Politique de confidentialité
Engagements de DDV IT-Solutions sur le traitement de vos données personnelles, conformément au RGPD (UE 2016/679).
1. Responsable du traitement
DDV IT-Solutions (SAS · SIRET 928 417 948 00017)
Chemin de la Gabre · 06690 Tourrette-Levens · France
Téléphone : +33 6 12 16 81 32
Email : contact@ged-ia.com
Représentant légal : Monsieur David DI VINCENZO
2. Données collectées et finalités
| Donnée | Finalité | Base légale (RGPD) |
|---|---|---|
| Nom, email, identifiant | Authentification, notifications transactionnelles, contact support | Exécution du contrat |
| Mot de passe (haché bcrypt cost=12) | Authentification | Exécution du contrat |
| Code secret TOTP 2FA (chiffré côté serveur) | Authentification renforcée (RFC 6238), optionnelle | Consentement |
| Société, groupes, rôle (super_admin / company_admin / user) | Contrôle d'accès RBAC multi-sociétés | Exécution du contrat |
| Documents uploadés (PDF, Word, TXT) | Cœur du service : stockage et indexation documentaire | Exécution du contrat |
| Métadonnées extraites par IA (titre, résumé, mots-clés, thèmes, type de document) | Recherche, classement, statistiques GED | Exécution du contrat |
| Historique des conversations chatbot (recherches effectuées) | Historique personnel de recherches, amélioration du service | Exécution du contrat |
| Adresse IP, user-agent, horodatage des accès, sessions | Sécurité, journal d'audit, lutte contre la fraude | Intérêt légitime |
3. Données NON collectées (par construction)
- ❌ Aucun cookie publicitaire, de profilage ou de partage avec des plateformes tierces.
- ❌ Aucun script de tracking comportemental (Google Analytics, Facebook Pixel, Hotjar, etc.).
- ❌ Aucune donnée de géolocalisation précise, biométrique ou de santé.
- ❌ Aucun profilage automatisé produisant des effets juridiques (article 22 RGPD).
- ❌ Aucune revente, location ou partage commercial de données.
4. Analyse IA des documents — point important sur la transmission de contenu
| Fournisseur IA utilisé | Modèle | Hébergement | Cadre légal de transfert |
|---|---|---|---|
| Anthropic, PBC | claude-sonnet-4-5 par défaut (configurable vers claude-opus-4-1 ou claude-haiku-4-5) | États-Unis (548 Market Street, San Francisco) | EU-US Data Privacy Framework (DPF) + clauses contractuelles types Anthropic |
Politique de rétention Anthropic : Anthropic s'engage contractuellement à ne pas utiliser les données API pour l'entraînement de ses modèles, et applique une rétention courte (30 jours maximum, à des fins anti-abus). Politique détaillée : anthropic.com/legal/commercial-terms.
Important si vous traitez des données sensibles (santé, défense, secret industriel, données très confidentielles) : nous vous déconseillons l'usage de GED IA dans son architecture actuelle, car le contenu de vos documents transite par l'API Anthropic au moment de l'analyse. Une version on-premise (auto-hébergée chez vous, sans aucun appel externe) peut être étudiée sur demande — contactez-nous.
5. Destinataires des données
Vos données sont accessibles uniquement par :
- Vous-même via votre interface utilisateur authentifiée.
- Les administrateurs de votre société, sur la base d'un modèle RBAC granulaire (rôles :
user,company_admin,super_admin) — un user ne voit que ses documents et ceux partagés avec son groupe. - L'équipe technique de DDV IT-Solutions, uniquement pour les opérations de maintenance, sauvegarde et support strictement nécessaires, dans la limite minimale d'accès. Aucun salarié ne consulte vos documents en routine.
- Anthropic, PBC, uniquement au moment de l'analyse à l'upload du document, voir section 4.
- Sur réquisition judiciaire dûment formulée selon les procédures légales en vigueur.
6. Durées de conservation
- Compte utilisateur : tant que le compte est actif. Suppression sur demande sous 30 jours.
- Documents uploadés : conservation permanente jusqu'à suppression manuelle par l'utilisateur ou l'administrateur. Stockage chiffré au niveau disque (OVHcloud, France).
- Métadonnées IA : durée identique aux documents auxquels elles sont rattachées (cascade suppression).
- Conversations chatbot et historique de recherches : conservation 12 mois glissants, puis purge automatique.
- Logs Apache et journal d'audit applicatif : 90 jours (avec rotation), 1 an pour les événements de sécurité.
- Sessions inactives : invalidation automatique après 2 heures sans activité (configuration Laravel
SESSION_LIFETIME=120). - Sauvegardes automatiques : 30 jours glissants (BDD + storage app).
7. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (UE 2016/679), vous disposez des droits suivants :
- Droit d'accès — obtenir copie des données vous concernant.
- Droit de rectification — modifier vos données depuis votre profil ou via le support.
- Droit à l'effacement — suppression de votre compte et données associées (documents, métadonnées, historique de recherches).
- Droit à la portabilité — export de vos documents et métadonnées au format JSON sur demande.
- Droit d'opposition et de limitation du traitement.
- Droit de retirer votre consentement à tout moment (notamment pour la 2FA ou les notifications email).
- Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Pour exercer vos droits, contactez-nous à contact@ged-ia.com. Réponse sous 30 jours maximum.
8. Sécurité des données
Mesures techniques et organisationnelles mises en œuvre :
- TLS 1.3 sur toutes les communications HTTP/HTTPS (avec HSTS et redirection automatique).
- Certificat SSL Let's Encrypt renouvelé automatiquement (validation HTTP-01).
- Mots de passe hachés bcrypt cost=12 (résistant aux attaques GPU).
- Authentification à deux facteurs (TOTP RFC 6238) disponible pour tous les comptes.
- Cookies HttpOnly + SameSite=Lax + Secure (en production HTTPS) — voir notre politique de cookies.
- Protection CSRF Laravel (jeton XSRF-TOKEN obligatoire sur toutes les requêtes POST/PUT/DELETE).
- Clés API IA chiffrées en base via la clé applicative Laravel (
Crypt::encryptString). - Stockage applicatif sur partition dédiée (
/Sites/documindai/storage/app/) avec permissions Unix restreintes (owner ubuntu:www-data, mode 775). - Hébergement sur serveur dédié OVHcloud en France — aucune mutualisation, aucune virtualisation partagée avec d'autres locataires.
- Mises à jour de sécurité appliquées régulièrement sur Apache, PHP, PostgreSQL et OS Ubuntu LTS.
9. Transferts hors Union européenne
L'infrastructure de stockage et de calcul est hébergée intégralement en France (OVHcloud). Le seul transfert régulier de données hors UE concerne :
- Le contenu textuel des documents transmis à l'API Anthropic Claude (hébergée aux États-Unis), uniquement à l'upload. Voir section 4.
- Le cas échéant, les emails transactionnels via votre fournisseur de messagerie configuré.
Ce transfert est encadré par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) et les clauses contractuelles types Anthropic.
10. Cookies et traceurs
Aucun cookie publicitaire ou de tracking n'est utilisé. Seuls deux cookies strictement nécessaires sont déposés (session de connexion + protection CSRF). Voir notre Politique de cookies pour le détail complet.
11. Modifications de la politique
Nous pouvons être amenés à modifier cette politique pour refléter des évolutions techniques, légales ou organisationnelles. La date de dernière mise à jour est indiquée en bas de page. En cas de modification substantielle, vous serez informé par email ou par notification dans l'application.
12. Contact
Pour toute question relative à la confidentialité ou à l'exercice de vos droits, contactez-nous à contact@ged-ia.com.