Politique de Confidentialite
Derniere mise a jour : 31/03/2026
Sommaire
1. Responsable du traitement
Le responsable du traitement des donnees personnelles collectees sur la plateforme ai-act-ready.eu (ci-apres la "Plateforme") est :
2. Donnees collectees
Nous collectons differentes categories de donnees personnelles :
2.1 Donnees d'identification
Collectees lors de la creation de compte ou de la souscription :
- Nom et prenom
- Adresse email professionnelle
- Numero de telephone (optionnel)
- Nom de l'entreprise
- Fonction/Poste occupe
2.2 Donnees de facturation
Pour les utilisateurs ayant souscrit une offre payante :
- Adresse de facturation
- Numero de TVA intracommunautaire (le cas echeant)
- Note importante : Les informations de paiement (numeros de carte bancaire) sont traitees directement par notre prestataire de paiement Stripe et ne sont jamais stockees sur nos serveurs.
2.3 Donnees relatives a l'utilisation de la Plateforme
Collectees lors de l'utilisation de nos services :
- Reponses au questionnaire d'audit de conformite
- URL de sites web analyses (fonctionnalite Smart Scan)
- Rapports de conformite generes
- Documents legaux generes
- Historique des audits realises
- Historique des connexions (date, heure, adresse IP)
2.4 Donnees techniques
Collectees automatiquement lors de votre navigation :
- Adresse IP
- Type et version du navigateur
- Systeme d'exploitation
- Pages visitees et parcours de navigation
- Date, heure et duree des sessions
- Donnees de cookies (voir notre Politique de Cookies)
3. Finalites du traitement
Vos donnees personnelles sont traitees pour les finalites suivantes :
| Finalite | Description |
|---|---|
| Execution du service | Fournir les fonctionnalites de la Plateforme : audit, generation de rapports et documents, badge de conformite |
| Gestion de compte | Creation et gestion de votre compte utilisateur, authentification |
| Facturation | Traitement des paiements, emission des factures, gestion des abonnements |
| Support client | Repondre a vos demandes d'assistance et questions |
| Communications service | Notifications importantes concernant votre compte ou les services (mises a jour, alertes securite) |
| Newsletter | Envoi d'informations sur l'AI Act et nos services (avec votre consentement) |
| Amelioration des services | Analyse d'usage anonymisee pour ameliorer la Plateforme |
| Securite | Prevention de la fraude, detection des abus, securisation de la Plateforme |
| Obligations legales | Respect des obligations comptables et fiscales |
4. Bases legales du traitement
Conformement au RGPD, chaque traitement repose sur une base legale specifique :
Execution du contrat
Pour fournir les services que vous avez commandes : audit, rapports, documents, badge.
Consentement
Pour l'envoi de newsletters, l'utilisation de cookies non essentiels, et certaines communications marketing.
Interet legitime
Pour l'amelioration de nos services, la securite de la Plateforme, et la prevention de la fraude.
Obligation legale
Pour la conservation des factures (10 ans) et le respect des obligations fiscales.
5. Destinataires des donnees
Vos donnees personnelles peuvent etre partagees avec les destinataires suivants :
5.1 Nos sous-traitants
| Sous-traitant | Finalite | Localisation |
|---|---|---|
| OVHcloud | Hebergement de la Plateforme et stockage des donnees | France / UE |
| Stripe | Traitement securise des paiements | UE (Ireland) + USA* |
| OpenAI | Analyse IA pour la generation des rapports (donnees anonymisees) | USA* |
| Sendinblue (Brevo) | Envoi d'emails transactionnels et newsletters | France / UE |
*Voir section 6 "Transferts hors UE" pour les garanties mises en place.
5.2 Ce que nous ne faisons PAS
- Nous ne vendons jamais vos donnees personnelles a des tiers
- Nous ne partageons pas vos donnees a des fins publicitaires
- Nous ne cedons pas vos donnees a des brokers de donnees
6. Transferts hors de l'Union Europeenne
Certains de nos sous-traitants sont situes aux Etats-Unis. Pour ces transferts, nous nous assurons que des garanties appropriees sont en place :
- Stripe : Certifie EU-US Data Privacy Framework + Clauses Contractuelles Types
- OpenAI : Clauses Contractuelles Types (CCT) approuvees par la Commission Europeenne + mesures supplementaires
Vous pouvez obtenir une copie des garanties mises en place en nous contactant a dpo@ai-act-ready.eu.
7. Utilisation de l'intelligence artificielle
Transparence AI Act - Article 50
Conformement au Reglement (UE) 2024/1689, nous vous informons de maniere transparente sur l'utilisation de l'IA dans notre Plateforme.
7.1 Comment nous utilisons l'IA
- Analyse des reponses : Vos reponses au questionnaire d'audit sont analysees par un modele de langage (LLM) pour determiner votre niveau de conformite
- Generation de rapports : L'IA genere des recommandations personnalisees basees sur vos reponses
- Documents legaux : L'IA aide a personnaliser les templates de documents selon votre situation
- Smart Scan : Analyse automatisee des pages web pour pre-remplir le questionnaire
7.2 Protection de vos donnees vis-a-vis de l'IA
- Vos donnees sont anonymisees avant envoi a l'API OpenAI
- Vos donnees ne sont pas utilisees pour entrainer les modeles d'IA
- Nous utilisons l'API OpenAI avec l'option "data not used for training"
- Les donnees envoyees a l'API ne sont pas conservees par OpenAI au-dela de 30 jours
7.3 Intervention humaine
Les resultats generes par l'IA constituent une aide a la decision et non une decision automatisee au sens de l'article 22 du RGPD. Vous conservez le controle total sur l'interpretation et l'utilisation de ces resultats.
8. Durees de conservation
Vos donnees sont conservees selon les durees suivantes :
| Type de donnees | Duree de conservation | Justification |
|---|---|---|
| Donnees de compte | Duree de l'abonnement + 3 ans | Prescription civile |
| Donnees de facturation | 10 ans | Obligation legale (Code de commerce) |
| Rapports et documents generes | Duree du compte actif + 1 an | Execution du service |
| Logs de connexion | 12 mois | Securite et obligations legales (LCEN) |
| Donnees de prospection | 3 ans apres dernier contact | Recommandations CNIL |
| Cookies | 13 mois maximum | Recommandations CNIL |
9. Vos droits
Conformement au RGPD (articles 15 a 22) et a la loi Informatique et Libertes, vous disposez des droits suivants :
Droit d'acces
Obtenir confirmation du traitement de vos donnees et en recevoir une copie.
Droit de rectification
Corriger des donnees inexactes ou completer des donnees incompletes.
Droit a l'effacement
Demander la suppression de vos donnees dans certains cas.
Droit a la portabilite
Recevoir vos donnees dans un format structure et lisible par machine.
Droit d'opposition
Vous opposer au traitement de vos donnees pour motifs legitimes.
Droit a la limitation
Limiter le traitement de vos donnees dans certaines circonstances.
Retrait du consentement
Retirer votre consentement a tout moment pour les traitements bases sur celui-ci.
Directives post-mortem
Definir des directives sur le sort de vos donnees apres votre deces.
Comment exercer vos droits
Vous pouvez exercer vos droits de plusieurs manieres :
- Par email : dpo@ai-act-ready.eu
- Depuis votre compte : Section "Mon compte" > "Mes donnees personnelles"
- Par courrier : AI Act Ready SAS - DPO - [Adresse], 75008 Paris
Nous repondrons a votre demande dans un delai d'un mois suivant sa reception. Ce delai peut etre prolonge de deux mois en cas de demande complexe.
Reclamation aupres de la CNIL
Si vous estimez que le traitement de vos donnees constitue une violation de vos droits, vous pouvez introduire une reclamation aupres de la CNIL :
Commission Nationale de l'Informatique et des Libertes (CNIL)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Site web : www.cnil.fr
10. Securite des donnees
Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees personnelles :
Mesures techniques
- Chiffrement en transit : TLS 1.3 pour toutes les communications
- Chiffrement au repos : AES-256 pour les donnees stockees
- Authentification : Hachage bcrypt pour les mots de passe, option 2FA
- Infrastructure : Serveurs securises dans des datacenters certifies (ISO 27001)
- Surveillance : Systemes de detection d'intrusion et monitoring 24/7
- Sauvegardes : Sauvegardes quotidiennes chiffrees avec retention de 30 jours
Mesures organisationnelles
- Acces restreint : Principe du moindre privilege pour l'acces aux donnees
- Formation : Sensibilisation reguliere des equipes a la protection des donnees
- Procedures : Processus de gestion des incidents et violations de donnees
- Audits : Tests de securite reguliers et audits de conformite
11. Notification des violations de donnees
Conformement aux articles 33 et 34 du RGPD, nous avons mis en place des procedures strictes pour gerer les violations de donnees personnelles et vous en informer le cas echeant.
11.1 Qu'est-ce qu'une violation de donnees ?
Une violation de donnees personnelles est une faille de securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l'alteration, la divulgation non autorisee ou l'acces non autorise a des donnees personnelles.
Exemples de violations :
- Acces non autorise a la base de donnees par un tiers
- Perte ou vol d'un equipement contenant des donnees personnelles
- Envoi accidentel de donnees au mauvais destinataire
- Attaque par rancongiciel (ransomware) affectant les donnees
- Suppression accidentelle de donnees sans sauvegarde
11.2 Nos engagements en cas de violation
Notification a la CNIL (Article 33 RGPD)
En cas de violation de donnees personnelles susceptible d'engendrer un risque pour vos droits et libertes, nous nous engageons a notifier la CNIL dans les 72 heures suivant la decouverte de la violation.
Information des personnes concernees (Article 34 RGPD)
Si la violation est susceptible d'engendrer un risque eleve pour vos droits et libertes, nous vous en informerons dans les meilleurs delais par email a l'adresse associee a votre compte.
11.3 Contenu de la notification
En cas de violation vous concernant, notre notification comprendra :
- La nature de la violation de donnees personnelles
- Les categories et le nombre approximatif de personnes concernees
- Les consequences probables de la violation
- Les mesures prises ou envisagees pour remedier a la violation
- Les mesures pour attenuer les eventuelles consequences negatives
- Les coordonnees de notre DPO pour toute question supplementaire
11.4 Mesures de prevention et de reaction
Nous mettons en oeuvre les mesures suivantes :
- Prevention : Mesures de securite robustes (voir section 10)
- Detection : Systemes de surveillance et d'alerte en temps reel
- Documentation : Registre de toutes les violations, meme mineures
- Remediation : Plans d'action pour limiter les consequences
- Amelioration : Analyse post-incident et renforcement des mesures
11.5 Signaler un incident de securite
Si vous suspectez une violation de donnees ou un incident de securite concernant votre compte ou nos services, veuillez nous le signaler immediatement :
Contact securite
Email : security@ai-act-ready.eu
Nous nous engageons a accuser reception de votre signalement sous 24 heures ouvrees.
12. Cookies
Notre Plateforme utilise des cookies pour fonctionner et ameliorer votre experience. Pour une information complete sur les cookies utilises, leurs finalites et la gestion de vos preferences, consultez notre Politique de Cookies.
13. Modifications de cette politique
Nous pouvons modifier cette politique de confidentialite a tout moment pour refleter les evolutions de nos pratiques ou de la reglementation applicable.
En cas de modification substantielle :
- Nous vous informerons par email a l'adresse associee a votre compte
- Un bandeau d'information sera affiche sur la Plateforme
- La date de "derniere mise a jour" sera modifiee en haut de cette page
Nous vous encourageons a consulter regulierement cette page pour rester informe de nos pratiques en matiere de protection des donnees.
14. Contact
Pour toute question relative a cette politique de confidentialite ou a l'exercice de vos droits, vous pouvez contacter notre Delegue a la Protection des Donnees :
Delegue a la Protection des Donnees (DPO)
AI Act Ready SAS
[Adresse a completer]
75008 Paris, France
Email : dpo@ai-act-ready.eu