1. Responsable de traitement
| Élément | Détail |
|---|---|
| Dénomination | SIA — Secure & Intelligent Anonymization |
| Adresse | Voir mentions légales |
| Email de contact | dpo@sia-secure.fr |
| Délégué à la protection des données (DPO) | Contact : dpo@sia-secure.fr |
2. Données personnelles collectées
2.1. Données que vous fournissez
- Compte utilisateur : adresse email, mot de passe (stocké sous forme de hash Argon2id, jamais en clair)
- Préférences : nom d'affichage, préférence de tutoiement/vouvoiement, paramètres d'interface
- Contenus soumis : textes, documents (PDF, DOCX) pour pseudonymisation et traitement IA
2.2. Données collectées automatiquement
- Journaux de sécurité : adresse IP anonymisée (hachée SHA-256 + tronquée /24), horodatage des connexions, actions effectuées
- Métriques d'usage (avec votre consentement) : pages visitées, endpoints API utilisés, métriques de performance
2.3. Données que SIA ne stocke PAS
- Vos textes originaux (non pseudonymisés) ne sont jamais stockés de manière persistante
- Vos mots de passe ne sont jamais stockés en clair (hash Argon2id + pepper serveur)
- Vos adresses IP réelles ne sont jamais stockées (uniquement le hash et la version tronquée)
3. Finalités et bases légales des traitements
| Finalité | Base légale | Détail |
|---|---|---|
| Gestion de votre compte | Exécution contractuelle (Art. 6.1.b) | Création de compte, authentification, gestion des accès |
| Chat IA sécurisé | Exécution contractuelle (Art. 6.1.b) | Pseudonymisation de vos textes, envoi au modèle IA, affichage de la réponse |
| Base de connaissances (RAG) | Exécution contractuelle (Art. 6.1.b) | Indexation de vos documents pseudonymisés pour la recherche sémantique |
| Preuves cryptographiques (PoPR) | Intérêt légitime (Art. 6.1.f) | Garantie de traçabilité et de conformité des opérations de pseudonymisation |
| Journalisation de sécurité | Intérêt légitime (Art. 6.1.f) | Détection d'intrusions, audit de sécurité, protection du système |
| Métriques d'usage (beta) | Consentement (Art. 6.1.a) | Amélioration du produit — uniquement avec votre accord explicite |
4. Destinataires de vos données
4.1. Sous-traitants
| Sous-traitant | Pays | Rôle | Données reçues |
|---|---|---|---|
| OpenAI | États-Unis | Fournisseur de modèle IA (GPT) | Texte pseudonymisé uniquement (tokens {{TYPE_xxxx}}). Aucune donnée personnelle réelle. |
| Google (Gemini) | États-Unis | Fournisseur de modèle IA | Texte pseudonymisé uniquement. Aucune donnée personnelle réelle. |
| Hébergeur VPS | Union Européenne | Hébergement de l'infrastructure | Données chiffrées sur le serveur |
4.2. Protection lors des transferts hors UE
Lorsque SIA communique avec des fournisseurs d'IA basés aux États-Unis (OpenAI, Google), vos données personnelles sont systématiquement pseudonymisées avant tout transfert. Le processus en 3 passes remplace toutes les informations identifiantes par des tokens (ex : {{NOM_a7b2}}). Le mapping de correspondance reste exclusivement sur le serveur français, chiffré avec AES-256. Sans ce mapping, les tokens transmis sont inintelligibles.
Vous pouvez également opter pour un traitement 100% local via Ollama, éliminant tout transfert hors UE.
5. Durées de conservation
| Donnée | Durée | Justification |
|---|---|---|
| Compte utilisateur | Durée de la relation contractuelle + 3 ans | Prescription commerciale |
| Conversations de chat (sans projet) | 30 jours | Suppression automatique |
| Conversations de chat (avec projet) | Durée du projet | Conservées tant que le projet existe |
| Mappings de pseudonymisation | 5 minutes (300 secondes) | TTL en mémoire, suppression automatique |
| Base de connaissances | Jusqu'à suppression par l'utilisateur | Contrôle utilisateur |
| Preuves PoPR | 75 ans | Conservation légale des preuves cryptographiques |
| Journaux de sécurité | 12 mois | Recommandation CNIL |
| Métriques d'usage (beta) | 12 mois | Amélioration produit |
6. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de toutes vos données personnelles | Page Paramètres > « Exporter mes données » ou email à dpo@sia-secure.fr |
| Rectification (Art. 16) | Corriger vos données inexactes | Page Paramètres > modification du profil |
| Effacement (Art. 17) | Supprimer votre compte et toutes les données associées | Page Paramètres > « Supprimer mon compte » ou email à dpo@sia-secure.fr |
| Portabilité (Art. 20) | Recevoir vos données dans un format structuré (JSON) | Page Paramètres > « Exporter mes données » |
| Opposition (Art. 21) | S'opposer au traitement de vos données | Email à dpo@sia-secure.fr |
| Limitation (Art. 18) | Suspendre le traitement de vos données | Email à dpo@sia-secure.fr |
| Retrait du consentement (Art. 7.3) | Retirer votre consentement au suivi d'activité | Page Paramètres > gestion du consentement |
Nous nous engageons à répondre à toute demande dans un délai de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.
7. Mesures de sécurité
SIA met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Pseudonymisation automatique en 3 passes avant tout traitement IA
- Chiffrement des mots de passe avec Argon2id (OWASP 2023) + pepper serveur
- Chiffrement des mappings avec Fernet / AES-256-GCM
- Anonymisation des adresses IP : hash SHA-256 + salt + troncature réseau
- Protection CSRF et rate limiting contre les attaques
- Sessions sécurisées : HttpOnly, SameSite, durée limitée
- Registre de preuves cryptographiques (PoPR) : arbres de Merkle + signatures Ed25519
8. Cookies et stockage local
SIA utilise principalement le localStorage de votre navigateur (et non des cookies tiers) pour stocker vos préférences d'interface (thème, paramètres d'affichage). Ces données restent localement sur votre appareil et ne sont jamais transmises à des tiers.
Un cookie de session technique (HttpOnly, SameSite) est utilisé pour maintenir votre connexion authentifiée. Ce cookie est strictement nécessaire au fonctionnement du service.
9. Intelligence artificielle et décisions automatisées
SIA utilise des modèles d'intelligence artificielle (LLM) pour générer des réponses textuelles. Ces réponses sont des suggestions, pas des décisions automatisées au sens de l'article 22 du RGPD.
Aucune décision ayant un effet juridique ou significatif sur vous n'est prise de manière automatisée par SIA. Vous conservez en permanence le contrôle et la décision finale.
Pour en savoir plus sur notre utilisation de l'IA, consultez notre page Transparence IA.
10. Modifications de cette politique
Cette politique peut être mise à jour pour refléter les évolutions réglementaires ou les changements de nos pratiques. En cas de modification substantielle, vous serez informé(e) par email ou via une notification dans l'application.
La date de dernière mise à jour est indiquée en haut de cette page.