Politique de Confidentialité

1. Introduction

AI AGENCI ("nous", "notre", "nos"), éditeur du service Obsolink, s'engage à protéger votre vie privée. Cette Politique de Confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations lorsque vous utilisez notre plateforme d'audit d'obsolescence. Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD) et à la loi française Informatique et Libertés.

2. Responsable de Traitement

AI AGENCI est le responsable du traitement de vos données personnelles. Pour toute question relative à la confidentialité :

3. Informations Collectées

3.1 Informations que vous fournissez

• Informations de compte : Adresse email, nom d'affichage (peut être un pseudonyme) et mot de passe.
• Informations de paiement : Traitées de manière sécurisée par Stripe ; nous ne stockons pas les détails de carte bancaire.
• Données téléchargées : Références et marques importées pour analyse, avec leurs quantités.
• Communications : Demandes de support et retours que vous nous soumettez.
• Corrections manuelles : Lorsque vous utilisez la fonction « Affiner » pour corriger le statut, la difficulté, la dépendance, la désignation ou le prix d'un produit, votre correction est appliquée uniquement à vos propres rapports contenant cette référence. Ces corrections restent strictement privées : elles ne sont jamais partagées avec d'autres utilisateurs et ne participent à aucun consensus.

3.2 Informations collectées automatiquement

• Données d'utilisation : Fonctionnalités utilisées, analyses effectuées, horodatage.
• Informations sur l'appareil : Type de navigateur, système d'exploitation, adresse IP.
• Cookies : Cookies essentiels pour l'authentification et la gestion de session.

4. Utilisation de vos Informations

Nous utilisons les informations collectées pour :

• Fourniture du Service : Traitement de vos demandes d'analyse et livraison des résultats.
• Gestion de Compte : Authentification, suivi du solde de crédits, historique des transactions.
• Amélioration du Service : Analyse des modèles d'utilisation pour améliorer les fonctionnalités.
• Optimisation du Cache : Contenu partagé entre tous les utilisateurs et périodiquement rafraîchi. Le contenu du cache (statut, score, EOL) n'est pas lié à votre compte. En revanche, votre historique de consultation et vos feedbacks le sont — couverts par votre droit d'accès et de suppression.
• Communication : Mises à jour du service, alertes de sécurité et réponses au support.
• Conformité Légale : Respect des obligations légales et réglementaires.

5. Pratiques de Mise en Cache

Pour fournir un service efficace, nous mettons en œuvre la mise en cache des données :

• Types de données en cache : Résultats d'analyse technique (statut de cycle de vie, dates EOL, alternatives). Les estimations de coûts et métriques financières sont exclues du cache public.
• Anonymisation stricte : Les résultats en cache ne contiennent aucune référence au demandeur.
• Partage communautaire : Les données techniques publiques (références obsolètes) peuvent être partagées entre les utilisateurs pour accélérer le service.

6. Transferts de Données — Sous-traitants et garanties

Conformément à l'article 46 du RGPD, voici la cartographie de nos sous-traitants et les garanties applicables. Les données transmises à Google Vertex AI se limitent au prompt technique (marque, référence, contexte public). Le mécanisme de grounding Google Search s'exécute côté Google à partir de son index public ; Obsolink ne transmet aucune donnée client aux sources tierces.

• Sous-traitant : Google Cloud Platform — Vertex AI / Gemini (USA, SCC activées).
• Données concernées : Prompt technique (marque, référence produit, contexte public). Aucune donnée à caractère personnel n'est transmise.
• Garanties : DPA Google Cloud accepté. SCC activées pour les transferts UE→USA (Décision 2021/914).

• Sous-traitant : Stripe Payments Europe Ltd (Irlande, UE) [Paiements].
• Données concernées : Données de facturation (email, nom), identifiants de transaction. Les données de carte bancaire sont traitées exclusivement par Stripe (PCI-DSS) et ne transitent jamais par nos serveurs.
• Garanties : DPA Stripe, certifié PCI-DSS Niveau 1. Aucun transfert hors UE.

• Sous-traitant : Railway Corp. (USA) [Hébergement backend & API].
• Données concernées : Données de requêtes API, logs techniques, données de session.
• Garanties : SCC + DPA Railway.

• Sous-traitant : Cloudflare, Inc. (USA) [CDN, WAF, Protection DDoS].
• Données concernées : Adresses IP, headers HTTP, cookies de sécurité (traitement en transit uniquement).
• Garanties : Data Privacy Framework UE-USA + DPA Cloudflare.

• Sous-traitant : Sentry (Functional Software, Inc. — USA) [Monitoring technique].
• Données concernées : Logs d'erreurs techniques, adresses IP, user-agent, contexte d'exécution (stack traces). PII désactivée (send_default_pii=False).
• Garanties : SCC + DPA Sentry.

• Sous-traitant : Microsoft Clarity (Microsoft Corporation — USA) [Analyse comportementale — déposé uniquement après consentement explicite].
• Données concernées : Données de navigation anonymisées, clics, défilements, mouvements de souris, heatmaps et enregistrements de sessions. Clarity applique son masquage par défaut sur les champs sensibles (mots de passe, champs de paiement). Aucune donnée n'est collectée si le consentement n'a pas été donné — le script Clarity n'est pas injecté tant que la bannière n'a pas enregistré votre accord.
• Garanties : Data Privacy Framework UE-USA + DPA Microsoft.

• Sous-traitant : Google Ireland Limited (Irlande, UE) — Google Tag Manager + Google Ads [Mesure publicitaire — déposé uniquement après consentement explicite].
• Données concernées : Identifiants pseudonymes (Google Click Identifier, ID conversion), URL et titre de la page consultée, horodatage, type de page de conversion. Aucune donnée d'identification directe (nom, email, entreprise) n'est transmise. Les données peuvent être retransférées vers Google LLC aux États-Unis dans le cadre du Data Privacy Framework UE-USA.
• Garanties : Data Privacy Framework UE-USA + DPA Google standard. Activation conditionnée à votre consentement explicite via la bannière (case « Cookies marketing »). Désactivation possible à tout moment via le lien « Gérer mes cookies » en pied de page. Google Consent Mode v2 est activé : tant que vous n'avez pas consenti, aucun cookie publicitaire n'est déposé.

7. Base Légale du Traitement (RGPD)

Nous traitons vos données sur la base de :

• Exécution du Contrat : Pour fournir le Service auquel vous avez souscrit.
• Consentement : Lorsque vous acceptez explicitement (ex: communications marketing).
• Intérêts Légitimes : Amélioration du service (notamment anonymisation des votes communautaires à des fins d'amélioration du Service), prévention de la fraude, sécurité.
• Obligation Légale : Conformité aux lois et réglementations applicables.

8. Partage des Données

Nous ne vendons PAS vos données personnelles. Les sous-traitants impliqués dans le traitement et les garanties applicables sont listés en Section 6. Au-delà de ces sous-traitants, nous pouvons partager des données uniquement dans les cas suivants :

• Autorités légales : Lorsque requis par la loi ou pour protéger nos droits.

Tous les sous-traitants listés en Section 6 sont liés par des accords de traitement des données (DPA) garantissant la conformité RGPD.

9. Conservation des Données

• Données de Compte : Conservées tant que votre compte est actif. Supprimées immédiatement et définitivement lors de la suppression de votre compte.
• Rapports d'Analyse : Conservés 30 jours après leur dernière modification, puis supprimés automatiquement. L'ajout d'une référence à une analyse réinitialise ce délai. Les rapports sont également supprimés lors de la suppression du compte.
• Enregistrements de Transaction : Conservés pendant 10 ans pour répondre à nos obligations comptables légales.
• Corrections manuelles : Conservées tant que votre compte est actif. Vous pouvez supprimer une correction à tout moment depuis votre tableau de bord. Toutes vos corrections sont automatiquement et définitivement supprimées lors de la suppression de votre compte (droit à l'oubli).
• Résultats en Cache (partagés) : Contenu partagé entre tous les utilisateurs et périodiquement rafraîchi. Le contenu du cache (statut, score, EOL) n'est pas lié à votre compte. En revanche, votre historique de consultation et vos feedbacks le sont — couverts par votre droit d'accès et de suppression.
• Cache d'analyses IA réutilisables : Conservation glissante de 90 jours, avec rafraîchissement automatique.
• Logs d'accès techniques : Adresses IP, user-agent, horodatages : conservés 12 mois maximum, uniquement à des fins de sécurité (détection d'incident, investigation, prévention de la fraude). Rotation automatique ; aucune exploitation commerciale.

10. Vos Droits (RGPD)

Vous disposez des droits suivants :

Pour exercer ces droits, contactez-nous à [email protected]. Nous répondrons sous 30 jours.

11. Sécurité des Données

Nous mettons en œuvre des mesures de sécurité conformes aux standards de l'industrie :

• Chiffrement en transit (TLS 1.3) et au repos (AES-256).
• Authentification sécurisée avec mots de passe hachés.
• Audits de sécurité réguliers et évaluations de vulnérabilité.
• Contrôles d'accès et journalisation des audits.
• Procédures de réponse aux incidents.

12. Cookies

Nous distinguons trois catégories de cookies. Les cookies strictement nécessaires sont déposés sans consentement (base légale : intérêt légitime). Les cookies de mesure d'audience et les cookies marketing sont déposés uniquement après votre consentement explicite via notre bannière.

Cookies essentiels (sans consentement) :

• Cookies d'Authentification : Pour vous garder connecté en toute sécurité (session Supabase).
• Cookies de Session : Pour maintenir l'état de votre session et vos préférences de langue.
• Cookies de Sécurité : Pour prévenir les accès non autorisés (CSRF, Turnstile).

Cookies de mesure d'audience (après consentement) :

• Microsoft Clarity : Heatmaps, enregistrements de sessions anonymisés et parcours utilisateurs — activés uniquement si vous avez accepté les cookies d'analyse via la bannière de consentement. Durée de conservation : jusqu'à 1 an. Vous pouvez retirer votre consentement à tout moment via le lien « Gérer mes cookies ».

Cookies marketing (après consentement) :

• Google Ads : Cookies déposés par Google Ads pour mesurer l'efficacité de nos campagnes publicitaires (suivi des conversions, attribution du clic). Activés uniquement si vous avez accepté les cookies marketing via la bannière. Cookies concernés : _gcl_au, _gac_*. Durée de conservation : 90 jours. Les données sont transférées à Google Ireland Limited (UE) et peuvent être retransférées à Google LLC (États-Unis) dans le cadre du Data Privacy Framework UE-USA.

Nous n'utilisons pas de cookies de retargeting tiers (Meta Pixel, LinkedIn Insight Tag, etc.) ni de cookies de profilage publicitaire. Les cookies Google Ads listés ci-dessus servent uniquement à la mesure de conversion.

13. Confidentialité des Mineurs

Obsolink est un service B2B non destiné aux individus de moins de 18 ans. Nous ne collectons pas sciemment d'informations personnelles auprès de mineurs. Si nous découvrons que de telles données ont été collectées, nous les supprimerons rapidement.

14. Modifications de cette Politique

Nous pouvons mettre à jour cette Politique de Confidentialité périodiquement. Nous vous informerons des changements significatifs par email ou notification sur la plateforme au moins 30 jours avant leur entrée en vigueur. La date de "Dernière mise à jour" en haut de cette page indique quand la politique a été révisée pour la dernière fois.

15. Réclamations

Si vous estimez que vos droits de protection des données ont été violés, vous avez le droit d'introduire une réclamation auprès de :

16. Nous Contacter

Pour toute question concernant cette Politique de Confidentialité ou nos pratiques en matière de données :

17. Référent Données