Politique de confidentialité · Simplif'IA France

🔐 Notre engagement en bref

Vos données vous appartiennent. Elles sont chiffrées AES-256, hébergées en France, et jamais utilisées pour entraîner l'IA. Vous pouvez les exporter, les rectifier ou les supprimer à tout moment.

1. Responsable du traitement

Simplif'IA France SAS, 42 rue de la République, 75011 Paris
RCS Paris 928 476 312 · SIRET 928 476 312 00012
📧 dpo@simplif-ia.fr (Délégué à la Protection des Données)

2. Données collectées

2.1 Données d'identification

Nom, prénom, email (obligatoires pour la création du compte)
FranceConnect+ : sub OIDC, email vérifié, scopes acceptés (recommandé)
Mot de passe : jamais stocké en clair, hashé avec bcrypt (cost factor 12)

2.2 Données du coffre-fort

Documents administratifs uploadés (CNI, fiches de paie, avis d'imposition, etc.)
Métadonnées (date, catégorie, expiration)
Profil enrichi (composition foyer, RFR, situation pro) optionnel

Tous ces documents sont chiffrés AES-256 (Fernet) avec une clé dérivée de votre passphrase. Sans votre passphrase, nous ne pouvons pas les lire, même en tant qu'administrateurs.

2.3 Données de navigation

Logs techniques (IP anonymisée, user-agent, page consultée) conservés 30 jours
Cookies de session (HTTPOnly, Secure, SameSite=Lax)
Aucun cookie publicitaire ni de tracking tiers

3. Finalités du traitement

Exécution du Service (CERFA, LRE, recherche IA) · base légale : exécution du contrat (art. 6.1.b RGPD)
Authentification & sécurité · base légale : intérêt légitime + obligation légale
Facturation · base légale : exécution du contrat + obligation légale (10 ans)
Amélioration du service (statistiques anonymisées) · base légale : intérêt légitime, opposable
Communication marketing (newsletter) · base légale : consentement explicite, révocable à tout moment

4. ZÉRO entraînement IA

Engagement contractuel ferme : aucune donnée des Utilisateurs n'est jamais utilisée pour entraîner les modèles d'IA. Nous utilisons exclusivement les API Enterprise de Google (Gemini) et Anthropic (Claude) qui garantissent contractuellement :

Aucune donnée envoyée n'est conservée par le fournisseur au-delà de 30 jours
Aucune donnée n'est utilisée pour entraîner ni améliorer les modèles
Pas de data residency hors UE pour les utilisateurs européens

5. Durée de conservation

Compte actif : tant que l'Utilisateur le souhaite
Compte supprimé : suppression immédiate, sauvegardes purgées sous 30 jours
Données de facturation : 10 ans (obligation comptable et fiscale)
Audit logs : 7 ans (obligations RGPD et fiscales)
Logs techniques : 30 jours

6. Vos droits RGPD

Conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés modifiée, vous disposez des droits suivants :

Droit d'accès (art. 15) — consulter toutes vos données
Droit de rectification (art. 16) — corriger des données inexactes
Droit à l'effacement (art. 17) — "droit à l'oubli"
Droit à la limitation (art. 18) — geler le traitement
Droit à la portabilité (art. 20) — exporter vos données dans un format structuré (JSON, CSV, PDF)
Droit d'opposition (art. 21) — refuser certains traitements
Droit à la non-décision automatisée (art. 22) — exiger une intervention humaine

Pour exercer ces droits :

En self-service : Paramètres → Confidentialité (export ZIP, suppression compte)
Par email : dpo@simplif-ia.fr (réponse sous 30 jours maximum, art. 12 RGPD)
Plainte CNIL : si réponse insatisfaisante, vous pouvez saisir la CNIL via cnil.fr

7. Sécurité technique

Chiffrement : TLS 1.3 en transit, AES-256 au repos (Fernet via AWS KMS)
Authentification : 2FA TOTP optionnel pour les utilisateurs, obligatoire pour les admins
Audit logs immutables de toutes les actions sensibles
Pen-test annuel par cabinet indépendant (Synacktiv 2026)
Bug Bounty sur YesWeHack (security@simplif-ia.fr)
Hébergement souverain : OVH SAS (France) · ISO 27001 · HDS-ready
DPIA réalisée conformément à l'article 35 RGPD

8. Sous-traitants (article 28 RGPD)

Nous travaillons avec des sous-traitants liés par un Data Processing Agreement :

OVH SAS (France) — hébergement
Stripe Payments France SAS — paiements
Google LLC — API Gemini Enterprise (zero-retention)
ElevenLabs Inc. — synthèse vocale (sur opt-in)
AR24 (filiale La Poste) — Lettres Recommandées Électroniques
Brevo (ex-Sendinblue) — emails transactionnels

La liste complète et les DPA sont consultables sur demande à dpo@simplif-ia.fr.

9. Transferts hors UE

Aucun transfert de données personnelles hors UE n'est effectué. Tous nos sous-traitants ont leurs serveurs dans l'UE pour les données européennes (clauses contractuelles types ou décision d'adéquation).

10. Modifications

Toute modification de cette politique fait l'objet d'une notification par email 30 jours avant entrée en vigueur. La version actuelle prévaut, et les versions précédentes restent consultables sur demande.

📅 Dernière mise à jour : 1er avril 2026 · Version 3.2
📧 Délégué à la Protection des Données : dpo@simplif-ia.fr
🛡 CNIL : dossier déclaré sous le numéro 2298734

Politique de Confidentialité · RGPD