Politique de Confidentialité

1. Responsable du traitement

Nom : Vincent AUDOIN

Statut : Entrepreneur Individuel sous le régime de la micro-entreprise

Adresse : 231 rue Saint-Honoré, 75001 Paris, France

SIRET : 82018606200049

Email : vincent@gpaflow.com

2. Données collectées

Dans le cadre de l'utilisation du service ChiffrIA, les données suivantes sont susceptibles d'être collectées :

Données d'identification : nom, prénom, email professionnel, raison sociale, SIRET de l'entreprise utilisatrice
Données techniques : adresse IP, logs de connexion, type de navigateur, système d'exploitation
Données métier : documents techniques chargés (CCTP, DPGF, plans, pièces des dossiers de consultation des entreprises) et estimations générées par le service

3. Finalités et bases légales du traitement

Finalité	Base légale (RGPD)
Fourniture du service de pré-chiffrage	Exécution du contrat (art. 6.1.b)
Facturation et obligations comptables	Obligation légale (art. 6.1.c)
Amélioration du service et statistiques anonymisées	Intérêt légitime (art. 6.1.f)
Communications commerciales	Consentement (art. 6.1.a)

Données de paiement : traitées exclusivement par notre prestataire de paiement Stripe. Aucune donnée bancaire n'est stockée sur les serveurs de l'éditeur.

4. Destinataires des données

Les données collectées sont accessibles à :

L'éditeur du site et ses prestataires habilités
L'hébergeur (Render Services, Inc.) pour l'exécution technique de la prestation
La plateforme Polsia, utilisée pour la construction et l'opération du service
Le prestataire de paiement Stripe pour le traitement des transactions
Les fournisseurs de modèles d'intelligence artificielle utilisés pour le pré-chiffrage (Anthropic notamment), dans le cadre du traitement automatisé des documents
Les autorités administratives ou judiciaires, sur réquisition légale uniquement

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.

5. Durée de conservation

Type de données	Durée de conservation
Compte utilisateur	Durée de la relation contractuelle + 3 ans
Données de facturation	10 ans (obligation comptable)
Documents chargés (DCE)	12 mois après la dernière utilisation
Logs techniques	12 mois maximum
Prospects (sans relation contractuelle)	3 ans à compter du dernier contact

6. Transferts hors Union européenne

Certains de vos données sont susceptibles d'être transférées vers des prestataires établis hors de l'Union européenne :

Render Services, Inc. (États-Unis) — hébergement
Stripe, Inc. (États-Unis) — traitement des paiements
Anthropic PBC (États-Unis) — traitement IA

Ces transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD. Les prestataires concernés présentent des garanties appropriées en matière de protection des données.

L'utilisateur est informé que les documents techniques (DCE) chargés sur la plateforme peuvent contenir des données à caractère personnel ou commercialement sensibles. Il est recommandé de procéder à l'anonymisation préalable de ces documents lorsque cela est possible.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :

Droit d'accès à vos données
Droit de rectification des données inexactes
Droit à l'effacement (« droit à l'oubli »)
Droit à la limitation du traitement
Droit à la portabilité de vos données
Droit d'opposition au traitement
Droit de retirer votre consentement à tout moment lorsque celui-ci est la base du traitement
Droit de définir des directives relatives au sort de vos données après votre décès

Pour exercer ces droits, contactez : vincent@gpaflow.com. La réponse vous sera apportée dans un délai maximum de 30 jours à compter de la réception de votre demande.

En cas de difficulté, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

8. Sécurité

Les données sont stockées sur des serveurs sécurisés. L'accès est restreint aux personnes habilitées et protégé par des mécanismes d'authentification. Les communications entre votre terminal et le service sont chiffrées via le protocole HTTPS/TLS.

L'éditeur s'engage à notifier la CNIL et, le cas échéant, les personnes concernées, en cas de violation de données dans les conditions prévues par les articles 33 et 34 du RGPD.

Contact

Pour toute question relative à la protection des données personnelles : vincent@gpaflow.com