Politique de Confidentialité
aiacto s'engage a proteger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD).
Dernière mise a jour : 6 fevrier 2026
1. Responsable du traitement
Identité et coordonnées du responsable
- Raison sociale
- PIERRE Jeremy (Auto-entreprise)
- Nom commercial
- aiacto
- SIRET
- 878 615 780 00029
- RCS
- 878 615 780 R.C.S. Clermont-Ferrand
- TVA intracommunautaire
- FR04878615780
- Code NAF
- 6201Z - Programmation informatique
- Délégué a la protection des données (DPO)
- PIERRE Jeremy
- Email de contact
- contact@aiacto.eu
Le responsable du traitement détermine les finalités et les moyens du traitement de vos données personnelles. En cas de question concernant la protection de vos données, vous pouvez nous contacter a l'adresse indiquee ci-dessous.
2. Données collectees
Catégories de données personnelles traitees
Dans le cadre de la fourniture de nos services de conformite a l'AI Act, nous collectons et traitons les catégories de données personnelles suivantes :
2.1. Données d'identification
- Nom et prenom
- Adresse email
- Mot de passe (stocke sous forme hashée, jamais en clair)
2.2. Données relatives aux entreprises clientes
Si vous etes un professionnel (agence, consultant, freelance) utilisant aiacto pour gerer la conformite de vos clients :
- Nom de l'entreprise cliente
- Numero SIRET
- Secteur d'activité
- Coordonnées du contact (nom, email, téléphone)
2.3. Données de diagnostic AI Act
Réponses au questionnaire de diagnostic :
- Type de système d'intelligence artificielle
- Cas d'usage et domaine d'application
- Secteur d'activité concerne
- Role dans la chaine de valeur (fournisseur, deployeur, etc.)
- Résultats de classification (niveau de risque, obligations identifiees)
2.4. Données de documentation
Contenu des formulaires pour générer la documentation de conformite :
- Description des systèmes IA
- Processus de développement
- Mesures de gouvernance des données
- Métriques de performance
- Plans de gestion des risques
- Textes générés et modifies par l'utilisateur
2.5. Données techniques
- Adresse IP
- Type et version du navigateur (User-Agent)
- Systeme d'exploitation
- Pages visitees et horodatage des actions
- Logs de connexion et d'événements
2.6. Données de facturation
Ces données sont traitees par notre prestataire de paiement Stripe :
- Informations de facturation (nom, adresse)
- Historique des transactions
- Statut des abonnements
Important : Nous ne stockons JAMAIS vos données de carte bancaire. Celles-ci sont traitees exclusivement par Stripe, certifie PCI-DSS.
3. Finalités du traitement
Pourquoi nous traitons vos données
Vos données personnelles sont collectees et traitees pour les finalités suivantes :
| Finalité | Données concernées |
|---|---|
| Fourniture du service de diagnostic AI Act | Données de diagnostic, données techniques |
| Génération de documents de conformite | Données de documentation, données entreprises clientes |
| Gestion des comptes utilisateurs | Données d'identification |
| Facturation et gestion des paiements | Données de facturation, données d'identification |
| Communication sur le service | Email, préférences de notification |
| Amelioration du service | Données techniques (anonymisées) |
| Sécurité et prevention des fraudes | Données techniques, logs |
4. Base légale du traitement
Fondements juridiques conformément au RGPD
Conformément a l'article 6 du RGPD, le traitement de vos données personnelles repose sur les bases légales suivantes :
Execution du contrat (Art. 6.1.b RGPD)
Le traitement de vos données est nécessaire a l'exécution du contrat auquel vous etes partie, notamment pour la fourniture du service de diagnostic AI Act, la génération de documents de conformite et la gestion de votre compte utilisateur.
Obligations légales (Art. 6.1.c RGPD)
Certains traitements sont effectués pour respecter nos obligations légales, notamment en matière de facturation, de comptabilite et de conservation des documents a des fins fiscales.
Interets legitimes (Art. 6.1.f RGPD)
Le traitement des données techniques (logs, adresse IP) pour assurer la sécurité de notre plateforme et l'amélioration de nos services repose sur notre intérêt legitime, apres mise en balance avec vos droits et intérêts.
Consentement (Art. 6.1.a RGPD)
Pour certains traitements optionnels, comme l'envoi de communications marketing ou l'utilisation de cookies non essentiels, nous recueillons votre consentement préalable. Vous pouvez retirer ce consentement a tout moment.
5. Hébergement et sous-traitants
Infrastructure technique et partenaires
Toutes vos données sont hébergées exclusivement sur des serveurs situés en France et dans l'Union européenne. Aucun transfert de données personnelles n'est effectué hors de l'Espace économique européen (EEE).
Pour assurer le fonctionnement de notre plateforme, nous faisons appel aux sous-traitants suivants, tous situés dans l'Union européenne ou offrant des garanties adéquates :
Hébergement principal
- Fournisseur
- Clever Cloud
- Localisation
- Paris, France
- Données concernées
- Application, base de données PostgreSQL, logs
- Sécurité
- Chiffrement au repos et en transit, certifications ISO
CDN (Content Delivery Network)
- Fournisseur
- Bunny CDN
- Localisation
- Nœuds exclusivement européens
- Données concernées
- Assets statiques uniquement (images, CSS, JavaScript)
Aucune donnée personnelle ne transite par le CDN.
Paiement
- Fournisseur
- Stripe
- Localisation
- Datacenters européens
- Certifications
- PCI-DSS niveau 1 (plus haut niveau de certification)
- Données concernées
- Données de carte bancaire, transactions
Nous ne stockons ni n'avons accès a vos données de carte bancaire. Seul Stripe les traite de manière sécurisée.
Emails transactionnels
- Fournisseur
- Resend
- Données concernées
- Adresse email, contenu des emails transactionnels
- Utilisation
- Magic links, confirmations d'inscription, notifications de service
6. Génération par intelligence artificielle
Utilisation de l'IA pour la génération de documents
Nous utilisons exclusivement Mistral AI, une entreprise française dont les modèles sont développés et opérés en Europe, garantissant la conformite au RGPD.
Fournisseur d'IA
- Fournisseur
- Mistral AI
- Localisation
- Paris, France
- Certifications
- RGPD, AI Act
Données transmises a l'IA
Pour générer vos documents de conformite, nous transmettons a Mistral AI les informations suivantes :
- Vos réponses aux formulaires de documentation
- Les résultats de votre diagnostic AI Act
- Les informations sur le système IA concerne
Garanties de protection
- Pas d'entraînement : Vos données ne sont PAS utilisées pour entrainer les modèles de Mistral AI
- Conservation limitee : Les données ne sont pas conservées par Mistral AI au-dela du traitement de la requete
- Chiffrement : Toutes les communications avec l'API Mistral sont chiffrees (TLS 1.3)
- Accord de traitement : Un Data Processing Agreement (DPA) conforme au RGPD a été conclu avec Mistral AI
7. Transferts de données
Localisation et circulation des données
Aucun transfert hors Union européenne
Conformément a notre engagement de souveraineté numérique, nous garantissons qu'aucune donnée personnelle n'est transferee en dehors de l'Espace économique européen (EEE).
Tous nos sous-traitants et prestataires techniques sont soit :
- Etablis dans l'UE : Clever Cloud (France), Bunny CDN (Slovénie), Mistral AI (France)
- Operant via des infrastructures européennes : Stripe (datacenters européens, certifie Data Privacy Framework)
En cas d'evolution nécessitant un transfert de données hors de l'EEE (ce qui n'est actuellement pas le cas), nous mettrions en place les garanties appropriées conformément aux articles 46 et suivants du RGPD (clauses contractuelles types, décision d'adéquation, etc.) et vous en informerions.
8. Durées de conservation
Combien de temps conservons-nous vos données
Vos données personnelles sont conservées pour une durée limitee, déterminee en fonction de la finalité du traitement et des obligations légales applicables :
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte | Durée du compte + 3 ans | Prescription civile |
| Documents générés | Durée du compte + 5 ans | Obligations légales de conformite AI Act |
| Données de diagnostic | Durée du compte + 3 ans | Historique de conformite |
| Logs techniques | 12 mois | Sécurité et debug |
| Données de facturation | 10 ans | Obligations comptables et fiscales (Code de commerce) |
| Cookies de session | Durée de la session | Fonctionnement du service |
A l'expiration de ces délais, vos données sont supprimées de manière sécurisée ou anonymisées de facon irréversible pour des besoins statistiques.
9. Sécurité des données
Mesures techniques et organisationnelles
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques, conformément a l'article 32 du RGPD :
Chiffrement
- ✓Chiffrement TLS 1.3 pour toutes les communications
- ✓Chiffrement des données au repos (AES-256)
- ✓Mots de passe hashés avec bcrypt
Controle d'accès
- ✓Authentification sécurisée (email/mot de passe ou magic link)
- ✓Sessions sécurisées avec tokens chiffrés
- ✓Principe du moindre privilege
Protection applicative
- ✓Validation stricte des entrées (Zod)
- ✓Protection CSRF et XSS
- ✓Headers de sécurité (CSP, HSTS, X-Frame-Options)
Surveillance
- ✓Rate limiting sur les API sensibles
- ✓Logs d'audit des actions
- ✓Sauvegardes régulières
Procédure en cas de violation de données
En cas de violation de données personnelles, nous notifierons la CNIL dans les 72 heures conformément a l'article 33 du RGPD. Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, vous en serez informé(e) dans les meilleurs délais (article 34 du RGPD).
10. Vos droits
Droits garantis par le RGPD
Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants concernant vos données personnelles :
Droit d'accès (Art. 15 RGPD)
Vous pouvez obtenir confirmation que vos données sont traitees et acceder a l'ensemble de vos données personnelles ainsi qu'aux informations relatives au traitement.
Droit de rectification (Art. 16 RGPD)
Vous pouvez demander la correction de données inexactes ou incomplètes vous concernant.
Droit a l'effacement (Art. 17 RGPD)
Vous pouvez demander la suppression de vos données dans certains cas (données plus nécessaires, retrait du consentement, traitement illicite). Ce droit peut etre limite par nos obligations légales de conservation.
Droit a la limitation du traitement (Art. 18 RGPD)
Vous pouvez demander la limitation du traitement de vos données pendant la vérification de leur exactitude ou en cas d'opposition.
Droit a la portabilite (Art. 20 RGPD)
Vous pouvez recevoir vos données dans un format structure, couramment utilise et lisible par machine, et les transmettre a un autre responsable de traitement.
Droit d'opposition (Art. 21 RGPD)
Vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt legitime, notamment a des fins de prospection commerciale.
Droit de retrait du consentement (Art. 7.3 RGPD)
Pour les traitements fondés sur votre consentement, vous pouvez retirer ce consentement a tout moment sans affecter la licéité du traitement antérieur.
Droit de définir des directives post-mortem
Vous pouvez définir des directives relatives a la conservation, l'effacement et la communication de vos données apres votre décès (Loi Informatique et Libertés, art. 85).
Comment exercer vos droits ?
Vous pouvez exercer vos droits de plusieurs manières :
- •Par email a notre DPO contact@aiacto.eu
- •Via les paramètres de votre compte (export et suppression des données)
Nous répondrons a votre demande dans un délai d'un mois a compter de sa reception. Ce délai peut etre prolonge de deux mois en cas de demandes complexes ou nombreuses.
Reclamation aupres de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous avez le droit d'introduire une réclamation aupres de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL - 3 Place de Fontenoy, TSA 80715 - 75334 Paris Cedex 07
Site web : www.cnil.fr
12. Modifications de la politique
Évolutions et mises a jour
Nous pouvons modifier la presente politique de confidentialité pour refleter les évolutions de nos pratiques ou des exigences légales. En cas de modification substantielle, nous vous en informerons :
- •Par email a l'adresse associee a votre compte
- •Par une notification visible dans l'application
- •Par la mise a jour de la date de dernière modification en haut de ce document
Nous vous encourageons a consulter régulièrement cette page pour rester informé(e) de nos pratiques en matière de protection des données.
13. Contact
Nous contacter pour toute question
Pour toute question relative a la presente politique de confidentialité ou a l'exercice de vos droits, vous pouvez contacter notre Délégué a la Protection des Données :
- DPO
- PIERRE Jeremy
- contact@aiacto.eu
- Site web
- www.aiacto.eu
Nous nous engageons a traiter votre demande dans les meilleurs délais et a vous fournir une réponse claire et complète.