Politique de Confidentialité
1. Responsable de traitement
[Nom de la société], [adresse], France.
Email : dpo@cyber-compliance-copilot.fr
DPO désigné : [Nom du DPO]
2. Données collectées
| Catégorie | Données | Base légale | Durée |
|---|---|---|---|
| Compte utilisateur | Email (chiffré), mot de passe (hashé Argon2) | Exécution du contrat | Durée du compte + 1 an |
| Profil organisation | Nom, secteur, effectif, dirigeants (chiffrés AES-256-GCM) | Exécution du contrat | Durée du compte + 1 an |
| Évaluations | Réponses au questionnaire, scores, notes (chiffrées) | Exécution du contrat | Durée du compte + 3 ans |
| Documents générés | Contenu HTML (chiffré AES-256-GCM) | Exécution du contrat | Durée du compte + 1 an |
| Documents uploadés | Contenu des fichiers (chiffré), embeddings vectoriels | Consentement | Suppression sur demande |
| Conversations IA | Non stockées côté serveur (streaming uniquement) | — | Pas de rétention |
| Logs techniques | Adresse IP, user-agent, horodatage | Intérêt légitime (sécurité) | 90 jours |
3. Chiffrement des données
Les données sensibles sont chiffrées au niveau applicatif avec AES-256-GCM (nonce aléatoire par chiffrement, clé dérivée via HKDF-SHA256). Les mots de passe sont hashés avec Argon2id. Les emails sont indexés via un blind index HMAC-SHA256 pour permettre la recherche sans déchiffrement.
4. Hébergement et sous-traitants
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| [Hébergeur] | Infrastructure serveur | France | ISO 27001 / SecNumCloud |
| Mistral AI | IA conversationnelle + embeddings | Paris, France | Pas de réutilisation des données pour l'entraînement |
| PostgreSQL (auto-hébergé) | Base de données | France | Chiffrement applicatif |
Aucun transfert de données hors de l'Union Européenne.
5. Vos droits (RGPD Articles 15 à 22)
- Accès (Art. 15) : Consultez vos données dans la page Profil
- Rectification (Art. 16) : Modifiez vos données dans la page Profil
- Effacement (Art. 17) : Supprimez votre compte et toutes vos données
- Portabilité (Art. 20) : Exportez toutes vos données en JSON depuis la page Profil
- Opposition (Art. 21) : Contactez le DPO
- Limitation (Art. 18) : Contactez le DPO
Pour exercer vos droits : dpo@cyber-compliance-copilot.fr
Délai de réponse : 1 mois maximum (Art. 12 RGPD).
En cas de réclamation : CNIL — Déposer une plainte
6. Cookies
Le Service utilise uniquement des cookies techniques nécessaires au fonctionnement :
- auth_token : Jeton d'authentification JWT (24h)
- csrf_token : Protection contre les attaques CSRF (24h)
Aucun cookie publicitaire ni de tracking tiers n'est utilisé.
7. Sécurité
- Chiffrement AES-256-GCM des données sensibles
- Hachage Argon2id des mots de passe
- Communication HTTPS/TLS 1.3
- Rate limiting (120 req/min, protection brute force)
- Tokens CSRF sur les actions sensibles
- Audit de sécurité annuel prévu
8. Utilisation de l'intelligence artificielle
Le Service utilise des modèles d'intelligence artificielle (Mistral AI, hébergé en France) pour les fonctionnalités suivantes :
- Assistant conversationnel — Les messages sont transmis au modèle IA pour générer des réponses. Les conversations ne sont pas stockées côté serveur au-delà de la session de streaming.
- Pré-remplissage de documents — Les données du profil organisation (nom, secteur, effectif, dirigeants) sont transmises au modèle pour générer du contenu documentaire.
- Recherche sémantique (RAG) — Les documents uploadés sont découpés et vectorisés via le modèle d'embeddings pour permettre la recherche contextuelle.
Garanties :
- Mistral AI s'engage contractuellement à ne pas réutiliser les données transmises pour l'entraînement de ses modèles.
- Aucune donnée personnelle n'est transmise à des tiers autres que Mistral AI dans le cadre du fonctionnement de l'IA.
- Les résultats de l'IA sont indicatifs et doivent être validés par un professionnel qualifié (cf. CGU Article 7).
9. Notification de violation
En cas de violation de données, l'éditeur s'engage à notifier la CNIL sous 72 heures et les utilisateurs concernés dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
10. Modifications
Cette politique peut être modifiée. Les utilisateurs seront informés par email de tout changement substantiel. La version en vigueur est toujours accessible à cette adresse.