Aulia accorde une importance capitale à la protection des données à caractère personnel de ses Clients ainsi que des visiteurs (leads) finaux qualifiés par notre solution, conformément au Règlement Général sur la Protection des Données (UE 2016/679, ci-après « RGPD ») et à la loi Informatique et Libertés modifiée.
Article 1 — Responsable du traitement
Le responsable du traitement des données collectées via le Site et le service Aulia est :
- Auguste CLEMMERSSEUNE, auto-entrepreneur.
- 43 rue de Jemmapes, 59800 Lille, France.
- SIRET : 89798533900034.
- Contact RGPD : augusteclem14@gmail.com.
Article 2 — Collecte et finalités des données
Dans le cadre de l'utilisation de la plateforme Aulia, deux catégories de traitements sont opérées :
2.1 Données relatives aux Clients d'Aulia (Responsabilité directe)
Aulia collecte les données d'identité, de contact et de facturation des Clients (nom, prénom, raison sociale, adresse e-mail professionnelle, numéro de téléphone, SIRET, données de carte bancaire masquées via Stripe) aux fins de gestion de l'abonnement, support technique, facturation et envoi d'alertes opérationnelles.
Bases légales : exécution du contrat (art. 6.1.b RGPD) et obligation légale (art. 6.1.c RGPD).
2.2 Données des leads (Sous-traitance pour le compte du Client)
Pour le traitement des données des visiteurs interagissant avec l'Agent IA Aulia déployé sur le site du Client, l'Éditeur agit en qualité de SOUS-TRAITANT au sens de l'article 28 du RGPD. Le Client demeure RESPONSABLE DU TRAITEMENT. Les données collectées par l'Agent IA (budget, coordonnées, nature du projet, typologie de logement, urgence, etc.) sont traitées dans l'unique but de permettre la qualification commerciale automatisée.
Un avenant de sous-traitance RGPD (DPA — Data Processing Agreement) est annexé au contrat d'abonnement signé par chaque Client lors de la souscription, conformément à l'article 28.3 du RGPD.
Article 3 — Liste des sous-traitants ultérieurs
Conformément à l'article 28.2 du RGPD, l'Éditeur informe ses Clients de la liste des sous-traitants ultérieurs qu'il engage dans le cadre du service Aulia :
| Sous-traitant | Finalité | Pays | Mécanisme de transfert |
|---|---|---|---|
| Hostinger International Ltd. | Hébergement du site et plateforme SaaS | Chypre (UE) | Aucun transfert hors UE |
| Stripe Payments Europe Ltd. | Traitement des paiements bancaires | Irlande (UE) + USA | Clauses Contractuelles Types (SCC) UE |
| Anthropic, PBC | Traitement des conversations par LLM (Claude) | États-Unis | SCC UE + DPF |
| OpenAI, LLC | Traitement des conversations par LLM (GPT) | États-Unis | SCC UE + DPF |
| n8n GmbH | Orchestration des workflows automatisés | Allemagne (UE) ou auto-hébergé | Aucun transfert hors UE |
Tout changement de sous-traitant ultérieur fera l'objet d'une information préalable au Client avec un préavis de trente (30) jours.
Article 4 — Transferts hors Union européenne
Certains sous-traitants (Stripe, Anthropic, OpenAI) sont susceptibles d'effectuer des traitements de données depuis des serveurs situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne et, le cas échéant, par le Data Privacy Framework (DPF) UE-USA en vigueur depuis juillet 2023, garantissant un niveau de protection équivalent à celui exigé par le RGPD.
Article 5 — Durée de conservation des données
| Catégorie de donnée | Durée de conservation |
|---|---|
| Données Clients (identité, contact, abonnement) | Durée du contrat + 5 ans (prescription commerciale) |
| Pièces comptables et factures | 10 ans après clôture de l'exercice |
| Données des leads classés Vert ou Orange | 24 mois maximum à compter de la collecte |
| Données des leads classés Rouge | 6 mois maximum à compter de la collecte |
Le Client peut demander à tout moment l'effacement anticipé des données collectées sur son compte, dans la limite des obligations légales de conservation qui s'imposent à l'Éditeur.
Article 6 — Sécurité des données
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :
- Chiffrement TLS 1.3 des communications entre le navigateur, le Site et la plateforme.
- Authentification forte des comptes administrateurs (mot de passe complexe, 2FA recommandé).
- Sauvegardes quotidiennes des bases de données.
- Journalisation des accès et anomalies.
- Cloisonnement des environnements de développement et de production.
Article 7 — Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont collectées dispose des droits suivants :
- Droit d'accès, de rectification et d'effacement (« droit à l'oubli »).
- Droit à la limitation et à l'opposition au traitement.
- Droit à la portabilité des données.
- Droit de définir des directives post-mortem.
- Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Ces droits peuvent être exercés en adressant un e-mail à augusteclem14@gmail.com. Une réponse est apportée dans un délai d'un (1) mois à compter de la réception de la demande.
Article 8 — Notification de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur s'engage à notifier l'incident à la CNIL dans un délai de soixante-douze (72) heures après en avoir pris connaissance, et à informer les Clients ainsi que les personnes concernées dans les meilleurs délais lorsque le risque est élevé.