Informations RGPD

Dernière mise à jour : 01/09/2025

1) Registre des traitements (synthèse)

Finalités : gestion des comptes et organisations, fourniture du Service (enregistrement audio, transcription, génération de comptes-rendus et tâches), amélioration du produit, support client, facturation et sécurité. Prospection uniquement en opt-in. Base légale principale : exécution du contrat (art. 6-1-b RGPD) ; intérêts légitimes / obligation légale selon cas.

2) Sous-traitants (art. 28 RGPD)

Nos prestataires traitent des données pour notre compte sur instructions documentées, avec clauses conformes (DPA) et mesures de sécurité adaptées.

• Hébergement applicatif : Render — région EU (si disponible). Rôle : exécution de l’application web, base PostgreSQL managée. Transferts possibles hors UE via sous-traitants ; garanties : contrats et mesures de sécurité (TLS, isolement). DPA disponible auprès de Render.
• Stockage fichiers : Wasabi (S3-compatible) — région EU-Central (Frankfurt). Rôle : conservation durable des médias (ex. audios). Données hébergées dans l’UE ; chiffrement côté serveur activé. DPA et engagements de sécurité fournis par Wasabi.
• IA / Transcription & Synthèse : OpenAI — centres de données hors UE possibles. Rôle : conversion voix→texte et génération de synthèses/action items. Base juridique : exécution du contrat. Transferts : Clauses Contractuelles Types (SCC) et mesures complémentaires (pseudonymisation, chiffrage en transit).
• Email transactionnel / support — (ex. Mailjet/Sender/Sendgrid, UE ou équivalent) selon paramétrage. Rôle : envoi d’emails (création de compte, réinitialisation, notifications).
• Analytics — solution respectueuse de la vie privée (ex. Plausible/Matomo) sans cookies ou avec consentement si cookies marketing.

3) Transferts hors UE

Lorsque des traitements nécessitent un transfert vers un pays tiers (ex. traitements IA OpenAI), nous recourons aux Clauses Contractuelles Types (SCC) et à des mesures complémentaires (minimisation des données, chiffrage en transit, restrictions d’accès). Des informations détaillées sont disponibles sur demande.

4) Violations de données

• Notification à la CNIL sous 72 h lorsque requis (art. 33 RGPD).
• Information des personnes concernées en cas de risque élevé (art. 34 RGPD).
• Journal interne des incidents et actions correctives.

5) Conservation & sécurité

• Durées de conservation définies dans la Politique de confidentialité. Purge/archivage périodiques.
• Chiffrement des flux (TLS) ; chiffrement au repos côté stockage S3 (Wasabi) ; sauvegardes chiffrées.
• Contrôle d’accès strict, séparation des environnements, authentification renforcée, journalisation.
• Minimisation : seules les données nécessaires aux fonctionnalités sont traitées.

6) Droits des personnes

Droits : accès, rectification, effacement, limitation, opposition, portabilité. Contact : dpo@crfacile.com. Délai de réponse : 30 jours (prorogeable en cas de complexité). Une vérification d’identité peut être demandée.

7) Cookies & consentement

Bandeau de consentement à la première visite. Les cookies strictement nécessaires restent actifs. Les cookies de mesure d’audience/marketing sont optionnels et soumis à consentement (paramétrable via « Gérer mes cookies » en pied de page).

8) Contrats & DPA

Un Data Processing Addendum (DPA) peut être fourni aux clients professionnels, détaillant sous-traitance, sécurité, confidentialité, assistance à la conformité et conditions de transfert.

9) Contact DPO

DPO : dpo@crfacile.com — Adresse : [Adresse DPO].