Politique de confidentialité

⚠️ Document à personnaliser — Remplacez les éléments entre [crochets] par vos vraies informations.

🔒 Notre engagement : Ecopilot s'engage à protéger vos données personnelles avec le plus grand soin, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés modifiée.

1. Responsable du traitement

Le responsable du traitement est :

Hamsata FALL — Entrepreneur individuel (ECOPILOT)
Siège social : 140 Avenue Chanzy, 53000 Laval, France
SIRET : 105 076 210 00019
Email : contact@ecopilot-ai.com
Délégué à la protection des données (DPO) : rgpd@ecopilot-ai.com

2. Données collectées

Dans le cadre de l'utilisation du service Ecopilot, nous collectons les catégories de données suivantes :

2.1 Données de compte

Donnée	Finalité	Base légale
Nom, prénom	Identification du Client	Exécution du contrat
Adresse email	Connexion, communication, facturation	Exécution du contrat
Mot de passe (chiffré)	Sécurisation de l'accès	Exécution du contrat
Nom de l'entreprise, secteur	Personnalisation du service	Exécution du contrat
Téléphone, adresse postale (optionnel)	Facturation, contact	Consentement

2.2 Données d'utilisation

Donnée	Finalité	Base légale
Réponses au diagnostic	Fournir le service de diagnostic	Exécution du contrat
Plans d'action et indicateurs	Suivi et amélioration continue	Exécution du contrat
Historique des diagnostics	Comparaison dans le temps	Exécution du contrat
Logs de connexion, adresse IP	Sécurité et prévention de la fraude	Intérêt légitime

2.3 Données de paiement

Les données bancaires (numéro de carte, date d'expiration, CVC) sont collectées et traitées exclusivement par notre prestataire Stripe Payments Europe Ltd., certifié PCI-DSS niveau 1.

Ces données ne transitent jamais par nos serveurs et nous n'y avons pas accès. Seules les informations de facturation (montant, date, statut) nous sont communiquées.

3. Finalités du traitement

Vos données personnelles sont collectées et traitées pour les finalités suivantes :

Fourniture du service : exécution des diagnostics, génération des plans d'action, suivi des indicateurs ;
Gestion du compte : authentification, support, communication relative à l'abonnement ;
Facturation : émission des factures, gestion des paiements, comptabilité ;
Communication commerciale : newsletters, informations produit (uniquement avec consentement) ;
Sécurité : prévention de la fraude, protection contre les abus ;
Amélioration du service : analyse statistique anonymisée d'usage.

4. Bases légales du traitement

Conformément à l'article 6 du RGPD, nous nous appuyons sur les bases légales suivantes :

Exécution du contrat (art. 6.1.b) : pour les données nécessaires à la fourniture du service ;
Obligation légale (art. 6.1.c) : pour la facturation, la comptabilité (conservation 10 ans) ;
Intérêt légitime (art. 6.1.f) : pour la sécurité, la prévention de la fraude, l'amélioration du service ;
Consentement (art. 6.1.a) : pour les communications marketing, les cookies non essentiels.

5. Destinataires des données

Vos données peuvent être partagées avec les destinataires suivants, exclusivement dans le cadre des finalités décrites :

Destinataire	Finalité	Localisation
Stripe Payments Europe Ltd.	Traitement des paiements	Irlande (UE)
Anthropic PBC	Intelligence artificielle (génération de plans d'action et synthèses) — données anonymisées	États-Unis*
Vercel Inc.	Hébergement du service	UE (région Paris pour la base de données Supabase) / USA (hébergement Vercel)
Brevo (sib.com) — uniquement en cas d'inscription explicite à la newsletter	Envoi des emails transactionnels	UE (région Paris pour la base de données Supabase) / USA (hébergement Vercel)

* Transferts hors UE encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne, conformément aux articles 45 et 46 du RGPD.

Nous ne vendons jamais vos données à des tiers. Aucune donnée n'est transmise à des fins publicitaires.

6. Durée de conservation

Type de données	Durée de conservation
Données de compte (utilisateur actif)	Pendant toute la durée de l'abonnement
Données de compte (après résiliation)	30 jours puis suppression (sauf obligation légale)
Données de facturation	10 ans (obligation comptable)
Logs de connexion	12 mois maximum
Données marketing (consentement)	3 ans après le dernier contact
Cookies	13 mois maximum

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

📥 Droit d'accès

Obtenir confirmation que vos données sont traitées et en recevoir une copie.

✏️ Droit de rectification

Corriger des données inexactes ou incomplètes.

🗑️ Droit à l'effacement

Demander la suppression de vos données ("droit à l'oubli").

⏸️ Droit à la limitation

Geler temporairement le traitement de vos données.

📦 Droit à la portabilité

Récupérer vos données dans un format structuré et réutilisable.

🚫 Droit d'opposition

Vous opposer au traitement pour des raisons légitimes.

🤖 Droit relatif aux décisions automatisées

Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.

⚰️ Directives post-mortem

Définir le sort de vos données après votre décès.

Comment exercer vos droits ?

Vous pouvez exercer vos droits à tout moment :

Par email : contact@ecopilot-ai.com (objet : "Exercice de mes droits RGPD") ;
Par courrier : 140 Avenue Chanzy, 53000 Laval, France ;
Depuis votre espace personnel : rubrique "Mon profil" → "Gestion de mes données".

Nous répondons à votre demande sous 1 mois maximum à compter de sa réception. Une pièce d'identité pourra vous être demandée pour vérifier votre identité.

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données :

🔐 Chiffrement : HTTPS/TLS pour toutes les communications, mots de passe hachés (bcrypt) ;
🛡️ Authentification : protection contre les accès non autorisés, sessions sécurisées ;
💾 Sauvegardes : chiffrées et géo-redondées ;
🏢 Hébergement : centres de données certifiés (ISO 27001) ;
👥 Accès interne : limité au strict nécessaire, traçabilité complète ;
🔄 Mises à jour : correctifs de sécurité appliqués régulièrement.

9. Cookies

Le site Ecopilot utilise différents types de cookies :

9.1 Cookies strictement nécessaires (pas de consentement requis)

Cookies de session (authentification) ;
Cookies de sécurité (CSRF, anti-fraude) ;
Cookies de préférence (langue choisie).

9.2 Cookies soumis à consentement

Cookies de mesure d'audience : Aucun (aucun outil d'analytics tiers utilisé) pour comprendre l'usage du site ;
Cookies marketing : aucun cookie publicitaire n'est utilisé.

Lors de votre première visite, un bandeau vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos préférences à tout moment via le lien "Gestion des cookies" en bas de page.

10. Transferts hors UE

Certains de nos sous-traitants (Anthropic, hébergeurs, services email) peuvent être situés en dehors de l'Union Européenne, notamment aux États-Unis.

Ces transferts sont encadrés par :

Les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne ;
Des engagements contractuels de confidentialité et de sécurité ;
Des mesures techniques complémentaires (chiffrement, pseudonymisation).

11. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous avez le droit d'introduire une réclamation auprès de la CNIL :

Site web : www.cnil.fr
Adresse : 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22

12. Modifications de la politique

La présente politique peut être modifiée à tout moment pour s'adapter aux évolutions légales ou à nos pratiques. Toute modification substantielle vous sera notifiée par email 30 jours avant son entrée en vigueur.

13. Contact

Pour toute question relative à cette politique ou au traitement de vos données :

Email : contact@ecopilot-ai.com
Courrier : 140 Avenue Chanzy, 53000 Laval, France
DPO : rgpd@ecopilot-ai.com