Document légal · RGPD + EU AI Act

Politique de Confidentialité

Dernière mise à jour : 7 avril 2026 · Applicable conformément au RGPD (UE 2016/679) et à l'EU AI Act (UE 2024/1689)

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via la plateforme Sophra est :

[ Raison sociale — À COMPLÉTER ]
[ Adresse complète — À COMPLÉTER ]
E-mail : [ Email contact — À COMPLÉTER ]
Délégué à la Protection des Données (DPO) : [ Email DPO — À COMPLÉTER ]

2. Données collectées

Sophra collecte et traite les catégories de données suivantes :

2.1 Données de compte et d'identification

  • Adresse e-mail (identifiant principal)
  • Nom et prénom
  • Nom de la société ou de l'organisation
  • Plan d'abonnement souscrit et historique de facturation

2.2 Données d'utilisation des agents IA

Dans le cadre de la fourniture du service de monitoring wellness, Sophra traite les données suivantes relatives aux agents IA monitorés :

  • Métriques vitals — Latence de réponse, taux d'erreur, charge cognitive estimée, cohérence des sorties, scores de qualité
  • Prescriptions phytothérapeutiques — Interventions automatisées déclenchées (type, horodatage, résultat)
  • Scores de burnout et de conflit — Indicateurs de détresse algorithmique calculés par les modules Sophra
  • Résultats Data Trauma Audit — Biais détectés, profils de données problématiques, recommandations d'assainissement
  • Identifiants des agents — Noms ou identifiants assignés par l'utilisateur à ses agents IA

2.3 Logs API et données techniques

  • Adresses IP des requêtes entrantes
  • Horodatages des appels API
  • Clés API utilisées (identifiants anonymisés)
  • Codes de réponse HTTP, temps de traitement
  • User-agent des clients API

⚠️ Données sensibles au titre de l'EU AI Act — Les données de monitoring des agents IA peuvent constituer des données de traçabilité au sens de l'EU AI Act (Art. 12). Ces données sont conservées 10 ans pour les audits de conformité. L'utilisateur est responsable de s'assurer que les agents IA qu'il fait monitorer sont conformes à ses propres obligations réglementaires.

3. Finalités et bases légales

Finalité Base légale RGPD Détail
Fourniture du service de monitoring Art. 6.1.b — Exécution du contrat Traitement nécessaire à l'exécution de l'abonnement souscrit
Gestion de la facturation et des paiements Art. 6.1.b — Exécution du contrat Facturation mensuelle, gestion des renouvellements via Stripe
Conservation de l'audit trail (10 ans) Art. 6.1.c — Obligation légale Conformité EU AI Act Art. 12 — traçabilité des systèmes d'IA
Sécurité de la plateforme et lutte contre les abus Art. 6.1.f — Intérêt légitime Détection des activités frauduleuses, protection de l'infrastructure
Amélioration du service et R&D Art. 6.1.f — Intérêt légitime Analyses agrégées et anonymisées pour améliorer les algorithmes de détection
Communications transactionnelles Art. 6.1.b — Exécution du contrat Alertes de service, notifications d'incidents, confirmations de paiement
Communications commerciales Art. 6.1.a — Consentement Newsletter, nouvelles fonctionnalités (opt-in requis)

4. Sous-traitants et destinataires des données

Sophra fait appel aux sous-traitants suivants, avec lesquels des contrats de traitement de données (DPA) conformes au RGPD ont été conclus :

Sous-traitant Rôle Localisation Données transmises
Render Services, Inc. Hébergement applicatif USA (San Francisco) Toutes les données applicatives (hébergeur)
Neon, Inc. Base de données PostgreSQL USA (AWS us-east-1) Toutes les données stockées en base
Cloudflare, Inc. CDN et stockage R2 Réseau mondial Médias, assets statiques, logs CDN
Stripe, Inc. Traitement des paiements USA (San Francisco) E-mail, plan, montant, historique paiements

Aucune de vos données n'est vendue à des tiers. Aucun partage avec des réseaux publicitaires n'est effectué.

5. Transferts de données hors Union Européenne

Les prestataires Render, Neon et Stripe sont établis aux États-Unis. Les transferts de données vers ces prestataires sont encadrés par les mécanismes suivants :

  • Clauses Contractuelles Types (CCT/SCC) — Conformément à la Décision d'exécution (UE) 2021/914 de la Commission européenne, des CCT sont incluses dans les contrats de sous-traitance (DPA) conclus avec ces prestataires.
  • Data Privacy Framework (DPF) — Render, Neon et Stripe participent au Data Privacy Framework UE-États-Unis, reconnu par la Commission européenne comme offrant un niveau de protection adéquat (Décision 2023/1795).

📋 Vous pouvez consulter les DPA des sous-traitants directement sur leurs sites : Render · Neon · Stripe · Cloudflare

6. Durée de conservation des données

Catégorie de données Durée de conservation Justification
Données vitals (métriques temps réel) 90 jours Débogage, monitoring opérationnel — suppression automatique au-delà
Audit trail (journaux d'interventions) 10 ans Obligation légale EU AI Act Art. 12 — traçabilité des systèmes d'IA
Données de compte Durée de l'abonnement + 3 ans Obligations comptables et légales post-résiliation
Logs API techniques 90 jours Sécurité, débogage — suppression automatique au-delà
Données de facturation 10 ans Obligations fiscales et comptables (Code de commerce français)
Token d'authentification 7 jours ou déconnexion Sécurité de session — révocation automatique

7. Vos droits

Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants concernant vos données personnelles :

🔍 Droit d'accès

Obtenir une copie de toutes vos données personnelles traitées par Sophra (Art. 15).

✏️ Droit de rectification

Corriger des données inexactes ou incomplètes vous concernant (Art. 16).

🗑️ Droit à l'effacement

Demander la suppression de vos données (Art. 17), sous réserve des obligations légales de conservation.

📦 Droit à la portabilité

Recevoir vos données dans un format structuré et lisible par machine (Art. 20).

⛔ Droit d'opposition

Vous opposer au traitement fondé sur l'intérêt légitime (Art. 21).

🔒 Droit à la limitation

Demander la suspension temporaire du traitement de vos données (Art. 18).

Pour exercer l'un de ces droits, envoyez votre demande à : [ Email DPO — À COMPLÉTER ]

Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande (délai extensible à 3 mois pour les demandes complexes, avec notification).

Vous disposez également du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. Pour la France : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07.

8. Cookies et traceurs

Sophra adopte une approche privacy-first minimaliste :

Ce que nous utilisons (localStorage uniquement)

  • sophra_token — Token JWT d'authentification de session (durée : 7 jours, non transmis à des tiers)
  • Préférences d'interface — Langue sélectionnée, éventuels paramètres d'affichage (durée : indéfinie jusqu'à effacement manuel)

Ce que nous n'utilisons PAS

  • ❌ Aucun cookie de tracking publicitaire (Google Ads, Meta Pixel actif, etc.)
  • ❌ Aucun outil d'analytics tiers (Google Analytics, Mixpanel, Hotjar…)
  • ❌ Aucun cookie de fingerprinting
  • ❌ Aucun partage de données comportementales avec des réseaux publicitaires

Le localStorage n'est pas un cookie au sens strict — il ne transite pas dans les requêtes HTTP et n'est pas accessible par des scripts tiers. Il ne nécessite pas de bandeau de consentement cookies selon les lignes directrices de la CNIL.

9. Sécurité des données

Sophra met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement des données en transit via TLS 1.3
  • Chiffrement des données au repos dans la base de données (Neon PostgreSQL)
  • Authentification par JWT avec expiration automatique (7 jours)
  • Clés API hachées et non récupérables en clair après création
  • Headers de sécurité HTTP (HSTS, CSP, X-Frame-Options, etc.)
  • Limitation de débit (rate limiting) sur tous les endpoints API
  • Logs d'accès conservés pour détection des intrusions
  • Contrôle d'accès strict aux infrastructures (principe du moindre privilège)

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous en informer dans les 72 heures suivant sa détection, conformément à l'Article 33 du RGPD.

10. Conformité EU AI Act

Sophra opère en tant que prestataire de services de monitoring pour des opérateurs de systèmes d'IA, dans le cadre défini par le Règlement (UE) 2024/1689 sur l'Intelligence Artificielle (EU AI Act).

À ce titre :

  • Sophra conserve un audit trail de 10 ans pour les interventions sur les agents IA, conformément à l'Article 12 de l'EU AI Act relatif à la traçabilité
  • Les données de monitoring collectées ne sont utilisées que dans le cadre des finalités déclarées à la Section 3 de la présente politique
  • Sophra n'utilise pas les données de monitoring de vos agents IA pour entraîner ses propres modèles d'IA sans votre consentement explicite
  • L'utilisateur reste responsable de la classification de ses systèmes d'IA (risque minimal, limité, élevé, inacceptable) et de ses propres obligations réglementaires au titre de l'EU AI Act

11. Modifications de la politique

La présente politique peut être modifiée pour refléter des évolutions légales, réglementaires ou de nos pratiques. En cas de modification substantielle, une notification par e-mail sera adressée aux utilisateurs au moins 30 jours avant l'entrée en vigueur.

La version en vigueur est toujours disponible à l'adresse : https://www.sophra.me/politique-confidentialite.html

12. Contact

Pour toute question relative à la présente politique ou à l'exercice de vos droits :

  • E-mail DPO : [ Email DPO — À COMPLÉTER ]
  • Adresse postale : [ Raison sociale — À COMPLÉTER ], [ Adresse complète — À COMPLÉTER ]