Responsable du traitement
Le responsable du traitement des données personnelles est :
- ABALON WEB SERV, Sociedad Limitada (S.L.) de droit espagnol.
- Siège : Centro de Negocios Puerto, 13 - 29660 Marbella (Málaga), Espagne.
- C.I.F. : B42748715.
- Contact protection des données : support@dikoo.fr.
Délégué à la protection des données (DPO) : aucun DPO n'a été désigné. Pour toute question relative à vos données personnelles, contactez support@dikoo.fr.
Double qualification RGPD. DIKOO agit comme responsable du traitement pour les données de fonctionnement de la plateforme (comptes, facturation, métadonnées de rendez-vous, statistiques) — c'est l'objet de la présente politique. Pour les données clients des avocats traitées via les outils IA (THERESAII, DIXOO, DIKSII) et le CRM (ACTOO), DIKOO agit comme sous-traitant de l'avocat au sens de l'article 28 du RGPD ; un Contrat de sous-traitance dédié encadre cette relation.
Données collectées
Côté Client :
- Identité : civilité, prénom, nom (collectés à la réservation).
- Coordonnées : email, téléphone (recommandé pour les rappels SMS).
- Données de connexion (Google OAuth / email magic link).
- Données de réservation : avocat choisi, date / heure / durée, statut.
- Données de paiement : gérées exclusivement par Stripe. DIKOO ne stocke aucun numéro de carte bancaire ; seul l'identifiant Stripe de la transaction est conservé pour la facturation.
Côté Avocat :
- Identité : civilité, prénom, nom, photo de profil.
- Données professionnelles : barreau, numéro de toque, SIREN, adresse cabinet, spécialités, langues, tarifs, durée de consultation.
- Coordonnées : email, téléphone.
- Identifiants de paiement : compte Stripe Connect (les coordonnées bancaires sont gérées par Stripe, jamais par DIKOO).
- Documents KYC fournis pour validation (justificatifs d'identité et d'inscription au barreau).
Secret professionnel et contenu des consultations
DIKOO ne conserve AUCUN contenu des consultations(audio, vidéo, message texte échangé pendant la consultation). La visioconférence est techniquement assurée par le prestataire Daily.co dans une salle éphémère (room dédiée à chaque rendez-vous), sans enregistrement par DIKOO.
DIKOO conserve uniquement des métadonnées techniques du rendez-vous (qui, quand, durée prévue / réelle, statut, montant, remboursement éventuel) à des fins de fonctionnement, de facturation et de gestion des éventuels litiges.
Le contenu de la relation avocat-client relève du secret professionnel de l'avocat (article 66-5 de la loi du 31 décembre 1971). Il n'est en aucun cas accessible à DIKOO.
Engagement non-entraînement IA. Les contenus que vous nous confiez (dossiers, documents téléversés, actes générés, échanges avec les outils IA) ne sont jamais utilisés pour entraîner ou ajuster des modèles d'intelligence artificielle, qu'il s'agisse des modèles de DIKOO ou de ceux de ses sous-traitants. Cet engagement est repris dans le Contrat de sous-traitance (art. 4.4) conclu avec chaque avocat utilisateur des outils IA.
Finalités du traitement
Vos données sont utilisées pour :
- Gérer votre compte et l'authentification.
- Réserver et gérer les Consultations (calendrier, salle visio, paiement).
- Vous envoyer les notifications nécessaires (confirmation, rappels J-1 et H-1 par email et SMS, annulation, demande de retour).
- Émettre les factures et tenir la comptabilité légale (côté Avocat).
- Améliorer le service (statistiques agrégées et anonymisées).
- Détecter et prévenir les fraudes (paiement, abus).
- Respecter les obligations légales (facturation, lutte contre le blanchiment, etc.).
Base légale
Les traitements reposent selon les cas sur :
- L'exécution du contrat entre vous et DIKOO (CGU) ainsi qu'entre vous et l'Avocat (consultation).
- Le consentement (SMS de rappel, suivi statistique non anonyme s'il y a lieu).
- Le respect d'une obligation légale (facturation, comptabilité).
- Notre intérêt légitime (sécurité, prévention de la fraude).
Sous-traitants et destinataires
DIKOO recourt aux sous-traitants techniques suivants, chacun encadré par un contrat conforme à l'article 28 du RGPD :
- Stripe (Stripe Payments Europe, Ltd) : traitement des paiements et versements aux avocats.
- Daily.co (Daily.co, USA) : visioconférence sécurisée (salles éphémères, pas d'enregistrement).
- Resend (Resend, Inc., USA) : envoi d'emails transactionnels.
- Brevo (Sendinblue SAS, France) : envoi de SMS transactionnels.
- Neon (Neon, Inc.) : hébergement de la base de données (région Frankfurt, Allemagne — Union européenne).
- Vercel (Vercel, Inc.) : hébergement de l'application (région Paris, France).
- Cloudinary (Cloudinary, Ltd., Israël) : stockage des images (photos de profil, certifications).
- Google (Google LLC) : authentification OAuth (connexion Google) et, sur option explicite de l'Avocat, synchronisation avec Google Calendar (cf. section « Utilisation des API Google »).
- Anthropic (Anthropic, PBC, États-Unis) : moteur d'intelligence artificielle (génération et analyse de documents par les outils THERESAII, DIXOO et DIKSII).
Vos données ne sont jamais vendues à des tiers à des fins commerciales.
Le registre des traitements (RGPD, Art. 30) et les accords de sous-traitance (DPA, Art. 28) signés avec chacun des sous-traitants ci-dessus sont disponibles sur demande écrite à support@dikoo.fr. Les preuves techniques de nos mesures de sécurité (tests publics, trust centers des sous-traitants) sont consultables sur la page Sécurité — Vérifiez par vous-même.
Utilisation des API Google (Limited Use)
Lorsqu'un Avocat choisit explicitement de synchroniser son agenda professionnel avec Google Calendar depuis la page « Paramètres → Agenda » de son espace DIKOO, DIKOO accède aux données de son compte Google via les API Google, selon les modalités décrites ci-dessous.
Données Google consultées
- Événements de l'agenda Google Calendar de l'Avocat (champ
calendar.events) : date de début, date de fin, statut (occupé / libre). DIKOO n'accède ni au titre, ni à la description, ni aux participants des événements externes ; seules les plages horaires occupées sont utilisées pour bloquer les créneaux côté grille de réservation. - Création d'événements dans l'agenda Google de l'Avocat à chaque rendez-vous DIKOO confirmé (titre « Consultation DIKOO™ — [nom du client] », horaire, lien visioconférence). Aucun autre événement n'est créé, modifié ou supprimé.
Finalité unique
Ces accès ont une finalité unique et limitée : synchroniser l'agenda professionnel de l'Avocat avec DIKOO, c'est-à-dire (i) afficher les créneaux déjà occupés sur l'agenda Google pour éviter les doubles-réservations côté Client, et (ii) ajouter automatiquement les rendez-vous DIKOO confirmés dans l'agenda Google de l'Avocat.
Engagements DIKOO (Limited Use)
Conformément à la Google API Services User Data Policy — Limited Use, DIKOO s'engage de manière explicite à :
- Ne pas vendre les données obtenues via les API Google.
- Ne pas utiliser ces données pour la publicité, le profilage publicitaire ou la prospection commerciale.
- Ne pas transférer ces données à des tiers, sauf strict nécessaire pour fournir le service à l'Avocat (sous-traitants techniques d'hébergement décrits ci-dessus, soumis aux mêmes obligations), pour des raisons de sécurité, ou pour se conformer à une obligation légale applicable.
- Ne permettre aucune lecture humaine de ces données, sauf (i) accord préalable et explicite de l'Avocat concerné, (ii) intervention strictement nécessaire pour la sécurité (incident, abus), le débogage d'une anomalie technique, ou (iii) obligation légale.
- Ne pas utiliser ces données pour entraîner ou ajuster des modèles d'intelligence artificielle, qu'il s'agisse des modèles de DIKOO ou de ceux de ses sous-traitants.
Conservation et révocation
Les jetons OAuth Google (jeton d'accès et jeton de rafraîchissement) sont stockés de manière chiffrée dans la base de données DIKOO, hébergée dans l'Union européenne. Aucune copie des événements d'agenda Google n'est conservée de façon persistante côté DIKOO : les plages horaires occupées sont lues à la volée à chaque consultation de la grille.
L'Avocat peut révoquer à tout moment cet accès, soit (i) en désactivant l'option « Synchroniser avec Google Calendar » depuis ses paramètres DIKOO, soit (ii) en retirant l'autorisation directement depuis myaccount.google.com/permissions. La révocation est effective immédiatement et entraîne la suppression des jetons OAuth associés côté DIKOO.
SMS de rappel
Vous pouvez choisir de fournir votre numéro de téléphone pour recevoir un rappel SMS 1 heure avant chaque consultation. Ce SMS est facultatif. Il vous suffit de ne pas renseigner votre numéro pour ne pas en recevoir, ou de le supprimer dans vos paramètres à tout moment.
Avis clients (avis vérifiés)
Après chaque consultation réglée, le Client est invité à laisser un avis sur la prestation reçue (note de 1 à 5 étoiles + commentaire optionnel). Cet avis peut être publié sur la fiche publique de l'Avocataprès modération par DIKOO. Les règles applicables (avis réservés aux Clients ayant payé la Consultation, modération préalable, droit de réponse de l'Avocat, signalement, respect de la déontologie) sont détaillées dans les Conditions générales d'utilisation.
Données publiées avec un avis
- Prénom du Client (nom de famille et email ne sont jamais publiés).
- Note de 1 à 5 étoiles.
- Commentaire libre saisi par le Client (facultatif, 500 caractères max).
- Date de l'avis.
- Le cas échéant, la réponse publique de l'Avocat, elle aussi soumise à modération.
Base légale du traitement
- Consentement du Client au moment du dépôt (RGPD, art. 6.1.a). Le formulaire d'avis informe expressément le Client que son prénom et son commentaire pourront être publiés après modération.
- Intérêt légitime de DIKOO à assurer la transparence de l'annuaire et la confiance des futurs Clients (RGPD, art. 6.1.f), équilibré par les garanties de modération et de droit de rectification/suppression décrites ci-après.
Information du Client au moment du dépôt
Le formulaire de dépôt d'avis affiche, avant validation, les mentions suivantes : caractère public de l'avis après modération, données publiées (prénom + note + commentaire), possibilité de modifier ou supprimer son avis à tout moment, absence de sollicitation extérieure (avis strictement réservé aux Clients ayant payé une Consultation sur la Plateforme).
Durée de conservation
- Avis publié : conservé sur la fiche publique de l'Avocat tant que le compte de l'Avocat est actif ou tant que le Client ne demande pas la suppression de son avis.
- Avis refusé ou censuré à la modération : conservé sous forme non publique pendant 1 an à des fins d'audit (contestations, contentieux) puis supprimé.
Droits du Client sur son avis
- Droit d'accès (RGPD, art. 15) : le Client accède à l'ensemble de ses avis depuis son espace Espace client.
- Droit de rectification (RGPD, art. 16) : le Client peut modifier son avis. Toute modification est re-soumise à modération.
- Droit à l'effacement (RGPD, art. 17) : le Client peut supprimer son avis à tout moment sans justification. L'avis est alors retiré de la fiche publique de manière immédiate.
- Droit d'opposition (RGPD, art. 21) : le Client peut, pour un motif tenant à sa situation particulière, s'opposer à la publication ou au maintien de son avis.
Durée de conservation
Les données sont conservées pour les durées suivantes :
- Compte actif : tant que le compte existe.
- Réservations et facturation : 10 ans à compter de la fin de l'exercice (obligation comptable française, art. L123-22 du Code de commerce).
- Données de paiement Stripe : durée de conservation Stripe (cf. politique Stripe).
- Avis clients publiés : conservés tant que le compte de l'Avocat est actif ou que le Client ne demande pas la suppression (cf. section Avis clients). Avis refusés à la modération : 1 an à des fins d'audit.
- Comptes inactifs : suppression ou anonymisation après 3 ans sans activité (conformément aux recommandations CNIL).
Documents soumis à l'outil d'analyse DIKSII
DIKSII permet aux Avocats de soumettre des fichiers (PDF, DOCX) pour obtenir une synthèse structurée par intelligence artificielle. La politique de conservation propre à cet outil est la suivante :
- Fichiers téléversés (PDF/DOCX) : conservés uniquement le temps strictement nécessaire à l'analyse (typiquement quelques secondes à quelques minutes). Le fichier est supprimé automatiquement du stockage temporaire à la fin du traitement, que l'analyse aboutisse ou échoue. Un balayage périodique (filet de sécurité) supprime tout fichier qui aurait subsisté plus de 24 heures(par exemple suite à une interruption technique).
- Résultats d'analyse : la synthèse générée (texte) est conservée dans votre historique d'activité tant que votre compte est actif. L'Avocat peut la supprimer à tout moment depuis son espace personnel (bouton « Supprimer » sur chaque analyse, droit à l'effacement, RGPD article 17). Les analyses sont également supprimées en cas de clôture du compte.
- Logs techniques de l'outil (métadonnées : horodatage, identifiants techniques, nombre de pages, durée, coût en jetons) : conservés environ 30 jourspour exploitation et facturation, sans contenudu document analysé ni du résultat.
- Sauvegardes : couvertes par les sauvegardes techniques de notre hébergeur de base de données, dans les conditions et délais décrits dans notre politique de sécurité.
Transferts hors UE
Certains sous-traitants (Daily.co, Resend, Cloudinary, Google, Anthropic) sont situés ou stockent des données hors de l'Union européenne (États-Unis principalement). Ces transferts sont encadrés par :
- Les clauses contractuelles types de la Commission européenne.
- Pour les États-Unis : adhésion au Data Privacy Framework (DPF) lorsque applicable.
DIKOO sélectionne ses sous-traitants en privilégiant ceux offrant des garanties de niveau européen. L'application est hébergée dans l'Union européenne (Paris, France).
Vos droits (RGPD)
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès : connaître les données vous concernant.
- Droit de rectification : corriger toute donnée inexacte (modifiable directement depuis votre profil pour la plupart des informations).
- Droit à l'effacement (« droit à l'oubli ») : sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement.
- Droit à la portabilité : recevoir vos données dans un format structuré.
- Droit d'opposition aux traitements fondés sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment (sans effet rétroactif).
- Droit de définir des directives post-mortem sur vos données.
Pour exercer ces droits, écrivez à support@dikoo.fr en précisant l'objet de votre demande. Une réponse vous sera apportée dans un délai d'1 mois.
Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à l'autorité de contrôle compétente :
- CNIL (Commission nationale de l'informatique et des libertés)
- 3 place de Fontenoy, 75007 Paris
- www.cnil.fr
Ou, l'éditeur étant espagnol, à l'Agence espagnole de protection des données (AEPD) : www.aepd.es.