Diligio · Legal
Sécurité, mentions légales & confidentialité
Cette page regroupe l'ensemble des informations légales et de sécurité relatives à Diligio : mesures techniques de protection des données, mentions légales (LCEN), conditions générales d'utilisation et politique de traitement des données personnelles (RGPD).
Dernière mise à jour : juin 2026.
1. Sécurité & protection des données
Diligio intervient dans des opérations de fusions-acquisitions où la confidentialité des données est une exigence contractuelle et réglementaire. Cette section décrit les mesures techniques et organisationnelles en vigueur.
1.1 Protection des données métier
Documents clients — VDR tierce certifiée
Les documents sensibles transmis dans le cadre d'une due diligence (bilans non publiés, données financières pré-signing, VDR client) ne sont pas stockés sur l'infrastructure Diligio. Ils restent chez un prestataire de Virtual Data Room certifié ISO 27001 et SOC 2 (Datasite, Intralinks, Drooms ou équivalent selon l'opération).
Données dérivées publiques uniquement
Diligio stocke exclusivement les données issues de sources publiques : INPI/RNE, BODACC, INSEE Sirene. Ces données sont déjà accessibles à tout tiers sans restriction. Aucune donnée client non publiée n'est conservée sur les serveurs Diligio au-delà du traitement immédiat.
Uploads éphémères — purge automatique 3 h
Les fichiers uploadés via le module VDR de Diligio sont traités en mémoire vive (RAM tmpfs), jamais écrits sur disque persistant. Ils sont automatiquement purgés au bout de 3 heures et exclus de toute sauvegarde. Cette architecture « privacy by design » garantit qu'aucun document sensible ne persiste sur l'infrastructure au-delà de la durée nécessaire au traitement.
Livrables finalisés
Les rapports de due diligence et databooks générés (fichiers .docx et .xlsx) sont remis directement au cabinet commanditaire via téléchargement sécurisé. Diligio ne conserve pas de copie de ces livrables après la mise à disposition.
1.2 Mesures techniques
Chiffrement en transit — TLS 1.3
Toutes les communications entre votre navigateur et l'infrastructure Diligio sont chiffrées en TLS 1.3 (protocole minimum imposé). Les certificats HTTPS sont gérés automatiquement par Let's Encrypt et renouvelés avant expiration. HTTP strict (HSTS) est activé avec préchargement navigateur.
Hébergement dédié — OVH Paris, RGPD UE
L'infrastructure Diligio est hébergée sur un serveur dédié OVH Paris (datacenter France, Union européenne). Aucune donnée ne transite vers des serveurs hors UE. Ce choix garantit le respect du cadre RGPD et des exigences de localisation des données imposées par certains mandants.
Self-hosted — pas de CDN externe
Les assets techniques (scripts, polices, styles) sont intégralement auto-hébergés. Aucune ressource externe (CDN, Google Fonts, analytics tiers) n'est chargée lors de la consultation de Diligio, ce qui élimine les risques de fuite via des requêtes vers des tiers.
En-têtes de sécurité HTTP
Chaque réponse HTTP inclut les en-têtes de sécurité standards :
Content Security Policy (CSP stricte, sans unsafe-inline),
X-Frame-Options, X-Content-Type-Options, Permissions-Policy. Ces en-têtes
défendent contre les attaques XSS, clickjacking et injection de contenu.
Journaux d'accès — 12 mois
Les journaux d'accès au serveur sont conservés 12 mois minimum, conformément aux exigences de piste d'audit M&A. Ces journaux permettent de tracer toute consultation d'un document en cas de litige ou d'enquête.
Accès administrateur protégé
L'accès aux interfaces d'administration est soumis à une authentification forte. Le pare-feu réseau (UFW) autorise uniquement les ports 22 (SSH), 80 et 443. fail2ban est actif pour bloquer les tentatives de force brute.
1.3 Notification d'incident
En cas de violation de données, Diligio s'engage à notifier les personnes concernées dans les 24 heures suivant la prise de connaissance de l'incident, et à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD.
2. Mentions légales
Éditeur du site
Diligio
Paris, France
Contact éditorial : contact@diligio.fr
Directeur de la publication
L'équipe Diligio.
Contact : contact@diligio.fr
Hébergeur
OVH SAS
2 rue Kellermann, 59100 Roubaix, France
Téléphone : +33 9 72 10 10 07
ovhcloud.com
Propriété intellectuelle
L'ensemble du site (textes, code source, charte graphique, logos, marques, illustrations) est protégé par les lois françaises et internationales relatives à la propriété intellectuelle. Toute reproduction, représentation, modification ou exploitation, totale ou partielle, sans autorisation écrite préalable de Diligio est interdite et constitue une contrefaçon (art. L. 335-2 et suivants du Code de la propriété intellectuelle).
3. Conditions générales d'utilisation
3.1 Objet
Diligio met à disposition de ses utilisateurs une plateforme d'assistance à la due diligence fiscale dans le cadre d'opérations de fusions-acquisitions. L'utilisation du service implique l'acceptation pleine et entière des présentes CGU.
3.2 Accès au service
L'accès au service nécessite la création d'un compte utilisateur. L'utilisateur s'engage à fournir des informations exactes et à les maintenir à jour. L'identifiant et le mot de passe sont strictement personnels et confidentiels.
3.3 Nature du service — pas de conseil juridique automatisé
Diligio fournit un outil d'assistance à la rédaction de rapports de due diligence fiscale. Les contenus générés (rapports, analyses, plans d'investigation VDR) sont des aides à la décision, pas des conseils juridiques ou fiscaux engageant la responsabilité de Diligio. La revue, la validation et la signature de tout livrable relèvent de la responsabilité du professionnel utilisateur.
3.4 Obligations de l'utilisateur
L'utilisateur s'engage à :
- Ne pas utiliser le service à des fins illicites ou contraires à l'ordre public
- Respecter la confidentialité des données de tiers traitées via la plateforme
- Ne pas tenter de contourner les mesures de sécurité du service
- Signaler sans délai tout dysfonctionnement ou faille de sécurité à contact@diligio.fr
3.5 Disponibilité du service
Diligio s'efforce d'assurer la disponibilité du service 24h/24, 7j/7, sans garantie contractuelle. Des interruptions pour maintenance ou mise à jour peuvent survenir. Diligio ne saurait être tenu responsable des dommages indirects résultant d'une indisponibilité du service.
3.6 Modification des CGU
Diligio se réserve le droit de modifier les présentes CGU à tout moment. Les utilisateurs sont informés des modifications substantielles par email à leur dernière adresse connue.
3.7 Droit applicable
Les présentes CGU sont régies par le droit français. Tout litige relèvera de la compétence exclusive des tribunaux français compétents, sauf disposition légale impérative contraire.
4. Politique de confidentialité
4.1 Responsable du traitement
Diligio (cf. §2 Mentions légales) est le responsable du traitement des données personnelles collectées via la plateforme.
4.2 Données collectées
Catégories de données traitées :
- Données de compte : email, nom, prénom, mot de passe (haché)
- Données d'usage : logs d'accès, adresse IP, type de navigateur, pages consultées
- Données métier : SIREN des cibles analysées, rapports générés (associés au compte utilisateur)
- Documents VDR (le cas échéant) : traités en mémoire vive uniquement (3h max), jamais persistés sur disque — cf. §1 Sécurité
4.3 Finalités & bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Fourniture du service (auth, accès aux rapports) | Exécution du contrat | Vie du compte + 3 ans |
| Sécurité (logs accès, audit trail) | Intérêt légitime | 12 mois |
| Facturation & comptabilité | Obligation légale | 10 ans |
| Communication marketing (opt-in) | Consentement | Jusqu'au retrait |
4.4 Destinataires & sous-traitants
Les données sont accessibles aux seuls collaborateurs habilités de Diligio. Sous-traitants techniques actuels :
- OVH SAS (hébergement, France — Roubaix) — conforme RGPD
- Supabase Inc. (authentification, États-Unis — clauses contractuelles types Commission européenne)
La liste des sous-traitants est mise à jour à chaque évolution significative de la chaîne technique. Toute évolution substantielle est notifiée aux utilisateurs.
4.5 Vos droits
Conformément au RGPD (art. 15 à 22), vous disposez des droits suivants :
- Droit d'accès à vos données
- Droit de rectification
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité
- Droit d'opposition
- Droit de retirer votre consentement à tout moment
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)
Pour exercer ces droits, écrivez à dpo@diligio.fr en précisant votre demande et en joignant un justificatif d'identité. Délai de réponse : 1 mois maximum.
4.6 Transferts hors UE
Certains sous-traitants (notamment Supabase) sont situés hors Union européenne. Les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) ou par d'autres mécanismes prévus au chapitre V du RGPD.
5. Cookies
Diligio utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, préférences de session). Ces cookies ne nécessitent pas de consentement préalable au sens de l'article 82 de la loi Informatique & Libertés.
Aucun cookie de mesure d'audience ou de publicité comportementale n'est déposé sans votre consentement. Toute évolution de cette politique fera l'objet d'une bannière de consentement explicite.
6. Contact & réclamations
Pour toute question relative à ces mentions, aux CGU, à la politique de confidentialité ou à la sécurité :
- Email général : contact@diligio.fr
- Protection des données (RGPD) : dpo@diligio.fr
- Signalement de faille de sécurité : contact@diligio.fr (objet : « Sécurité »)
Réclamation CNIL : cnil.fr/fr/plaintes