Politique de confidentialité

Version 1.0 · Dernière mise à jour : 14 mai 2026

Cette traduction est fournie à titre de commodité. La version faisant foi du présent contrat et le droit applicable sont ceux indiqués dans le document ; en cas de divergence entre les versions linguistiques, les conditions telles que conclues avec l’opérateur prévalent.

La présente politique décrit la manière dont EU AI Comply traite les données à caractère personnel des utilisateurs de la plateforme euaicomply.eu, conformément au règlement (UE) 2016/679 (RGPD) et à la législation roumaine applicable.

1. Identité du responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via la Plateforme est PFA Marian Matinca, entreprise individuelle autorisée immatriculée en Roumanie, opérant sous la marque EU AI Comply. Les paiements et la facturation sont traités par Paddle (Merchant of Record). Pour toute question relative au traitement de vos données, vous pouvez nous contacter à :

2. Catégories de données à caractère personnel collectées

a) Données que vous fournissez directement :

  • Données d’identification : prénom, nom, adresse e-mail professionnelle
  • Données organisationnelles : nom de l’entreprise, secteur, pays, numéro de TVA (facultatif)
  • Données de contact : numéro de téléphone (facultatif), personne de contact
  • Contenu généré : messages envoyés via le formulaire de contact
  • Documents téléversés dans le Document Vault (manuels techniques, rapports FRIA, analyses d’impact (AIPD), etc.) — ceux-ci peuvent contenir des données à caractère personnel si l’utilisateur choisit de les y inclure

b) Données collectées automatiquement :

  • Données techniques : adresse IP, type de navigateur, système d’exploitation, résolution d’écran
  • Données de navigation : pages consultées, durée de session, actions effectuées dans la Plateforme
  • Cookies fonctionnels et de session (détails dans la Politique de cookies)
  • Journaux d’accès à des fins de sécurité et de diagnostic

EU AI Comply ne collecte ni ne traite de catégories particulières de données à caractère personnel au sens de l’art. 9 du RGPD (données de santé, origine raciale ou ethnique, opinions politiques, convictions religieuses, données biométriques, etc.).

3. Finalités du traitement et base juridique

Finalité Description Base juridique
Fourniture du Service Création et gestion du compte, authentification, accès aux fonctionnalités de la Plateforme. Exécution du contrat (art. 6(1)(b) du RGPD)
Facturation et gestion des abonnements Transmission des données nécessaires au processeur de paiement Paddle (Merchant of Record) pour l’activation et le renouvellement de l’abonnement. Exécution du contrat (art. 6(1)(b) du RGPD)
Sécurité et prévention de la fraude Détection des accès non autorisés, surveillance des activités suspectes, protection des données des Clients. Intérêt légitime du responsable du traitement (art. 6(1)(f) du RGPD)
Support technique Réponse aux demandes de support, diagnostic des problèmes techniques. Exécution du contrat / intérêt légitime (art. 6(1)(b) et (f) du RGPD)
Communications produit Notifications concernant les mises à jour législatives, les nouvelles fonctionnalités, les échéances de conformité. Intérêt légitime (art. 6(1)(f) du RGPD) — avec droit d’opposition
Amélioration de la Plateforme Analyse anonymisée des comportements d’utilisation pour le développement de nouvelles fonctionnalités. Intérêt légitime (art. 6(1)(f) du RGPD)
Conformité légale Respect des obligations légales applicables (fiscalité, archivage, réponse aux demandes des autorités). Obligation légale (art. 6(1)(c) du RGPD)
Marketing (facultatif) Envoi de newsletters ou de communications commerciales, exclusivement avec votre consentement explicite. Consentement (art. 6(1)(a) du RGPD) — retirable à tout moment

4. Destinataires et transferts de données

EU AI Comply ne vend pas de données à caractère personnel à des tiers. Les données peuvent être partagées exclusivement dans les situations suivantes :

Destinataire Rôle Localisation Garanties
Paddle.com Inc. / Paddle Payments Ltd. Processeur de paiement et Merchant of Record. Reçoit les données de facturation nécessaires à l’activation de l’abonnement. Paddle agit en qualité de responsable du traitement indépendant pour les données de paiement. États-Unis / UE Clauses contractuelles types (CCT), conformité DPF
Fournisseurs d’infrastructure cloud (Hetzner) Hébergement de serveurs dans l’UE — base de données PostgreSQL, stockage de fichiers MinIO, Redis. Allemagne (UE) Art. 28 du RGPD — accord de traitement des données
Services de supervision (Sentry) Capture des erreurs techniques à des fins de diagnostic. Les données sont pseudonymisées avant transmission. UE Art. 28 du RGPD — accord de traitement des données
Autorités publiques Lorsqu’une obligation légale expresse ou une décision de justice l’exige. Roumanie / UE Art. 6(1)(c) du RGPD — obligation légale

Les transferts de données en dehors de l’Espace économique européen (EEE) sont effectués exclusivement avec des garanties appropriées au titre du chapitre V du RGPD (clauses contractuelles types adoptées par la Commission européenne ou cadre de protection des données UE–États-Unis, Data Privacy Framework).

5. Durée de conservation des données

  • Données du compte actif Pendant la durée de l’abonnement actif + 30 jours après la résiliation (fenêtre d’export)
  • Données du compte après résiliation Supprimées de manière irréversible 30 jours après la date effective de résiliation, à l’exception des données requises au titre d’obligations légales
  • Données de facturation 10 ans à compter de la date du document fiscal, conformément à la loi comptable roumaine n° 82/1991
  • Journaux de sécurité 12 mois maximum, après quoi ils sont anonymisés ou supprimés
  • Messages de contact / support 3 ans à compter de la dernière interaction, pour la traçabilité de la relation contractuelle
  • Consentements marketing Pendant la durée du consentement actif + 3 ans pour la traçabilité de la conformité
  • Données anonymisées (analytique produit) Indéfinie — elles ne constituent plus des données à caractère personnel

6. Vos droits en tant que personne concernée

Conformément au RGPD, vous disposez des droits suivants concernant vos données à caractère personnel :

  • Droit d’accès (art. 15)
    Vous pouvez demander une copie des données à caractère personnel que nous détenons à votre sujet, y compris des informations sur la manière dont nous les traitons.
  • Droit de rectification (art. 16)
    Vous pouvez demander la correction des données inexactes ou le complément des données incomplètes.
  • Droit à l’effacement (« droit à l’oubli ») (art. 17)
    Vous pouvez demander la suppression de vos données lorsqu’il n’existe plus de base juridique pour leur traitement. Ce droit ne s’applique pas aux données que nous sommes légalement tenus de conserver.
  • Droit à la limitation du traitement (art. 18)
    Vous pouvez demander la suspension temporaire du traitement de vos données dans les situations prévues par le RGPD.
  • Droit à la portabilité des données (art. 20)
    Vous pouvez recevoir les données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON), en vue de leur transfert à un autre responsable du traitement.
  • Droit d’opposition (art. 21)
    Vous pouvez vous opposer aux traitements fondés sur l’intérêt légitime du responsable du traitement, y compris l’utilisation des données à des fins de marketing direct.
  • Droit de retirer votre consentement (art. 7(3))
    Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment, sans affecter la licéité des traitements antérieurs.
  • Droit de ne pas faire l’objet d’une décision automatisée (art. 22)
    Nous n’utilisons pas de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques significatifs.

Pour exercer l’un de ces droits, envoyez une demande écrite à [email protected]. Nous répondons dans un délai maximal de 30 jours calendaires (ce délai peut être prolongé de 60 jours dans les cas complexes, avec notification préalable). L’exercice de vos droits est gratuit, sauf en cas de demandes manifestement infondées ou excessives.

7. Rôle de sous-traitant pour les clients B2B

Lorsque des Clients (personnes morales) utilisent la Plateforme et y saisissent des données à caractère personnel de leurs propres salariés, collaborateurs ou de personnes affectées par les systèmes d’IA qui y sont gérés, EU AI Comply agit en qualité de sous-traitant au sens de l’art. 28 du RGPD, et le Client est le responsable du traitement.

À ce titre, EU AI Comply : (a) traite les données uniquement conformément aux instructions documentées du Client ; (b) met en œuvre des mesures de sécurité techniques et organisationnelles appropriées ; (c) n’engage pas de sous-traitants ultérieurs sans le consentement du Client ; (d) assiste le Client dans l’exécution de ses obligations envers les personnes concernées ; (e) supprime ou restitue les données à l’issue des services.

Un accord de traitement des données (DPA) conforme à l’art. 28 du RGPD est disponible sur demande ([email protected]) ou inclus dans le plan Enterprise. Les Clients qui traitent des données à caractère personnel via la Plateforme sont tenus de conclure un DPA avec EU AI Comply.

8. Sécurité des données

EU AI Comply met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre l’accès non autorisé, la perte, la destruction accidentelle ou la divulgation, notamment :

  • Chiffrement en transit : TLS 1.3 pour toutes les connexions à la Plateforme
  • Chiffrement au repos : données stockées sur des serveurs Hetzner en Allemagne (ISO 27001)
  • Isolation multi-tenant : isolation stricte des données par entreprise, appliquée au niveau applicatif — aucun tenant ne peut accéder aux données d’un autre tenant
  • Authentification à deux facteurs (TOTP) disponible et recommandée pour tous les utilisateurs
  • Journalisation complète des accès et des actions (piste d’audit immuable)
  • Analyse antivirus des fichiers téléversés (ClamAV)
  • Accès privilégié du personnel EU AI Comply : minimum nécessaire, selon le principe du besoin d’en connaître
  • Tests de sécurité périodiques et revue des configurations

En cas d’incident de sécurité affectant des données à caractère personnel, EU AI Comply notifie l’Autorité nationale de surveillance du traitement des données à caractère personnel (ANSPDCP) dans les 72 heures suivant la prise de connaissance (art. 33 du RGPD) et informe les personnes concernées lorsqu’il existe des risques élevés (art. 34 du RGPD).

9. Cookies et technologies similaires

La Plateforme utilise des cookies strictement nécessaires à son fonctionnement (session, sécurité CSRF, préférences de langue) et n’utilise pas de cookies de suivi ou publicitaires. Les détails complets sont disponibles dans la Politique de cookies à l’adresse euaicomply.eu/cookies.

10. Modifications de la présente politique

EU AI Comply peut mettre à jour la présente politique pour refléter l’évolution des pratiques de traitement des données, de la législation applicable ou de la Plateforme. La version mise à jour sera publiée sur cette page avec la date de révision. Si les modifications sont significatives, nous informerons les utilisateurs inscrits par e-mail au moins 14 jours avant leur entrée en vigueur. La poursuite de l’utilisation de la Plateforme après la date d’entrée en vigueur vaut acceptation de la politique révisée.

11. Réclamations et autorité de contrôle

Si vous estimez que le traitement de vos données à caractère personnel enfreint le RGPD, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente. En Roumanie, cette autorité est :

Autorité nationale de surveillance du traitement des données à caractère personnel (ANSPDCP)

B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București

www.dataprotection.ro

Vous pouvez également vous adresser à l’autorité de contrôle de l’État membre de l’UE dans lequel vous résidez habituellement.

Nous vous encourageons à nous contacter d’abord directement à [email protected] — nous nous engageons à résoudre toute question relative au traitement de vos données dans un délai de 30 jours.

Contact protection des données :
[email protected] · Nous répondons sous 30 jours calendaires.