Politique de confidentialité

À jour de mars 2026 · Conformément au RGPD de l'UE (Règlement 2016/679)

Table des matières

Responsable du traitement
Traitement général des données
Bases juridiques
Hébergement (IONOS)
Infrastructure backend (Supabase)
Traitement des paiements (Stripe)
Plateforme de gouvernance de l'IA AIGOY
Stockage local des données
Cookies & stockage technique
Communication par e-mail
Partage de données avec des tiers
Transfert de données vers des pays tiers
Durée de conservation
Vos droits (RGPD)
Droit d'introduire une réclamation
Évaluation des risques assistée par l'IA
Modifications

🏢 1. Responsable du traitement

Thomas Brandt
Entrepreneur individuel opérant sous les marques AX1S et AIGOY

AX1S c/o Clevver · Winterhuder Weg 29, 7e étage · 22085 Hambourg, Allemagne

E-mail : · Site web : aigoy.io

📋 2. Traitement général des données

Nous ne traitons les données à caractère personnel que dans la mesure nécessaire à la fourniture d'une plateforme de gouvernance de l'IA fonctionnelle ainsi que de nos contenus et services.

🔒 Protection des données dès la conception : La plateforme AIGOY a été conçue dès le départ dans une optique de minimisation des données. Nous n'utilisons aucun cookie de suivi, aucun Google Analytics et aucun réseau publicitaire.

⚖ 3. Bases juridiques

Art. 6 § 1 lit. a RGPD – Consentement de la personne concernée
Art. 6 § 1 lit. b RGPD – Exécution d'un contrat ou mesures précontractuelles
Art. 6 § 1 lit. c RGPD – Respect d'obligations légales (règlement européen sur l'IA, NIS2, DORA)
Art. 6 § 1 lit. f RGPD – Intérêts légitimes (sécurité informatique, prévention de la fraude)

🌐 4. Hébergement (IONOS)

Ce site web est hébergé par IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Allemagne. Lors de la visite, le serveur web enregistre automatiquement l'adresse IP, l'horodatage, les fichiers demandés et l'URL de provenance. Ces données sont supprimées après 7 jours au maximum.

Accord de traitement des données : Contrat conclu avec IONOS conformément à l'art. 28 RGPD.

🗄 5. Infrastructure backend (Supabase)

Pour l'authentification, le stockage des données et la logique côté serveur, nous utilisons Supabase Inc. Notre projet est hébergé sur AWS eu-central-1 (Francfort) — toutes les données restent dans l'UE.

5.1 Données traitées

Authentification : e-mail, mot de passe chiffré (bcrypt), horodatage de connexion
Données de profil : nom, e-mail, service, affectation au tenant
Entrées de systèmes d'IA : identifiant du système, nom, fournisseur, évaluation des risques
Données de tenant (B2B) : nom de l'entreprise, clé de licence, statut de l'abonnement

5.2 Traitement assisté par l'IA (Edge Functions)

Pour l'évaluation des risques, nous utilisons des Edge Functions Supabase qui font appel à Anthropic Claude. Aucune donnée à caractère personnel n'est transmise — uniquement le nom du système et le cas d'usage. Anthropic s'engage contractuellement à ne pas entraîner ses modèles sur les données transmises (engagement de non-entraînement) ; un accord de traitement des données (DPA) conformément à l'art. 28 RGPD est en place.

5.3 Mesures de sécurité

Chiffrement (TLS 1.2+ / AES-256), sécurité au niveau des lignes (row-level security), sauvegardes régulières dans l'UE, hébergement chez un prestataire certifié SOC 2 Type II (Supabase).

💳 6. Traitement des paiements (Stripe)

Les licences payantes sont traitées via Stripe Payments Europe, Ltd. (Dublin, Irlande). Les données de paiement sont traitées exclusivement par Stripe et ne sont jamais stockées sur nos serveurs.

Politique de confidentialité de Stripe : stripe.com/en/privacy

📊 7. Plateforme de gouvernance de l'IA AIGOY

7.1 Inscription

L'adresse e-mail, le nom et le mot de passe (chiffré) sont traités aux fins de l'utilisation.

7.2 Inventaire des systèmes d'IA et évaluation des risques

Nous stockons les données de base, les évaluations des risques et les suggestions de l'IA relatives à vos systèmes d'IA. Ce traitement est requis pour la documentation au titre du règlement européen sur l'IA, de NIS2 et de DORA.

7.3 Certificats de compétence

À l'issue de la formation, des certificats de compétence internes sont délivrés. Il ne s'agit pas de certificats reconnus par l'État.

💾 8. Stockage local des données

L'application utilise le localStorage de votre navigateur pour la sélection de la langue, les entrées de systèmes d'IA (cache) et les données de session. Ces données ne quittent pas votre ordinateur.

🍪 9. Cookies & stockage technique

✅ Aucune bannière de cookies requise : Nous utilisons exclusivement des cookies techniquement nécessaires (statut de connexion, sélection de la langue). Aucun suivi, aucun Google Analytics, aucun cookie publicitaire.

✉ 10. Communication par e-mail

Les demandes par e-mail sont conservées aux fins de leur traitement. Les notifications système sont envoyées via Supabase Auth.

🔄 11. Partage de données avec des tiers

Sous-traitants actuels : IONOS SE (DE, hébergement), Supabase Inc. (UE Francfort, backend), Stripe Payments Europe (IE, paiement), Anthropic PBC (États-Unis, service d'IA, modèle Claude — les données transmises ne sont pas utilisées pour l'entraînement, DPA conformément à l'art. 28 RGPD).

🌍 12. Transfert de données vers des pays tiers

Toutes les données à caractère personnel sont traitées au sein de l'UE/EEE : IONOS (DE), Supabase (Francfort), Stripe (Dublin). Pour tout accès depuis des pays tiers, des clauses contractuelles types s'appliquent.

Service d'IA (Anthropic) : Pour les analyses assistées par l'IA et le Compliance CoWorker « Felix », nous utilisons le modèle Claude d'Anthropic PBC (San Francisco, États-Unis). Anthropic s'engage contractuellement à ne pas entraîner ses modèles sur les données transmises via l'API (engagement de non-entraînement). Pour le transfert vers les États-Unis, des clauses contractuelles types (CCT) conformément à l'art. 46 (2) (c) RGPD et le cadre de protection des données UE–États-Unis (EU-U.S. Data Privacy Framework) s'appliquent ; un accord de traitement des données (DPA) conformément à l'art. 28 RGPD est en place. L'inférence dans l'UE (par ex. via AWS Bedrock à Francfort) et le choix du modèle/de la clé côté client (BYOK) sont en préparation.

⏱ 13. Durée de conservation

Fichiers journaux du serveur : 7 jours max.
Données de compte : jusqu'à la suppression du compte + délais de conservation
Données de facturation : 10 ans (§147 du Code fiscal allemand)
Entrées du registre d'IA : 5 ans min. (obligation de documentation du règlement européen sur l'IA)

🛡 14. Vos droits (RGPD)

Accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité des données (art. 20), opposition (art. 21), retrait du consentement.

Contact : · Délai de traitement : 1 mois max.

📮 15. Droit d'introduire une réclamation

Commissaire de Hambourg à la protection des données et à la liberté d'information (HmbBfDI)
Ludwig-Erhard-Str. 22, 7e étage · 20459 Hambourg
Téléphone : +49 40 42854-4040 · [email protected]
datenschutz-hamburg.de

🤖 16. Évaluation des risques assistée par l'IA

La plateforme AIGOY propose une évaluation des risques assistée par l'IA en tant qu'outil d'orientation. Elle ne remplace pas un examen juridique. AIGOY décline toute responsabilité quant aux décisions fondées sur l'évaluation des risques assistée par l'IA.

📝 17. Modifications

Nous nous réservons le droit de mettre à jour la présente politique de confidentialité. Les modifications substantielles seront annoncées.