « notre » ou « la Société ») accorde la plus haute importance à la protection des données personnelles et à la confidentialité des communications professionnelles de ses clients, en particulier celles des notaires et professions réglementées soumises à un strict secret professionnel.

La présente politique de confidentialité (ci-après la « Politique ») a pour objet de décrire de manière transparente la façon dont C-Clerc collecte, utilise, stocke, protège et partage les données personnelles dans le cadre de l’utilisation du Plugin Outlook C-Clerc (ci-après le « Plugin »), complément (add-in) intégré au logiciel Microsoft Outlook permettant la génération assistée de réponses aux courriers électroniques au moyen d’une intelligence artificielle souveraine, hébergée en France chez OVHcloud.

Cette Politique s’inscrit dans le respect intégral du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés », ainsi que des recommandations et lignes directrices de la Commission Nationale de l’Informatique et des Libertés (CNIL).

L’utilisation du Plugin emporte acceptation pleine et entière de la présente Politique. Si vous n’acceptez pas l’une de ses dispositions, vous devez vous abstenir d’utiliser le Plugin.

1. Identité du responsable de traitement

Le responsable du traitement des données collectées via le Plugin Outlook est :

C-CLERC Société par actions simplifiée (SAS) au capital de 1 112 euros Siège social : 4 Boulevard des Sablons, 92200 Neuilly-sur-Seine, France Immatriculée au RCS de Nanterre sous le numéro 949 182 737 Numéro de TVA intracommunautaire : FR24949182737 Email : contact@c-clerc.fr Site internet : https://c-clerc.fr

C-Clerc agit selon les cas en qualité de responsable de traitement pour les données nécessaires au fonctionnement, à la facturation et à la sécurité du Plugin, et en qualité de sous-traitant au sens de l’article 28 du RGPD pour les données personnelles que ses clients (les Études notariales, ci-après les « Clients ») traitent par l’intermédiaire du Plugin dans le cadre de leur propre activité.

Lorsque C-Clerc agit en qualité de sous-traitant, un contrat de sous-traitance conforme aux exigences de l’article 28 du RGPD (DPA -Data Processing Agreement) est signé avec chaque Client.

2. Délégué à la Protection des Données (DPO)

Conformément à l’article 37 du RGPD, C-Clerc a désigné un Délégué à la Protection des Données externe et certifié.

CODPO 49 rue de Ponthieu, 75008 Paris, France Téléphone : +33 1 83 80 75 72 Email : contact@codpo.fr Site : https://codpo.fr

Toute personne concernée peut contacter directement le DPO pour toute question relative au traitement de ses données personnelles ou pour exercer ses droits.

Pour les demandes spécifiques au Plugin Outlook, vous pouvez également écrire à : dpo@c-clerc.fr

3. Description du Plugin Outlook C-Clerc

3.1. Présentation

Le Plugin Outlook C-Clerc est un complément (Microsoft Outlook Add-in) qui s’intègre directement à la messagerie professionnelle de l’utilisateur. Il propose les fonctionnalités principales suivantes :

  • Génération automatique de propositions de réponses aux courriers électroniques entrants
  • Reformulation, correction orthographique et adaptation du ton des messages
  • Suggestion de modèles de réponses adaptés à la pratique notariale et aux professions réglementées
  • Synthèse de fils de discussion longs

3.2. Architecture technique et IA souveraine

Le Plugin repose sur un modèle d’intelligence artificielle générative hébergé exclusivement en France, sur l’infrastructure souveraine de OVHcloud SAS (datacenters situés sur le territoire de l’Union européenne, certifiés ISO 27001).

Aucune donnée traitée par le Plugin n’est transmise à des modèles d’IA grand public américains ou non-européens (notamment OpenAI, Anthropic via API publique, Google Gemini, etc.).

L’ensemble du cycle de vie de la requête (réception, traitement par le modèle, génération de la réponse) se déroule au sein de l’Espace Économique Européen (EEE), garantissant ainsi :

  • L’absence de transfert de données hors UE
  • La soumission exclusive aux juridictions européennes
  • La protection contre les législations extraterritoriales (notamment le CLOUD Act américain et le FISA 702)

3.3. Engagement de non-utilisation des données pour l’entraînement

C-Clerc garantit formellement que les données traitées via le Plugin Outlook (contenu des emails, pièces jointes, métadonnées, prompts utilisateurs) ne sont JAMAIS utilisées :

  • Pour entraîner, ré-entraîner ou affiner (fine-tuner) tout modèle d’intelligence artificielle, qu’il appartienne à C-Clerc ou à un tiers
  • Pour alimenter une quelconque base de connaissance partagée entre clients
  • À des fins d’analyse statistique nominative ou de profilage commercial
  • À des fins publicitaires ou de revente à des tiers

Cet engagement est contractuellement répercuté sur l’ensemble des sous-traitants, et notamment sur OVHcloud, qui s’engage par contrat à ne pas exploiter les données traitées sur son infrastructure.

4. Données personnelles collectées et traitées

4.1. Données nécessaires à l’utilisation du Plugin

Catégorie de donnéesExemplesSource
Données d’identification utilisateurNom, prénom, adresse email professionnelle, identifiant Microsoft 365 / ExchangeCompte Microsoft de l’utilisateur
Données de l’Étude / OrganisationNom de l’Étude, CRPCEN (le cas échéant), adresse postaleRenseignement par l’utilisateur ou administrateur
Données techniquesAdresse IP, identifiant de session, version d’Outlook, version du Plugin, type de navigateur (Outlook Web), système d’exploitation, logs de connexionCollecte automatique
Données de facturationRaison sociale, SIRET, adresse de facturation, coordonnées de contact comptableRenseignement par le Client

4.2. Données traitées de manière transitoire pour la génération de réponses

Lorsque l’utilisateur sollicite une fonctionnalité d’IA (génération, reformulation, synthèse), le Plugin transmet temporairement au modèle hébergé chez OVHcloud :

  • Le contenu textuel de l’email entrant (objet, corps, signature)
  • Le cas échéant, le contenu des emails antérieurs du fil de discussion
  • Le prompt ou l’instruction de l’utilisateur (ex. : « rédige une réponse polie de refus »)
  • Le brouillon de réponse en cours, le cas échéant

Ces contenus sont traités en mémoire vive (RAM) le temps strictement nécessaire à la génération de la réponse, puis immédiatement supprimés. Aucune copie persistante n’est conservée par C-Clerc ni par OVHcloud à l’issue du traitement, à l’exception des journaux techniques minimaux décrits à l’article 8.

4.3. Données sensibles

Le Plugin n’est pas conçu pour traiter des données dites « sensibles » au sens de l’article 9 du RGPD (origine raciale, opinions politiques, convictions religieuses, données de santé, données biométriques, vie sexuelle, etc.). L’utilisateur s’engage à ne pas soumettre intentionnellement de telles données au Plugin.

Compte tenu de l’usage par les notaires, des données soumises au secret professionnel (article 226-13 du Code pénal) peuvent transiter par le Plugin. C-Clerc et OVHcloud sont contractuellement tenus à des obligations de confidentialité renforcées et à des mesures de sécurité spécifiques pour ces traitements.

4.4. Données relatives aux mineurs

Le Plugin est strictement destiné à un usage professionnel par des adultes. Aucune donnée relative à des mineurs n’est sollicitée. Si des données personnelles concernant des mineurs venaient à apparaître dans des emails traités, elles bénéficieraient des mêmes garanties de confidentialité et seraient traitées de manière transitoire uniquement.

5. Finalités et bases légales du traitement

FinalitéBase légale (art. 6 RGPD)Durée de conservation
Fourniture du service de génération de réponses IAExécution du contrat (art. 6.1.b)Le temps de la session -purge immédiate après réponse
Création et gestion du compte utilisateurExécution du contrat (art. 6.1.b)Durée de l’abonnement + 3 ans
Facturation et obligations comptablesObligation légale (art. 6.1.c)10 ans (Code de commerce, art. L123-22)
Sécurité du système, prévention des abus, lutte contre la fraudeIntérêt légitime (art. 6.1.f)12 mois pour les logs
Support technique et résolution d’incidentsExécution du contrat (art. 6.1.b)Durée du contrat + 1 an
Amélioration anonymisée du Plugin (statistiques d’usage)Intérêt légitime (art. 6.1.f)Données agrégées, conservation indéterminée -aucune donnée nominative
Communications commerciales (newsletters, nouveautés produit)Consentement (art. 6.1.a)Jusqu’au retrait du consentement
Réponse aux demandes d’exercice de droits RGPDObligation légale (art. 6.1.c)5 ans après clôture de la demande

6. Destinataires et sous-traitants

6.1. Destinataires internes

Les données sont accessibles, dans la limite de leurs habilitations, aux personnels de C-Clerc strictement concernés :

  • Équipe technique et DevOps (administration, supervision, sécurité)
  • Équipe support client (résolution d’incidents, sur sollicitation utilisateur)
  • Direction générale (statistiques agrégées et anonymisées)

L’ensemble du personnel est soumis à une obligation contractuelle de confidentialité et a été sensibilisé au RGPD.

6.2. Sous-traitants

C-Clerc a recours à des sous-traitants qualifiés et liés contractuellement par un accord conforme à l’article 28 du RGPD :

Sous-traitantFinalitéLocalisation des donnéesGaranties
OVHcloud SASHébergement de l’infrastructure, hébergement du modèle d’IA souveraineFrance (datacenters Roubaix, Gravelines, Strasbourg)ISO 27001, ISO 27701, HDS, SecNumCloud (selon zones)
Microsoft CorporationPlateforme Outlook / Microsoft 365 (interaction avec le client de messagerie de l’utilisateur)Géré par le Client final selon sa propre licence MicrosoftSelon politique du Client
Logiciel de rédaction d’actesStockage de certaines données métierSelon éditeurSelon éditeur
Stripe Payments Europe Ltd.Traitement des paiementsIrlande / UEStandard Contractual Clauses, PCI-DSS
CODPODélégué à la Protection des Données externeFranceConformité RGPD

Aucun de ces sous-traitants n’est autorisé à utiliser les données à des fins propres.

6.3. Autres destinataires

Les données peuvent être communiquées à des tiers uniquement dans les cas suivants :

  • Sur réquisition d’une autorité judiciaire ou administrative compétente
  • Pour la défense des droits de C-Clerc dans le cadre d’une action judiciaire
  • En cas de cession ou de fusion-acquisition de C-Clerc, sous réserve du respect du RGPD

7. Transferts de données hors Union européenne

C-Clerc s’engage à ne procéder à aucun transfert de données personnelles hors de l’Union européenne dans le cadre du fonctionnement du Plugin Outlook.

L’intégralité du traitement IA s’effectue sur l’infrastructure OVHcloud située en France.

Le seul transfert résiduel possible concernerait les services Microsoft 365 / Outlook eux-mêmes, qui dépendent de la configuration et de la licence souscrite par le Client final auprès de Microsoft. Ce traitement est régi par les conditions de Microsoft, dont C-Clerc n’est pas responsable.

8. Durées de conservation

C-Clerc applique des durées de conservation strictes et différenciées selon la nature des données :

  • Contenu des emails et prompts soumis à l’IA : suppression immédiate après génération de la réponse (traitement uniquement en mémoire vive)
  • Logs techniques anonymisés ou pseudonymisés : 12 mois maximum
  • Données de compte utilisateur : durée de l’abonnement + 3 ans (en archivage intermédiaire)
  • Données de facturation : 10 ans (obligation comptable)
  • Données de prospection commerciale : 3 ans à compter du dernier contact, ou retrait du consentement
  • Cookies et traceurs : 13 mois maximum (recommandation CNIL)

À l’issue de ces durées, les données sont soit supprimées de manière sécurisée, soit anonymisées de manière irréversible.

9. Sécurité des données

C-Clerc met en œuvre des mesures techniques et organisationnelles appropriées au niveau de risque, conformément à l’article 32 du RGPD :

9.1. Mesures techniques

  • Chiffrement des données en transit (TLS 1.3 minimum)
  • Authentification forte (OAuth 2.0, SSO, MFA disponible)
  • Cloisonnement strict des environnements (production / pré-production / développement)
  • Politique de mots de passe robuste
  • Pare-feu applicatif (WAF),
  • Sauvegardes régulières chiffrées
  • Tests d’intrusion (pentests) périodiques par des prestataires externes
  • Mises à jour de sécurité continues

9.2. Mesures organisationnelles

  • Politique de Sécurité du Système d’Information (PSSI)
  • Charte informatique signée par chaque collaborateur
  • Sensibilisation et formation continue du personnel à la cybersécurité et au RGPD
  • Gestion stricte des habilitations selon le principe du moindre privilège
  • Procédure documentée de gestion des incidents et violations de données
  • Audit annuel de conformité par le DPO externe (CODPO)

9.3. Notification des violations de données

En cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, C-Clerc notifiera la CNIL dans un délai maximum de 72 heures après en avoir pris connaissance, conformément à l’article 33 du RGPD. Les personnes concernées seront informées dans les meilleurs délais lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).

10. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d’accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir copie
  • Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
  • Droit à l’effacement / droit à l’oubli (art. 17) : demander la suppression de vos données dans les cas prévus par la loi
  • Droit à la limitation du traitement (art. 18) : demander la suspension du traitement dans certains cas
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d’opposition (art. 21) : vous opposer à un traitement fondé sur l’intérêt légitime ou à des fins de prospection
  • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement
  • Droit de définir des directives post-mortem relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés)
  • Droit de ne pas faire l’objet d’une décision exclusivement automatisée produisant des effets juridiques (art. 22) : à noter, le Plugin propose des suggestions mais l’envoi final de tout email reste systématiquement à l’initiative humaine de l’utilisateur.

Modalités d’exercice de vos droits

Vous pouvez exercer ces droits par les canaux suivants :

  • Par email : contact@codpo.fr
  • Par courrier postal : C-CLERC – À l’attention du DPO – 4 Boulevard des Sablons, 92200 Neuilly-sur-Seine

Une réponse vous sera apportée dans un délai d’un mois à compter de la réception de votre demande, conformément à l’article 12 du RGPD. Ce délai pourra être prolongé de deux mois compte tenu de la complexité ou du nombre de demandes, auquel cas vous en serez informé.

Pour des raisons de sécurité, une vérification d’identité pourra être demandée en cas de doute raisonnable.

Droit de réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

CNIL – 3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 Téléphone : +33 1 53 73 22 22 Site : https://www.cnil.fr

11. Cookies et traceurs

Le Plugin Outlook étant un complément intégré à Microsoft Outlook, son fonctionnement ne repose pas sur l’utilisation de cookies traditionnels au sens du Web.

Toutefois, certains éléments de stockage local (token d’authentification, préférences utilisateur) peuvent être déposés sur votre poste pour permettre le fonctionnement du Plugin. Ces éléments sont strictement nécessaires au service et ne nécessitent pas de consentement préalable au sens de l’article 82 de la loi Informatique et Libertés.

L’éventuel site internet associé au Plugin (page de connexion, console d’administration) fait l’objet d’une bannière de gestion des cookies conforme aux recommandations de la CNIL.

12. Décisions automatisées et IA

Le Plugin utilise une intelligence artificielle générative pour proposer des réponses aux emails. Conformément à l’article 22 du RGPD :

  • Aucune décision juridique ou ayant des effets significatifs n’est prise de manière automatisée par le Plugin.
  • Les réponses générées sont des propositions soumises à la validation humaine de l’utilisateur, qui demeure seul responsable de l’envoi du message final.
  • L’utilisateur peut à tout moment ignorer, modifier ou rejeter les suggestions du Plugin.

Conformément à l’AI Act européen (Règlement (UE) 2024/1689), le Plugin est classé comme un système d’IA à risque limité : les utilisateurs sont informés qu’ils interagissent avec un système d’IA, et chaque réponse générée est clairement identifiée comme telle.

13. Modifications de la présente Politique

C-Clerc se réserve le droit de modifier la présente Politique à tout moment, notamment pour tenir compte d’évolutions législatives, jurisprudentielles, techniques ou éditoriales.

Toute modification substantielle sera notifiée :

  • Par email aux utilisateurs et administrateurs Clients
  • Par une notification dans le Plugin lors de la prochaine connexion
  • Par publication d’une nouvelle version sur le site https://c-clerc.fr

La date de dernière mise à jour figure en tête de la présente Politique. La version applicable est celle en vigueur à la date d’utilisation du Plugin.

14. Contact

Pour toute question relative à la présente Politique de confidentialité ou à vos données personnelles :

Délégué à la Protection des Données (DPO) CODPO -49 rue de Ponthieu, 75008 Paris Email : contact@codpo.fr -Tél. : +33 1 83 80 75 72

Service Protection des Données C-Clerc Email : dpo@c-clerc.fr Adresse postale : C-CLERC – DPO – 4 Boulevard des Sablons, 92200 Neuilly-sur-Seine

Service commercial / contact général Email contact@c-clerc.fr Site : https://c-clerc.fr

C-CLERC – SAS au capital de 1 112 € – RCS Nanterre 949 182 737 – Siège social : 4 Boulevard des Sablons, 92200 Neuilly-sur-Seine, France

Contactez nous pour en savoir plus

Contactez nous pour en savoir plus