Dernière mise à jour : — Version V0.6
Version V0.6 — 2026-07-05 Cette page formalise les engagements d'EuTrustedIA.eu en matière de protection des données personnelles, conformément aux obligations suivantes :
- Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, articles 12 à 22
- Loi Informatique et Libertés modifiée du 6 janvier 1978 (loi n° 78-17)
- AI Act (Règlement UE 2024/1689) du 13 juin 2024, article 50 (transparence IA)
- Loi pour la Confiance dans l'Économie Numérique (LCEN) du 21 juin 2004
Cette politique est complémentaire de nos Mentions Légales et de notre Politique de Cookies.
Dernière mise à jour : 2026-07-05 (V0.6).
Le responsable du traitement des données personnelles collectées via le site eutrustedia.eu et le sous-domaine app.eutrustedia.eu est :
contact@eutrustedia.euAucun DPO n'est désigné. Cette absence est argumentée au regard de l'article 37 du RGPD :
Point de contact RGPD : pour toute question, demande de droits ou réclamation, contactez legal@eutrustedia.eu. Une réponse motivée est apportée dans un délai maximum d'un mois (article 12 RGPD), prolongeable de deux mois en cas de demande complexe avec information préalable.
Les données personnelles sont traitées pour les finalités suivantes, chacune fondée sur une base légale explicite (article 6 RGPD) :
| Finalité | Base légale | Article RGPD |
|---|---|---|
| Création et gestion du compte utilisateur (Annuaire / POSITRONIA) | Exécution du contrat | Art. 6.1.b |
| Facturation, encaissement, gestion des litiges | Obligation légale + exécution du contrat | Art. 6.1.c, 6.1.b |
| Comptabilité, archivage légal | Obligation légale | Art. 6.1.c |
| Inscription au profil expert public dans l'Annuaire | Consentement explicite | Art. 6.1.a |
| Stockage des rapports POSITRONIA dans l'Espace Client | Exécution du contrat | Art. 6.1.b |
| Active Learning POSITRONIA (envoi pattern + metadata anonymisés) | Consentement explicite par finding | Art. 6.1.a |
| 🆕 Audit conformité d'un nœud SaaS / LLM / agent IA tiers (à venir Phase B) | Exécution du contrat (inclus dans abonnement POSITRONIA selon quotas par plan) | Art. 6.1.b |
| 🆕 Audit conformité d'un nœud workflow IA-aided (à venir Phase B) | Exécution du contrat (modalités définitives communiquées au lancement Phase B) | Art. 6.1.b |
| Envoi de la newsletter EuTrustedIA | Consentement explicite | Art. 6.1.a |
| Statistiques d'audience anonymisées (analytics) | Intérêt légitime | Art. 6.1.f |
| Sécurité du site (anti-fraude, anti-bot, journaux techniques) | Intérêt légitime | Art. 6.1.f |
| Réponse aux demandes de contact | Intérêt légitime | Art. 6.1.f |
Aucun traitement de données sensibles au sens de l'article 9 RGPD (santé, opinions politiques/religieuses, données biométriques, etc.) n'est effectué.
Aucune décision entièrement automatisée au sens de l'article 22 RGPD n'est prise sur la base des données collectées. Les recommandations LLM produites par POSITRONIA sont des outputs assistance soumis à validation humaine ; elles ne déclenchent aucun effet juridique automatique.
Les données personnelles traitées sont strictement limitées au nécessaire (principe de minimisation, article 5.1.c RGPD) :
Lorsqu'un client choisit explicitement de contribuer à l'Active Learning POSITRONIA pour un finding spécifique :
Les modules Auditeur introduiront les nouvelles catégories de données suivantes :
https://fireworks.ai)Aucune donnée du client (code source, données métier, secrets) n'est transmise à EuTrustedIA dans ce mode. L'analyse porte uniquement sur les pages publiques du SaaS audité (Trust Center, Privacy Policy, DPA si publics).
Traitement strictement privé : les exports workflow et les rapports générés ne sont jamais publiés publiquement par EuTrustedIA, conformément à la doctrine Local-First étendue à tous les modules.
POSITRONIA-Observe n'est activé que sur consentement explicite, opt-in du client (RGPD Art. 6.1.a). Les conditions détaillées figurent dans les Conditions POSITRONIA-Observe. Catégories de données :
Les sous-traitants suivants peuvent être amenés à traiter des données personnelles pour le compte d'EuTrustedIA, dans le cadre strict de leurs missions et conformément à l'article 28 RGPD. Pour chaque sous-traitant, un Data Processing Agreement (DPA) est en place ou en cours de signature.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. (États-Unis) | Hébergement application | Région Frankfurt 🇩🇪 (data residency EU) | DPA EU + Standard Contractual Clauses (SCC) |
| Neon Inc. (États-Unis) | Base de données PostgreSQL | Région Frankfurt 🇩🇪 | DPA EU + SCC |
| Infisical Inc. (États-Unis) | Gestion des secrets | Région Frankfurt 🇩🇪 | DPA EU + SCC |
| Mollie B.V. 🇳🇱 (Pays-Bas) | Paiement et facturation | Pays-Bas (UE) | Responsable de traitement distinct pour les données de paiement |
| Brevo SAS 🇫🇷 (France, ex-Sendinblue) | Email transactionnel et newsletter | Paris (France) | Sous-traitance UE pure |
| Infomaniak Network SA 🇨🇭 (Suisse) | Webinaires (kMeet), backups (kDrive) | Genève (Suisse) — pays adéquat (décision UE 2000/518/CE) | Sous-traitance pays adéquat |
| Qonto (Olinda SAS, RCS Paris 819 489 626) 🇫🇷 | Banque professionnelle (compte courant, IBAN, paiements entrants) | Paris (France) — établissement de paiement agréé ACPR | Convention bancaire (relation banque-client distincte de l'art. 28 RGPD) |
| Pennylane SAS (RCS Paris 838 622 333) 🇫🇷 | Comptabilité (factures clients, archivage légal 10 ans, déclarations TVA) | Paris (France) | Sous-traitance UE pure, DPA intégré CGV |
| Les Tricolores SAS (RCS Paris 849 409 313, agrément DOM2026009) 🇫🇷 | Domiciliation administrative — 138 Av. Victor Hugo, 75016 Paris | Paris (France) | Sous-traitance UE pure, contrat signé 2026-05-08 |
Phase C migration souveraine (calendrier : 6-9 mois post-go-live 2026-05-30) : migration prévue de Vercel + Neon + Infisical vers Infomaniak Public Cloud + Postgres + Infisical self-hosted (Suisse 🇨🇭) pour renforcer la souveraineté de l'hébergement (hors UE, mais sous adéquation RGPD et hors CLOUD Act US). EuTrustedIA cartographie son exposition juridictionnelle couche par couche plutôt que de revendiquer une souveraineté « 100 % ». Cette évolution sera annoncée publiquement aux utilisateurs lors de son exécution effective.
Aucune donnée n'est transférée hors de l'Espace économique européen vers des pays tiers ne bénéficiant pas d'une décision d'adéquation, à l'exception des sous-traitants américains listés ci-dessus, dont les transferts sont encadrés par les Standard Contractual Clauses (Décision d'exécution UE 2021/914) et la décision d'adéquation EU-US Data Privacy Framework — Décision d'exécution (UE) 2023/1795 du 10 juillet 2023 — lorsqu'ils y sont certifiés.
| Catégorie | Durée active | Archivage légal | Base |
|---|---|---|---|
| Compte utilisateur POSITRONIA actif | Tant que l'abonnement est actif | + 5 ans après résiliation (prescription civile) | Art. 2224 Code civil |
| Données de facturation | Année en cours + clôture | + 10 ans (livres comptables) | Art. L123-22 Code de commerce |
| Logs de sécurité bruts | 12 mois maximum | — | LCEN art. 6-II + décret n° 2021-1362 du 20 octobre 2021 + recommandations CNIL |
| Logs anonymisés / analytics | 25 mois maximum | — | Recommandation CNIL |
| Profils experts publics | Tant que l'inscription est active | Suppression effective sous 30 jours après désinscription | Consentement révocable |
| Abonnés newsletter | Tant que l'abonnement n'est pas révoqué | Suppression effective sous 30 jours après désinscription | Consentement révocable |
| Rapports POSITRONIA dans l'Espace Client | Tant que l'abonnement est actif | + 12 mois après résiliation (preuve audit-trail RGPD/AI Act client) | Exécution du contrat |
| 🆕 Rapports POSITRONIA-Observe dans l'Espace Client | Observe Lite : 30 jours glissants · Observe Pro : 1 an | — | Consentement (Art. 6.1.a) |
| 🆕 Journal de consentement POSITRONIA-Observe (activation/révocation) | Immuable pendant la relation contractuelle | + durée de prescription (audit-trail à valeur probatoire — intégrité et authenticité) | Intérêt légitime probatoire + obligation de preuve du consentement (Art. 7.1) |
| 🆕 Rapports Auditeur nœud SaaS / LLM / agent tiers dans l'Espace Client | Tant que l'abonnement est actif | + 12 mois après résiliation (preuve audit-trail) | Exécution du contrat |
| 🆕 Rapports Auditeur nœud workflow IA-aided + exports JSON workflow associés | + 12 mois après l'audit (pour audit-trail à valeur probatoire — intégrité et authenticité) | + 36 mois optionnel à la demande du commanditaire (agences AIA / AIaaS pour suivi clients récurrents) | Exécution du contrat (modalités définitives au lancement Phase B) |
| Tokens de licence JWT | Durée de validité du token (max 30 jours offline) | — | Sécurité technique |
| Demandes de contact / support | 3 ans après dernier échange | — | Prescription commerciale |
| Active Learning POSITRONIA (patterns anonymisés) | Indéfinie (déjà anonymisée) | — | Donnée non-personnelle après anonymisation |
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
Comment exercer vos droits :
legal@eutrustedia.eu — précisez « Droit RGPD » + nature de votre demandeRéclamation auprès de la CNIL : si la réponse apportée à votre demande ne vous satisfait pas, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
EuTrustedIA met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :
La doctrine Local-First acté le 2026-05-07 (ADR 2026-05-07__pivot_sentinel_local_first_cloud_reports_sync.md) est étendue à l'ensemble des modules EuTrustedIA :
Module 1 — POSITRONIA Scanner (V0 mai 2026) :
Module 2 — Auditeur nœud SaaS / LLM / agent IA tiers (à venir Phase B) :
Module 3 — Auditeur nœud workflow IA-aided (à venir Phase B) :
Avantage de sécurité décisif : cette architecture Local-First étendue constitue un avantage majeur pour les ICP haute sécurité (banques privées, santé, défense, cabinets juridiques) et permet à EuTrustedIA d'auditer la conformité IA d'un client sans jamais accéder à son code applicatif, ses données métier ou ses secrets de production.
Conformément à l'article 50 du Règlement européen sur l'Intelligence Artificielle (Règlement UE 2024/1689), tout contenu généré par un système d'intelligence artificielle dans le cadre des services EuTrustedIA est explicitement marqué comme tel :
Cette obligation de transparence est non-négociable et fait partie de la doctrine « conformité auto-démontrable » d'EuTrustedIA : si nous vendons de la conformité, nous devons être exemplaires sur notre propre conformité.
L'utilisation de cookies et traceurs est détaillée dans la Politique de Cookies.
En résumé :
Cette politique peut être modifiée en cas d'évolution :
Toute modification substantielle sera notifiée :
La date de dernière mise à jour figure en en-tête du document. L'historique des versions est conservé en bas de page.
La présente politique est soumise au droit français et au Règlement Général sur la Protection des Données européen.
Tout litige relatif à son application relève de la compétence exclusive des tribunaux français, après tentative de résolution amiable et, le cas échéant, saisine de la CNIL.
| Version | Date | Modifications |
|---|---|---|
| V0.6 | 2026-07-05 | Renommage POSITRONIA (anciennement Sentinel) + corrections factuelles d'alignement (audit 2026-07-05) : en-tête interne aligné, politique de cookies publiée. |
| V0 | 2026-05-08 | Version initiale rédigée le jour du paiement Tricolores. Pré-réception SIREN INPI. Architecture POSITRONIA Local-First documentée. |
| V0.1 | 2026-05-08 | Adresse de domiciliation Tricolores intégrée (138 Av. Victor Hugo, 75016 Paris) suite à attestation officielle. Nom commercial corrigé « PiaXel » (suppression « Nexus » non-inscrit Tricolores). § Sous-traitants enrichi RCS + agrément. |
| V0.2 | 2026-05-08 | SIREN 449 562 461 + SIRET 449 562 461 00052 + Code NAF 7022Z complétés. Deuxième prénom « Gérard » ajouté à l'identité civile. Email contact legal@eutrustedia.eu (limite 5 boîtes mail hébergeur). Sous-traitants enrichis avec Qonto (banque pro) et Pennylane (comptabilité). Tableaux convertis HTML inline pour rendu MDX correct sans dépendance remark-gfm. |
| V0.3 | 2026-05-08 | Alignement avec la vision business consolidée du 8 mai 2026 : §3 ajout des finalités Auditeur SaaS Mode 1 (inclus abonnement) et Auditeur Workflow Mode 2 (pay-per-use accessible aux non-abonnés). §4 ajout §4.6 nouvelles catégories de données pour les modules Auditeur (URL SaaS audité, cas d'usage, sensibilité, export JSON workflow uploadé volontairement). Mention spéciale agences AIA/AIaaS auditant pour leurs clients. §6 ajout durées de conservation rapports d'audit (12 mois post-audit, +36 mois optionnel agences). §8.3 architecture Local-First étendue aux 3 modules avec détail technique pour chaque module (POSITRONIA scanner, Auditeur SaaS, Auditeur Workflow). |
| V0.4 | 2026-06-10 | Alignement doctrine ADR 2026-05-30 + précisions fondements (GATE pré-go-live, revue juridique Temps 1 Mistral souverain). F1 : terminologie « Mode 1 / Mode 2 » remplacée par « nœud SaaS/LLM/agent IA tiers » / « nœud workflow IA-aided » (§3, §4.6, §6, §8.3). F2 : mention « pay-per-use accessible aux non-abonnés » neutralisée → « modalités définitives communiquées au lancement Phase B ». F8 : fondement logs 12 mois précisé → ajout « décret n° 2021-1362 du 20 octobre 2021 » aux côtés de LCEN art. 6-II. F10 : référence EU-US DPF complétée par le numéro officiel « Décision d'exécution (UE) 2023/1795 du 10 juillet 2023 ». Points non tranchés conservés (Mollie qualification, SCC/DPF certification nominative, Active Learning anonymisation). Validation avocat tech planifiée Phase B. |
| V0.5 | 2026-06-20 | Ajout du traitement POSITRONIA-Observe (Lane B3, consentement explicite audit runtime continu) : §4.7 nouvelle catégorie de données (rapports scorés chiffrés au repos AES-256-GCM avec transparence « pas de zero-knowledge », journal de consentement immuable, IP hachée+salée), §6 deux lignes de conservation (rapports Observe Lite 30 j / Pro 1 an ; journal de consentement immuable + prescription). Base légale Art. 6.1.a, révocation à tout moment. Renvoi au document dédié /legal/conditions-observe. Statut DIY en attente de revue avocat (Phase B). |
| V1 prévue | Phase B (juin-juillet 2026) | Validation par avocat tech spécialisé RGPD + AI Act, après premiers revenus encaissés. |