RetourCopilote Artisan
Brouillon V1 — relecture juridique à prévoir avant GA

Document juridique — RGPD

Politique de confidentialité

Mises à jour le 18 mai 2026

1. Responsable de traitement

Le responsable de traitement des données personnelles collectées via le Service Copilote Artisan est l'éditeur identifié dans les mentions légales :

{{EDITEUR_RAISON_SOCIALE}}
{{EDITEUR_ADRESSE}}
SIRET : {{EDITEUR_SIRET}}

Toute question relative au traitement de vos données personnelles peut être adressée à contact@copilote-artisan.fr.

2. Données collectées

Données de compte

  • Adresse email professionnelle (identifiant de connexion)
  • Nom et prénom du dirigeant
  • Numéro SIRET, raison sociale, adresse de facturation
  • Coordonnées bancaires (IBAN) — chiffrées au repos en AES-256-GCM avec clé tournée régulièrement
  • Mot de passe — stocké uniquement sous forme de condensat (hash bcrypt)

Données d'usage du service

  • Devis, factures, dépenses, photos de chantier, plans
  • Données clients saisies par l'artisan
  • Messages échangés via la messagerie intégrée
  • Notes vocales et leur transcription

Données techniques (logs)

  • Adresse IP
  • User-agent (navigateur, système d'exploitation)
  • Horodatage des connexions et actions sensibles
  • Tentatives d'authentification (table AuthAttempt) — conservées 24 heures pour la lutte contre les attaques par force brute

3. Finalités du traitement

  • Exécution du contrat de fourniture du Service
  • Facturation et tenue de la comptabilité
  • Assistance des artisans dans leurs tâches administratives via l'intelligence artificielle (gain de temps)
  • Sécurité du Service et lutte contre la fraude
  • Amélioration du Service à partir de métriques agrégées et anonymisées

4. Bases légales

Exécution du contrat
Création et gestion du compte, génération des devis et factures, stockage des données métier.
Intérêt légitime
Sécurité du Service, prévention de la fraude, amélioration continue via télémétrie agrégée.
Obligation légale
Conservation des factures pendant 10 ans (article L.123-22 du Code de commerce).
Consentement
Sans objet en V1 : aucun cookie analytics tiers, aucun marketing email non sollicité. Le consentement sera requis pour toute future fonctionnalité optionnelle (newsletter, télémétrie comportementale détaillée).

5. Destinataires des données

Les données sont accessibles aux seules personnes habilitées au sein de l'éditeur, dans la stricte mesure nécessaire à l'exécution de leurs missions. Elles peuvent être transmises aux sous-traitants suivants :

  • Scaleway SAS (hébergement, France) — toutes les données
  • Fournisseurs d'intelligence artificielle (Groq, Mistral, Anthropic, OpenAI) — uniquement les données strictement nécessaires à la fonctionnalité demandée par l'Utilisateur (cf. mentions légales)
  • Brevo (envoi des emails transactionnels, France)

Aucune donnée n'est cédée, louée ni revendue à des tiers à des fins commerciales.

6. Hébergement et localisation

Les bases de données, les sauvegardes et les fichiers téléversés sont hébergés en France, dans la région fr-par de Scaleway SAS. La réplication des sauvegardes est cantonnée à l'Union européenne (Amsterdam, nl-ams).

7. Transferts hors Union européenne

Certains traitements d'intelligence artificielle (Groq, OpenAI, Anthropic) impliquent un transfert ponctuel de données vers les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021) et complétés par des mesures techniques additionnelles (chiffrement en transit TLS 1.3, minimisation des données transmises).

Le fournisseur Mistral AI étant établi en France, son utilisation n'entraîne aucun transfert hors UE.

8. Durées de conservation

Données de compte
Pendant toute la durée de vie du compte, supprimées dans un délai maximal de 30 jours après résiliation (sauf obligations légales).
Factures et pièces comptables
10 ans à compter de la clôture de l'exercice, conformément à l'article L.123-22 du Code de commerce.
Devis non signés
Pendant la durée du compte ; suppression sur demande dans les limites des obligations légales.
Logs de connexion
12 mois (article L.34-1 du Code des postes et communications électroniques pour les opérateurs ; durée alignée à titre de mesure de sécurité).
Tentatives d'authentification
24 heures (table AuthAttempt), suffisant pour la détection d'attaques.

9. Vos droits

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir copie des données vous concernant
  • Droit de rectification : corriger des données inexactes ou incomplètes
  • Droit à l'effacement (« droit à l'oubli ») : faire effacer vos données, sous réserve des obligations légales de conservation
  • Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime
  • Droit à la limitation du traitement
  • Droit de définir des directives post-mortem

Ces droits peuvent être exercés par email à contact@copilote-artisan.fr. Une réponse vous sera apportée dans un délai maximal de 30 jours. Une preuve d'identité pourra vous être demandée en cas de doute raisonnable sur l'identité du demandeur.

10. Réclamation auprès de la CNIL

Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : cnil.fr/fr/plaintes

11. Cookies

La gestion des cookies est détaillée sur la page Politique cookies.

Dernière mise à jour : 18 mai 2026.