Politique de confidentialité de Mon Greffier

Version : 1.0 Date d'entrée en vigueur : 26/04/2026 Responsable de traitement : EvidencAI, SAS au capital de 180 000 euros, RCS Romans 103 591 806

Sommaire

1. Préambule et qualification juridique
2. Périmètre des traitements EvidencAI
3. Catégories de données traitées
4. Finalités et bases légales
5. Sous-traitants et destinataires
6. Transferts hors Union européenne
7. Durées de conservation
8. Sécurité des traitements
9. Droits des personnes concernées
10. Réclamation auprès de la CNIL
11. Cookies et traceurs
12. Évolution de la présente politique

1. Préambule et qualification juridique

1.1 Architecture du service et conséquences juridiques

Mon Greffier repose sur une architecture distribuée qui détermine la qualification juridique des traitements de données personnelles.

Trois ensembles de traitements sont en présence et doivent être distingués :

Premier ensemble : le dialogue conversationnel dans Cowork. Lorsque le juge utilisateur saisit du texte, dépose un fichier ou interagit avec le modèle Claude au sein de l'application Cowork, le traitement correspondant relève de la relation contractuelle directe entre le juge et la société Anthropic, PBC, éditrice de Cowork. Ce traitement est régi par les conditions et la politique de confidentialité d'Anthropic. EvidencAI n'a ni la maîtrise ni la connaissance détaillée de ces échanges. EvidencAI n'est ni responsable de traitement, ni sous-traitant pour ce premier ensemble.

Deuxième ensemble : les appels d'outils du plugin Mon Greffier vers le serveur applicatif d'EvidencAI. Lorsque le modèle Claude, via le plugin Mon Greffier, appelle un outil exposé par le serveur applicatif d'EvidencAI (par exemple pour écrire le résultat d'une phase au tableau de bord, lire un dossier, ou vérifier des références juridiques), seules les données effectivement transmises à cet appel d'outil sont reçues par EvidencAI. Pour ces données, EvidencAI est responsable de traitement.

Troisième ensemble : les traitements internes d'EvidencAI sur l'API Anthropic. EvidencAI utilise, pour ses propres tâches techniques, l'API Anthropic souscrite par elle (notamment le modèle Claude Haiku pour évaluer la pertinence d'un lot de références juridiques publiques retournées par l'API gouvernementale PISTE). Pour ces traitements, EvidencAI est responsable de traitement et Anthropic, PBC, est sous-traitant d'EvidencAI au sens de l'article 28 du règlement (UE) 2016/679. Aucune donnée nominative du juge ni des justiciables n'est transmise à Haiku dans ce cadre, comme précisé à l'article 2.3 ci-dessous.

1.2 Qualification retenue

EvidencAI est responsable de traitement autonome sur le périmètre restreint décrit à l'article 2 ci-après. Sur ce périmètre, EvidencAI détermine seule les finalités et les moyens des traitements. EvidencAI n'agit pas comme sous-traitant des juridictions ni comme responsable conjoint avec elles, sous réserve de la signature, à la demande d'une juridiction acquérant des crédits collectifs (annexe B des CGV), de l'accord de sous-traitance RGPD figurant au document dpa-template.md.

2. Périmètre des traitements EvidencAI

2.1 Traitements effectués par EvidencAI

EvidencAI effectue les traitements suivants :

1. gestion des comptes des juges utilisateurs : création, authentification (par mot de passe ou OAuth Google), modification du profil, suppression ;
2. gestion du parcours OAuth 2.1 du connecteur Mon Greffier dans Cowork (RFC 6749, 6750, 7591, 8414, 9728), incluant le stockage temporaire des codes d'autorisation et des jetons d'accès ;
3. stockage structuré des dossiers et de leurs phases (cadrage, décisions, rédaction, robustesse, rédaction définitive) sur le tableau de bord ;
4. gestion des crédits prépayés, des transactions de paiement (par redirection vers Stripe), des codes promotionnels et des factures ;
5. journalisation technique et de sécurité du serveur applicatif et du tableau de bord ;
6. recherche juridique sur l'API gouvernementale PISTE (Légifrance et Judilibre) à la demande du juge ;
7. évaluation de la pertinence d'un lot de références juridiques par le modèle Claude Haiku, sur l'API Anthropic souscrite par EvidencAI.

2.2 Données transitant par Cowork (hors périmètre)

Tout contenu saisi, copié-collé ou déposé par le juge dans le dialogue Cowork transite, dans un premier temps, par les serveurs d'Anthropic, PBC, qui édite Cowork. EvidencAI ne reçoit ces contenus que dans la mesure où le modèle Claude, via le plugin Mon Greffier, en fait une copie structurée transmise à un appel d'outil.

Le juge utilisateur est informé qu'il lui appartient, en application des Conditions Générales d'Utilisation, de procéder à la pseudonymisation ou à l'anonymisation préalable de tout contenu transmis dans Cowork, conformément à son secret professionnel et au secret du délibéré.

2.3 Traitement Haiku des références juridiques

Lorsque le juge active la fonction de vérification d'un lot de références juridiques, le serveur applicatif d'EvidencAI interroge l'API gouvernementale PISTE (Légifrance et Judilibre) avec les références à vérifier. Les résultats publics retournés par PISTE, qui ne contiennent pas de données personnelles du juge ni des justiciables, sont ensuite soumis au modèle Claude Haiku via l'API Anthropic d'EvidencAI, accompagnés d'un contexte de pertinence rédigé par le serveur. Aucune donnée du dossier en cours, aucun nom, aucune identité de partie, aucune donnée nominative du juge n'est transmise à Haiku dans ce flux.

3. Catégories de données traitées

3.1 Données d'identification du juge utilisateur

EvidencAI traite, pour la création et la gestion du compte juge :

• adresse électronique (professionnelle de préférence) ;
• prénom et nom ;
• juridiction de rattachement et qualité (juge consulaire) ;
• mot de passe haché ou identifiant fédéré (Google) ;
• préférences de compte (langue, notifications) ;
• jetons d'authentification OAuth et journaux associés.

3.2 Données relatives aux dossiers et aux phases

EvidencAI stocke, pour chaque dossier ouvert par le juge :

• l'identifiant interne du dossier et son rattachement au compte juge ;
• les contenus structurés produits à chaque phase (extraction, cadrage, décisions, rédaction, robustesse, rédaction définitive) ;
• les annotations et validations posées par le juge ;
• les horodatages et un journal applicatif lié au dossier.

Ces contenus reflètent les conclusions des parties pseudonymisées par le juge ainsi que les analyses et propositions générées par le modèle Claude. Sous réserve du respect par le juge de son obligation de pseudonymisation, ces contenus ne devraient pas comporter de données directement identifiantes des personnes physiques. Toute donnée nominative résiduelle qui demeurerait dans ces contenus relève de la responsabilité du juge.

3.3 Données de paiement et de facturation

EvidencAI traite, pour la gestion commerciale :

• les commandes de crédits, leur prix, leur date, leur statut ;
• les transactions Stripe (identifiants de session, de paiement et de facture, sans collecte par EvidencAI des données de carte bancaire, lesquelles sont traitées exclusivement par Stripe) ;
• les codes promotionnels appliqués ;
• les factures émises au nom du juge personne physique ou de la juridiction.

3.4 Données techniques et de sécurité

EvidencAI traite des données techniques liées à l'usage du service : adresses IP, identifiants de session, journaux d'accès au serveur applicatif et au tableau de bord, événements de sécurité (tentatives d'accès anormales, révocations de jetons).

4. Finalités et bases légales

EvidencAI a documenté l'analyse de balance pour les traitements fondés sur l'intérêt légitime. Le test de mise en balance figure dans le registre des traitements interne, communicable sur demande aux personnes concernées.

5. Sous-traitants et destinataires

5.1 Sous-traitants ultimes d'EvidencAI

EvidencAI fait appel aux sous-traitants suivants, chacun encadré par un accord de sous-traitance conforme à l'article 28 du règlement (UE) 2016/679 :

EvidencAI tient à jour la liste de ses sous-traitants. Toute évolution est notifiée aux clients par publication d'une nouvelle version de la présente politique de confidentialité, dans les conditions de l'article 12.

5.2 Tiers indépendants

Les acteurs suivants ne sont pas sous-traitants d'EvidencAI mais entrent en relation directe avec le juge utilisateur ou avec des données publiques :

• Anthropic, PBC, en tant qu'éditeur de Cowork : la relation de l'utilisateur avec Cowork est régie par le contrat direct entre le juge et Anthropic. Le juge utilisateur est invité à consulter la politique de confidentialité de Cowork et à régler les paramètres de son compte selon ses préférences, notamment la désactivation, le cas échéant, de l'usage de ses conversations pour l'entraînement des modèles. Les références utiles sont rappelées dans la section "Paramètres Cowork" de la documentation du tableau de bord.
• API PISTE (Légifrance et Judilibre) : opérée par la Direction de l'information légale et administrative (DILA) et par la Cour de cassation. Les requêtes adressées à PISTE par le serveur applicatif d'EvidencAI ne contiennent que des références juridiques publiques, sans donnée personnelle des juges ni des justiciables.

5.3 Communication des données à des tiers

EvidencAI ne communique les données personnelles qu'elle traite à aucun tiers à des fins commerciales. EvidencAI peut être conduite à communiquer des données aux autorités administratives ou judiciaires compétentes en réponse à une réquisition régulière, dans le strict respect des règles légales applicables.

6. Transferts hors Union européenne

Les données traitées par EvidencAI sont stockées en France, sur l'infrastructure Scaleway PAR1 (Paris).

Deux flux sont susceptibles d'emporter un transfert vers un pays tiers à l'Union européenne :

1. les requêtes API d'EvidencAI vers Anthropic, PBC, pour le traitement Haiku de pertinence des références juridiques publiques, qui implique un transfert technique vers les États-Unis. Ce transfert est encadré par le Data Processing Addendum d'Anthropic, lequel intègre les clauses contractuelles types de la Commission européenne (modules 2 et 3 de la décision d'exécution (UE) 2021/914) ;
2. les flux de paiement vers Stripe, qui sont susceptibles de comporter un transfert technique vers les États-Unis pour la composante Stripe, Inc., également encadré par les clauses contractuelles types.

Aucun de ces transferts ne porte sur le contenu des dossiers ni sur les contenus produits par les phases du service.

7. Durées de conservation

EvidencAI applique le régime de conservation suivant :

Les dossiers archivés à l'issue des quatre-vingt-dix jours d'activité ne sont plus accessibles depuis le tableau de bord, mais restent récupérables sur demande explicite et motivée du juge dans la fenêtre d'archivage de trois cent soixante-cinq jours.

À l'issue de ces durées, les données sont supprimées définitivement, à l'exception des données dont la conservation est imposée par une obligation légale.

8. Sécurité des traitements

EvidencAI met en œuvre les mesures techniques et organisationnelles appropriées suivantes, dans une démarche d'amélioration continue :

1. chiffrement au repos de la base de données et des sauvegardes ;
2. chiffrement des flux en transit par TLS 1.2 ou supérieur ;
3. authentification OAuth 2.1 conforme aux RFC 6749, 6750, 7591, 8414 et 9728, avec PKCE obligatoire ;
4. cloisonnement strict des données entre les comptes juges ;
5. journalisation des accès et des opérations sensibles ;
6. revue périodique des sous-traitants et des accords de sous-traitance ;
7. gestion centralisée des secrets et rotation périodique ;
8. processus documenté de gestion des incidents et notification dans les soixante-douze heures à la CNIL en cas de violation conformément à l'article 33 du règlement (UE) 2016/679, et information des personnes concernées le cas échéant.

Le détail technique de ces mesures figure dans la note de conformité technique accessible à l'adresse mongreffier.evidencai.com/legal/note-conformite-technique.

9. Droits des personnes concernées

Conformément aux articles 15 à 22 du règlement (UE) 2016/679, toute personne concernée par un traitement effectué par EvidencAI dispose des droits suivants :

1. droit d'accès à ses données ;
2. droit de rectification ;
3. droit à l'effacement, dans les limites prévues par la loi ;
4. droit à la limitation du traitement ;
5. droit à la portabilité des données fournies par la personne concernée et traitées par voie automatisée ;
6. droit d'opposition au traitement, en particulier lorsque le traitement est fondé sur l'intérêt légitime ;
7. droit de retirer son consentement à tout moment lorsque le traitement est fondé sur le consentement, sans que ce retrait n'affecte la licéité du traitement antérieur ;
8. droit de définir des directives relatives au sort des données après le décès, conformément à l'article 85 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Le service Mon Greffier ne procède à aucune décision exclusivement automatisée produisant des effets juridiques au sens de l'article 22 du règlement (UE) 2016/679. Chaque arbitrage juridictionnel demeure le fait du juge utilisateur.

L'exercice de ces droits s'effectue par message à l'adresse contact@evidencai.com ou par courrier postal au siège social, accompagné des éléments permettant à EvidencAI de vérifier l'identité du demandeur.

EvidencAI répond aux demandes dans le délai d'un mois prévu par l'article 12.3 du règlement (UE) 2016/679, étant précisé que ce délai peut être prolongé de deux mois, compte tenu de la complexité ou du nombre des demandes, l'information correspondante étant alors communiquée à la personne dans le mois.

10. Réclamation auprès de la CNIL

Toute personne concernée a le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés, autorité de contrôle française :

CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07 Site : www.cnil.fr

Cette voie de recours s'exerce sans préjudice de tout autre recours administratif ou juridictionnel.

11. Cookies et traceurs

Le tableau de bord mongreffier.evidencai.com utilise des cookies et traceurs strictement nécessaires au fonctionnement du service (session d'authentification Supabase). Aucun cookie de mesure d'audience n'est déposé sans consentement explicite, conformément aux lignes directrices de la CNIL.

Le détail des cookies, leur durée et leur finalité, ainsi que les modalités de gestion du consentement, figurent dans la politique de cookies accessible à l'adresse mongreffier.evidencai.com/legal/politique-cookies.

12. Évolution de la présente politique

EvidencAI peut faire évoluer la présente politique pour tenir compte des évolutions du service, des évolutions législatives ou réglementaires, ou des recommandations de la CNIL et du Comité européen de la protection des données.

Toute évolution substantielle est notifiée aux juges utilisateurs par publication sur le tableau de bord et par courrier électronique au moins quinze jours avant son entrée en vigueur. La date de mise à jour figure en tête du présent document.

Contact du délégué à la protection des données

À ce jour, EvidencAI n'a pas désigné de délégué à la protection des données au sens de l'article 37 du règlement (UE) 2016/679, n'étant pas tenue à cette désignation. EvidencAI a toutefois identifié un point de contact dédié aux questions de protection des données :

contact@evidencai.com

Ce point de contact est en charge de l'instruction des demandes des personnes concernées et de la coordination des relations avec la CNIL.

Fin de la politique de confidentialité. Version 1.0 du 26/04/2026.