Politique de confidentialité
BROUILLON — À VALIDER PAR UN AVOCAT/DPO AVANT MISE EN LIGNE. Ce document constitue une base sérieuse RGPD/CNIL mais doit être revu pour finaliser les durées de conservation, les sous-traitants exacts, et les transferts hors UE éventuels.
1. Préambule
Clementia SAS (« nous ») accorde une importance fondamentale à la protection de vos données personnelles. Cette politique de confidentialité décrit comment nous collectons, utilisons et protégeons vos données dans le cadre de l'utilisation du site clementia.ai et des services Clementia.
Nous nous conformons au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), à la Loi française n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés ») et, pour les utilisateurs marocains, à la Loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
2. Identité du responsable de traitement
Le responsable du traitement est :
- Clementia SAS
- Siège : 19 rue Auguste Chabrières, 75015 Paris
- SIREN : 899 210 074
- Représentant légal : Idriss Chraibi, Président
- Contact RGPD : rgpd@clementia.ai
Pour les services SaaS, Clementia agit en tant que sous-traitant au sens du RGPD pour le compte de ses clients (responsables de traitement). Les modalités sont précisées dans un Accord de Sous-Traitance des Données (DPA) signé avec chaque client.
3. Données personnelles collectées
Nous collectons les catégories de données suivantes :
3.1 Via le site clementia.ai (visiteurs et prospects)
| Catégorie | Données concernées | Source |
|---|---|---|
| Identification | Email professionnel, nom de l'entreprise | Formulaire de demande de démo |
| Préférences commerciales | Taille d'équipe, cas d'usage prioritaire | Formulaire |
| Navigation | Pages consultées, source de trafic, durée de visite, appareil | Cookies analytiques (sous réserve de consentement) |
| IP et géolocalisation | Adresse IP, pays/ville approximative | Connexion automatique |
3.2 Via les services Clementia (clients souscripteurs)
| Catégorie | Données concernées |
|---|---|
| Compte | Identifiants, email, rôle dans l'entreprise |
| Facturation | Coordonnées bancaires (via Stripe), historique de facturation |
| Configuration agents | Prompts, base de connaissances, intégrations API |
| Données traitées par les agents | Contenu des conversations, emails, fichiers — relevant de la responsabilité du Client (DPA) |
4. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
- Fourniture des Services souscrits (exécution contractuelle)
- Gestion commerciale et facturation (obligation légale et contractuelle)
- Support client et assistance technique
- Amélioration des services (intérêt légitime)
- Communication marketing (sous réserve de consentement explicite — newsletter, démonstrations)
- Sécurité, prévention de la fraude et conformité légale
- Statistiques anonymisées de fréquentation du site
5. Bases légales
Conformément à l'article 6 du RGPD, les bases légales applicables sont :
- Exécution du contrat pour la fourniture des Services et la facturation
- Consentement pour les communications marketing et certains cookies
- Obligation légale pour les obligations comptables et fiscales
- Intérêt légitime pour la sécurité, l'amélioration produit et le démarchage B2B mesuré
6. Destinataires et sous-traitants
Vos données sont accessibles à :
- Le personnel autorisé de Clementia SAS (commercial, technique, support)
- Nos sous-traitants techniques (sous contrat conforme RGPD) :
- Hébergement : éditeur partenaire UE certifié ISO 27001 (identité communiquée sur demande dans le cadre de l'évaluation fournisseur, sous accord de confidentialité), ou prestataire CDN (Vercel, Cloudflare Pages) selon la configuration retenue avec le Client
- Paiement : Stripe (Irlande)
- Email transactionnel : Brevo, Mailjet ou équivalent UE
- Modèles IA : OpenAI, Anthropic, Google, Mistral (selon les clés fournies par le Client en BYOK — voir section 8)
- Plateforme technique : éditeur partenaire (UE)
- Analytics : Google Analytics 4 et/ou Plausible
- Telexcel, partenaire commercial Clementia pour le marché marocain (sous accord de confidentialité)
- Autorités compétentes en cas d'obligation légale
Aucune donnée n'est vendue à des tiers à des fins commerciales.
7. Transferts hors Union Européenne
Certains de nos sous-traitants peuvent traiter des données hors UE (notamment les fournisseurs de modèles IA américains). Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types de la Commission européenne
- Le EU-US Data Privacy Framework pour les fournisseurs américains certifiés
- Une évaluation de l'impact des transferts (TIA) sur les sous-traitants à risque
Pour le marché marocain, le Maroc bénéficie d'une reconnaissance d'adéquation partielle dans certains contextes ; les transferts sont également encadrés par contrat.
8. Particularité BYOK (Bring Your Own Keys)
Pour l'utilisation des modèles d'IA (LLM), le Client fournit ses propres clés API auprès de fournisseurs tiers (OpenAI, Anthropic, Google, etc.). Les conversations transitent alors directement entre la plateforme Clementia et le fournisseur LLM choisi par le Client. Clementia n'a pas accès au compte LLM du Client et n'est pas responsable de la politique de confidentialité du fournisseur LLM choisi. Le Client est invité à consulter directement les politiques de ces fournisseurs.
9. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte client actif | Pendant toute la durée du contrat + 3 ans à des fins commerciales |
| Factures et données comptables | 10 ans (obligation légale) |
| Prospects (formulaire démo) | 3 ans à compter du dernier contact |
| Cookies analytiques | 13 mois maximum |
| Données utilisateurs traitées par les agents IA | Selon les instructions du Client (DPA), 30 jours par défaut après résiliation |
| Logs de sécurité | 1 an |
10. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès à vos données
- Droit de rectification des données inexactes
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit d'opposition au traitement
- Droit à la portabilité de vos données
- Droit de retirer votre consentement à tout moment
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr) ou de la CNDP (Maroc) si vous estimez que vos droits sont violés
- Droit de définir des directives sur le sort de vos données après votre décès
Pour exercer vos droits, contactez-nous à : rgpd@clementia.ai en précisant votre demande et en joignant un justificatif d'identité. Nous répondons dans un délai d'1 mois (extensible à 3 mois pour les demandes complexes).
11. Cookies
Le site utilise les types de cookies suivants :
- Cookies strictement nécessaires (sans consentement) : navigation, sécurité, préférences linguistiques
- Cookies analytiques (avec consentement) : Google Analytics 4, Plausible — pour mesurer l'audience anonymement
- Cookies marketing (avec consentement) : LinkedIn Insight Tag, Meta Pixel — pour le retargeting publicitaire
Vous pouvez gérer vos préférences à tout moment via le bandeau cookies en bas du site, ou via les paramètres de votre navigateur. Le refus n'empêche pas l'utilisation du site.
12. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement TLS 1.3 de toutes les communications
- Chiffrement au repos des données selon les standards de l'industrie (AES-256 sur AWS, Azure ou Scaleway selon le cloud d'hébergement choisi)
- Contrôle d'accès strict aux données (principe du moindre privilège)
- Authentification multi-facteurs pour les accès administratifs
- Audits de sécurité réguliers
- Plan de réponse aux incidents et notification CNIL sous 72h en cas de violation
Notre infrastructure technique s'appuie sur des sous-traitants audités selon les standards reconnus de l'industrie (ISO 27001, SOC 2 Type II). Les certifications applicables sont communicables sur demande dans le cadre de l'évaluation fournisseur, sous accord de confidentialité.
13. Modifications de la présente politique
Cette politique peut être mise à jour pour refléter les évolutions légales ou de nos services. La date de dernière mise à jour figure en tête du document. En cas de modification substantielle, nous vous en informerons par email ou via une notification sur le site.
14. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
- Email : rgpd@clementia.ai
- Courrier : Clementia SAS — DPO — 19 rue Auguste Chabrières, 75015 Paris, France