Politique de confidentialité

01Responsable de traitement

Dénomination : RISQAI
Adresse : 39, rue Louis Blanc 92400 - Courbevoie
Email : dpo@risqai.fr
DPO : Délégué à la Protection des Données joignable à dpo@risqai.fr

02Données collectées

🔐 Données de compte

Nom, prénom (optionnels à l'inscription)
Adresse email professionnelle
Mot de passe (stocké sous forme de hash, jamais en clair)
Nom de l'entreprise, secteur d'activité, taille, ville, SIRET (optionnel)
Nom et email du responsable IA désigné (optionnel)

📊 Données d'usage du service

Réponses au questionnaire RISQAI (informations sur vos pratiques IA)
Score de risque IA et résultats des diagnostics
Outils IA recensés dans votre registre
Documents générés et téléchargés
Actions et checklist complétées
Historique des conversations avec le copilote IA

📡 Données techniques

Adresse IP (collectée automatiquement, utilisée pour la sécurité)
Type de navigateur et système d'exploitation
Pages visitées et durée des sessions
Logs de connexion et d'accès

💳 Données de paiement

Les données bancaires (numéro de carte, CVV) sont traitées directement et exclusivement par Stripe Inc., certifié PCI-DSS. RISQAI ne stocke aucune donnée bancaire. Seules les informations de facturation (montant, date, statut) sont conservées.

03Finalités et bases légales

Finalité	Base légale (RGPD)
Fourniture du service et exécution des diagnostics	Exécution du contrat (Art. 6.1.b)
Gestion du compte utilisateur	Exécution du contrat (Art. 6.1.b)
Génération des documents de conformité	Exécution du contrat (Art. 6.1.b)
Facturation et comptabilité	Obligation légale (Art. 6.1.c)
Sécurité et prévention de la fraude	Intérêt légitime (Art. 6.1.f)
Amélioration du service (données anonymisées)	Intérêt légitime (Art. 6.1.f)
Envoi d'alertes réglementaires	Exécution du contrat (Art. 6.1.b)
Newsletter et communications marketing	Consentement (Art. 6.1.a)
Réponse aux demandes d'exercice des droits	Obligation légale (Art. 6.1.c)

04Usage de l'intelligence artificielle

RISQAI utilise l'API Claude d'Anthropic pour générer les documents de conformité et alimenter le copilote IA. Cette section explique précisément comment vos données sont utilisées dans ce contexte.

Ce qui est transmis à l'API Anthropic

Les résultats de votre diagnostic RISQAI (score, niveau de risque, dimensions)
Le nom de votre entreprise et votre secteur d'activité
La liste des outils IA de votre registre (noms d'outils, pas de données personnelles)
Vos messages dans le copilote IA

Ce qui n'est jamais transmis à l'API

Vos données personnelles identifiantes (email, SIRET, adresse)
Vos données bancaires
Les données personnelles de vos clients ou salariés

Entraînement des modèles IA

Par défaut, Anthropic n'utilise pas les données soumises via l'API pour entraîner ses modèles. RISQAI a configuré son intégration API conformément à cette politique. Vos données ne servent pas à améliorer les modèles d'Anthropic.

05Destinataires des données

Sous-traitant	Rôle	Pays	Garanties RGPD
O2Switch	Hébergement web	🇫🇷 France	Hébergeur européen — RGPD natif
Supabase Inc.	Base de données, authentification	🇩🇪 Allemagne (AWS)	DPA disponible — région EU
Anthropic PBC	Génération IA (API)	🇺🇸 États-Unis	Cadre EU-US Data Privacy Framework — DPA disponible
Stripe Inc.	Traitement des paiements	🇺🇸 États-Unis	Certifié PCI-DSS — Cadre EU-US DPF

Aucune autre transmission de données à des tiers n'est effectuée. RISQAI ne vend pas les données de ses utilisateurs et n'autorise aucune utilisation publicitaire des données personnelles.

06Durées de conservation

Type de données	Durée de conservation	Justification
Données de compte	Durée du compte + 12 mois	Exécution du contrat
Diagnostics et résultats	Durée du compte + 12 mois	Continuité du service
Documents générés	Durée du compte + 12 mois	Continuité du service
Données de facturation	10 ans	Obligation légale (Code de commerce)
Logs de connexion	12 mois	Sécurité (ANSSI)
Données de navigation	13 mois maximum	Recommandation CNIL
Conversations copilote IA	Durée du compte	Continuité du service

À l'issue de ces délais, les données sont supprimées définitivement ou anonymisées de façon irréversible.

07Vos droits RGPD

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

📂 Droit d'accès (Art. 15)

Obtenir une copie de toutes vos données personnelles traitées par RISQAI, ainsi que des informations sur les finalités et destinataires.

✏️ Droit de rectification (Art. 16)

Corriger des données inexactes ou incomplètes vous concernant, directement depuis votre espace client ou sur demande.

🗑️ Droit à l'effacement (Art. 17)

Demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation (données de facturation notamment).

📦 Droit à la portabilité (Art. 20)

Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), afin de les transférer vers un autre service.

🚫 Droit d'opposition (Art. 21)

Vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale ou fondé sur l'intérêt légitime.

⏸️ Droit à la limitation (Art. 18)

Demander la suspension du traitement de vos données dans certaines circonstances, notamment en cas de contestation de leur exactitude.

Pour exercer vos droits, contactez notre DPO :

Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande. En cas de demande complexe, ce délai peut être prolongé de deux mois supplémentaires avec notification.

En cas de réponse insatisfaisante, vous pouvez déposer une réclamation auprès de la CNIL : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris.

08Cookies

🍪 Cookies strictement nécessaires

RISQAI utilise uniquement des cookies strictement nécessaires au fonctionnement du service : gestion de session, authentification, préférences de l'interface. Ces cookies ne peuvent pas être désactivés sans altérer le fonctionnement du service.

📊 Pas de cookies publicitaires ni de tracking

RISQAI n'utilise aucun cookie publicitaire, de tracking ou de profilage. Aucune régie publicitaire n'a accès à vos données de navigation sur risqai.fr. Aucun pixel de tracking tiers n'est installé sur la plateforme.

📦 Stockage local

La plateforme utilise le localStorage de votre navigateur pour stocker votre token d'authentification et vos préférences d'interface. Ces données restent sur votre appareil et ne sont pas transmises à des tiers.

09Sécurité des données

RISQAI met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.3 (HTTPS).
Chiffrement au repos : les données stockées dans notre base de données sont chiffrées au repos.
Mots de passe : hashés avec bcrypt (jamais stockés en clair).
Authentification : tokens JWT avec expiration courte et renouvellement sécurisé.
Accès limité : principe du moindre privilège appliqué à tous les accès aux données.
Isolation : Row Level Security (RLS) Supabase — chaque entreprise ne peut accéder qu'à ses propres données.
Surveillance : logs de connexion et alertes de sécurité en temps réel.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, RISQAI s'engage à notifier la CNIL dans les 72 heures et à vous informer sans délai injustifié.

10Contact et réclamation

Pour toute question relative à vos données personnelles

DPO RISQAI : dpo@risqai.fr
Contact général : contact@risqai.fr
Courrier : RISQAI — À l'attention du DPO — [Adresse à compléter]

Autorité de contrôle

Vous avez le droit de déposer une réclamation auprès de l'autorité de contrôle compétente :

CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr — Tél. : 01 53 73 22 22

La présente politique de confidentialité peut être mise à jour à tout moment. La date de la dernière modification est indiquée en en-tête. En cas de modification substantielle, les utilisateurs enregistrés seront informés par email.