Soumettre

Politique de Confidentialité

Politique de confidentialité d'EuTrustedIA.eu — finalités, base légale, sous-traitants, durées de conservation, droits RGPD, contact DPO.

Dernière mise à jour : — Version V0.3

Politique de Confidentialité

Version V0.3 — 2026-05-08 Cette page formalise les engagements d'EuTrustedIA.eu en matière de protection des données personnelles, conformément aux obligations suivantes :

  • Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, articles 12 à 22
  • Loi Informatique et Libertés modifiée du 6 janvier 1978 (loi n° 78-17)
  • AI Act (Règlement UE 2024/1689) du 13 juin 2024, article 50 (transparence IA)
  • Loi pour la Confiance dans l'Économie Numérique (LCEN) du 21 juin 2004

Cette politique est complémentaire de nos Mentions Légales et de notre Politique de Cookies (à venir).

Dernière mise à jour : 2026-05-08 (V0.3 — alignement avec la vision business consolidée du 8 mai 2026 : ajout des finalités de traitement liées aux modules Auditeur SaaS et Auditeur Workflow à venir Phase B juillet 2026, nouvelle catégorie de données § 4.6 pour les exports JSON workflow uploadés volontairement par les clients, durée de conservation des rapports d'audit, extension architecture Local-First aux 3 modules).

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via le site eutrustedia.eu et le sous-domaine app.eutrustedia.eu est :

  • Laurent Gérard SOUHY, exerçant en qualité d'Entrepreneur Individuel sous la dénomination commerciale « PiaXel »
  • Adresse du siège social : 138 Avenue Victor Hugo, 75016 Paris, France (domiciliation auprès de la société Les Tricolores SAS depuis le 2026-05-08, agrément préfectoral DOM2026009)
  • SIREN : 449 562 461
  • SIRET : 449 562 461 00052
  • Code APE/NAF : 7022Z« Conseil pour les affaires et autres conseils de gestion »
  • Email de contact : contact@eutrustedia.eu

2. Délégué à la Protection des Données (DPO)

Aucun DPO n'est désigné. Cette absence est argumentée au regard de l'article 37 du RGPD :

  • L'activité principale ne consiste pas en un traitement à grande échelle de données sensibles (article 9 RGPD) ni en un suivi régulier et systématique à grande échelle de personnes
  • Le pivot Sentinel Local-First (acté le 2026-05-07) renforce cette posture : le scanner Sentinel s'exécute sur la machine du client et n'a jamais accès au code source ni aux données métier — seuls les rapports finaux PDF sont stockés dans l'Espace Client
  • Le périmètre de traitement reste limité aux données contractuelles (clients/experts) et aux données du site (visiteurs, abonnés newsletter)

Point de contact RGPD : pour toute question, demande de droits ou réclamation, contactez legal@eutrustedia.eu. Une réponse motivée est apportée dans un délai maximum d'un mois (article 12 RGPD), prolongeable de deux mois en cas de demande complexe avec information préalable.

3. Finalités et bases légales du traitement

Les données personnelles sont traitées pour les finalités suivantes, chacune fondée sur une base légale explicite (article 6 RGPD) :

FinalitéBase légaleArticle RGPD
Création et gestion du compte utilisateur (Annuaire / Sentinel)Exécution du contratArt. 6.1.b
Facturation, encaissement, gestion des litigesObligation légale + exécution du contratArt. 6.1.c, 6.1.b
Comptabilité, archivage légalObligation légaleArt. 6.1.c
Inscription au profil expert public dans l'AnnuaireConsentement expliciteArt. 6.1.a
Stockage des rapports Sentinel dans l'Espace ClientExécution du contratArt. 6.1.b
Active Learning Sentinel (envoi pattern + metadata anonymisés)Consentement explicite par findingArt. 6.1.a
🆕 Audit conformité d'un SaaS / LLM / agent IA tiers (Auditeur SaaS Mode 1 — à venir Phase B)Exécution du contrat (inclus dans abonnement Sentinel)Art. 6.1.b
🆕 Audit conformité d'un workflow d'automatisation IA-aided (Auditeur Workflow Mode 2 — à venir Phase B)Exécution du contrat (pay-per-use, accessible aux abonnés et non-abonnés)Art. 6.1.b
Envoi de la newsletter EuTrustedIAConsentement expliciteArt. 6.1.a
Statistiques d'audience anonymisées (analytics)Intérêt légitimeArt. 6.1.f
Sécurité du site (anti-fraude, anti-bot, journaux techniques)Intérêt légitimeArt. 6.1.f
Réponse aux demandes de contactIntérêt légitimeArt. 6.1.f

Aucun traitement de données sensibles au sens de l'article 9 RGPD (santé, opinions politiques/religieuses, données biométriques, etc.) n'est effectué.

Aucune décision entièrement automatisée au sens de l'article 22 RGPD n'est prise sur la base des données collectées. Les recommandations LLM produites par Sentinel sont des outputs assistance soumis à validation humaine ; elles ne déclenchent aucun effet juridique automatique.

4. Catégories de données collectées

Les données personnelles traitées sont strictement limitées au nécessaire (principe de minimisation, article 5.1.c RGPD) :

4.1 Visiteurs du site (non-inscrits)

  • Adresse IP (anonymisée pour analytics, journalisée brute pour sécurité ≤ 12 mois)
  • User-Agent navigateur, langue, fuseau horaire
  • Pages visitées, durée, source de trafic
  • Cookies techniques et analytiques (cf. Politique de Cookies)

4.2 Abonnés newsletter

  • Adresse email
  • Date et IP d'inscription (preuve de consentement, article 7 RGPD)
  • Statut d'abonnement (actif / désinscrit) + horodatage

4.3 Clients abonnés Sentinel (SOLO 29€, GENESIS 69€, AVANTAGES 99€, ENTREPRISE devis)

  • Identité : nom, prénom, dénomination sociale (si TPE/startup)
  • Email professionnel
  • Adresse de facturation, numéro de TVA intracommunautaire (B2B)
  • Données de paiement : AUCUNE donnée de carte ou IBAN n'est stockée par EuTrustedIA. Ces données sont collectées et traitées exclusivement par notre prestataire Mollie (Pays-Bas) en qualité de responsable de traitement distinct
  • Token de licence Sentinel (JWT Ed25519) lié au compte utilisateur
  • Métadonnées d'usage Sentinel : nombre de scans, dates, statut licence
  • Important : le code source scanné par Sentinel n'est JAMAIS transmis à EuTrustedIA. Tous les scans s'exécutent localement sur la machine du client (architecture Local-First). Seuls les rapports finaux (PDF + JSON résultat) sont synchronisés vers l'Espace Client cloud, sur demande explicite du client

4.4 Experts inscrits dans l'Annuaire

  • Identité professionnelle : nom, prénom, titre, photo de profil
  • Coordonnées professionnelles : email, téléphone, site web, profils LinkedIn / autres
  • Domaines de conformité couverts (RGPD, AI Act, NIS2, Cyber Resilience Act, etc.)
  • Spécialités, certifications, années d'expérience
  • Tarification indicative (libre choix de l'expert)
  • Statut : visible publiquement, vérifié, badge multi-rôle « ex-client devenu expert » (le cas échéant)

4.5 Active Learning Sentinel (opt-in par finding)

Lorsqu'un client choisit explicitement de contribuer à l'Active Learning Sentinel pour un finding spécifique :

  • Pattern de code anonymisé (signature abstraite, jamais le code source brut)
  • Metadata : type de règle déclenchée, langage, framework, statut faux-positif/vrai-positif
  • Aucune donnée d'identification du client ni du projet n'est transmise à EuTrustedIA pour ce traitement
  • Consentement révocable à tout moment via l'Espace Client

4.6 🆕 Modules Auditeur SaaS et Auditeur Workflow (à venir Phase B juillet 2026)

Les modules Auditeur introduiront les nouvelles catégories de données suivantes :

Auditeur SaaS (Mode 1 — inclus dans abonnements Sentinel)

  • URL du SaaS audité (donnée publique non-sensible — ex: https://fireworks.ai)
  • Cas d'usage déclaré (texte libre fourni par le client — ex: « j'utilise Fireworks via OpenCode pour mes projets dev backend »)
  • Sensibilité des données (sélection : publiques / professionnelles / sensibles RGPD Art. 9 / OIV)
  • Rapport d'audit généré (markdown + PDF + hash SHA-256 chaîné) stocké dans l'Espace Client du client uniquement

Aucune donnée du client (code source, données métier, secrets) n'est transmise à EuTrustedIA dans ce mode. L'analyse porte uniquement sur les pages publiques du SaaS audité (Trust Center, Privacy Policy, DPA si publics).

Auditeur Workflow (Mode 2 — pay-per-use, accessible aux non-abonnés)

  • Export JSON du workflow uploadé volontairement par le client depuis sa plateforme d'automatisation (n8n, Make, Zapier, OpenAI Tasks, Claude Skills, Pipedream)
  • L'export JSON peut contenir : références à des SaaS chaînés, credentials masqués (déjà obscurcis par les plateformes lors de l'export), structure des nœuds et data flows, prompts LLM définis dans le workflow
  • Important : EuTrustedIA recommande aux clients de vérifier le contenu de l'export JSON avant upload et de masquer toute donnée sensible résiduelle (l'audit fonctionne aussi sur des exports anonymisés)
  • Cas particulier des agences AIA / AIaaS : si une agence audite un workflow conçu pour son propre client, l'agence est responsable d'obtenir le consentement préalable de son client et de respecter ses propres obligations RGPD vis-à-vis de lui (sous-traitance, transfert, etc.)
  • Rapport d'audit généré (markdown + PDF + hash SHA-256 chaîné) stocké dans l'Espace Client du commanditaire de l'audit (l'agence ou le client final selon le cas)

Traitement strictement privé : les exports workflow et les rapports générés ne sont jamais publiés publiquement par EuTrustedIA, conformément à la doctrine Local-First étendue à tous les modules.

5. Destinataires des données — Sous-traitants

Les sous-traitants suivants peuvent être amenés à traiter des données personnelles pour le compte d'EuTrustedIA, dans le cadre strict de leurs missions et conformément à l'article 28 RGPD. Pour chaque sous-traitant, un Data Processing Agreement (DPA) est en place ou en cours de signature.

Sous-traitantRôleLocalisationGaranties
Vercel Inc. (États-Unis)Hébergement applicationRégion Frankfurt 🇩🇪 (data residency EU)DPA EU + Standard Contractual Clauses (SCC)
Neon Inc. (États-Unis)Base de données PostgreSQLRégion Frankfurt 🇩🇪DPA EU + SCC
Infisical Inc. (États-Unis)Gestion des secretsRégion Frankfurt 🇩🇪DPA EU + SCC
Mollie B.V. 🇳🇱 (Pays-Bas)Paiement et facturationPays-Bas (UE)Responsable de traitement distinct pour les données de paiement
Brevo SAS 🇫🇷 (France, ex-Sendinblue)Email transactionnel et newsletterParis (France)Sous-traitance UE pure
Infomaniak Network SA 🇨🇭 (Suisse)Webinaires (kMeet), backups (kDrive)Genève (Suisse) — pays adéquat (décision UE 2000/518/CE)Sous-traitance pays adéquat
Qonto (Olinda SAS, RCS Paris 819 489 626) 🇫🇷Banque professionnelle (compte courant, IBAN, paiements entrants)Paris (France) — établissement de paiement agréé ACPRConvention bancaire (relation banque-client distincte de l'art. 28 RGPD)
Pennylane SAS (RCS Paris 838 622 333) 🇫🇷Comptabilité (factures clients, archivage légal 10 ans, déclarations TVA)Paris (France)Sous-traitance UE pure, DPA intégré CGV
Les Tricolores SAS (RCS Paris 849 409 313, agrément DOM2026009) 🇫🇷Domiciliation administrative — 138 Av. Victor Hugo, 75016 ParisParis (France)Sous-traitance UE pure, contrat signé 2026-05-08

Phase C migration souveraine (calendrier : 6-9 mois post-go-live 2026-05-30) : migration prévue de Vercel + Neon + Infisical vers Infomaniak Public Cloud + Postgres + Infisical self-hosted (Suisse 🇨🇭) pour atteindre une stack 100 % souveraine. Cette évolution sera annoncée publiquement aux utilisateurs lors de son exécution effective.

Aucune donnée n'est transférée hors de l'Espace économique européen vers des pays tiers ne bénéficiant pas d'une décision d'adéquation, à l'exception des sous-traitants américains listés ci-dessus, dont les transferts sont encadrés par les Standard Contractual Clauses (Décision d'exécution UE 2021/914) et la décision d'adéquation EU-US Data Privacy Framework (10 juillet 2023) lorsqu'ils y sont certifiés.

6. Durées de conservation

CatégorieDurée activeArchivage légalBase
Compte utilisateur Sentinel actifTant que l'abonnement est actif+ 5 ans après résiliation (prescription civile)Art. 2224 Code civil
Données de facturationAnnée en cours + clôture+ 10 ans (livres comptables)Art. L123-22 Code de commerce
Logs de sécurité bruts12 mois maximumLCEN art. 6-II + recommandations CNIL
Logs anonymisés / analytics25 mois maximumRecommandation CNIL
Profils experts publicsTant que l'inscription est activeSuppression effective sous 30 jours après désinscriptionConsentement révocable
Abonnés newsletterTant que l'abonnement n'est pas révoquéSuppression effective sous 30 jours après désinscriptionConsentement révocable
Rapports Sentinel dans l'Espace ClientTant que l'abonnement est actif+ 12 mois après résiliation (preuve audit-trail RGPD/AI Act client)Exécution du contrat
🆕 Rapports Auditeur SaaS (Mode 1) dans l'Espace ClientTant que l'abonnement est actif+ 12 mois après résiliation (preuve audit-trail)Exécution du contrat
🆕 Rapports Auditeur Workflow (Mode 2) + exports JSON workflow associés+ 12 mois après l'audit (pour audit-trail légalement opposable)+ 36 mois optionnel à la demande du commanditaire (agences AIA / AIaaS pour suivi clients récurrents)Exécution du contrat (pay-per-use)
Tokens de licence JWTDurée de validité du token (max 30 jours offline)Sécurité technique
Demandes de contact / support3 ans après dernier échangePrescription commerciale
Active Learning Sentinel (patterns anonymisés)Indéfinie (déjà anonymisée)Donnée non-personnelle après anonymisation

7. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) — « droit à l'oubli » : faire supprimer vos données dans les cas prévus par le RGPD
  • Droit à la limitation du traitement (art. 18) : suspendre temporairement le traitement
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (art. 21) : vous opposer au traitement pour motifs légitimes, ou de manière inconditionnelle pour la prospection
  • Droit de retirer votre consentement (art. 7.3) à tout moment, sans préjudice de la licéité du traitement antérieur
  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : non applicable car aucune décision automatisée individuelle n'est prise (cf. § 3)
  • Droit à la mort numérique (Loi Informatique et Libertés, art. 85) : transmettre des directives sur le sort de vos données après votre décès

Comment exercer vos droits :

  • Email : legal@eutrustedia.eu — précisez « Droit RGPD » + nature de votre demande
  • Pièce d'identité : peut être demandée en cas de doute légitime sur l'identité du demandeur (article 12.6 RGPD)
  • Délai de réponse : 1 mois maximum, prolongeable de 2 mois pour les demandes complexes (vous serez informé)
  • Coût : gratuit, sauf demande manifestement infondée ou excessive

Réclamation auprès de la CNIL : si la réponse apportée à votre demande ne vous satisfait pas, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • Site web : www.cnil.fr/fr/plaintes
  • Adresse : 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
  • Téléphone : 01 53 73 22 22

8. Sécurité des données (Article 32 RGPD)

EuTrustedIA met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :

8.1 Mesures techniques

  • Chiffrement en transit : TLS 1.3 obligatoire sur toutes les communications HTTP
  • Chiffrement au repos : envelope encryption AES-256-GCM pour les données sensibles, conformément à la doctrine cryptographique non-négociable PiaXel (audit crypto externe ciblé prévu avant lancement payant)
  • Gestion des secrets : Infisical Cloud (région Frankfurt) — défense en profondeur, jamais committés dans le code source
  • Authentification : Better Auth avec hash bcrypt, sessions signées, MFA disponible
  • Tokens de licence Sentinel : JWT Ed25519 (cryptographie asymétrique), validation offline 30 jours maximum
  • Audit-trail cryptographique : LEDGER chaîné par hash SHA-256 pour toutes les décisions structurelles (compliance auto-démontrable)
  • Mise à jour des dépendances : Renovate + scans Semgrep/Trivy/gitleaks/Bandit hebdomadaires sur l'infrastructure EuTrustedIA elle-même

8.2 Mesures organisationnelles

  • Accès aux données strictement limité aux personnes habilitées (principe du moindre privilège)
  • Journalisation des accès aux données sensibles
  • Procédure de notification de violation de données : conforme à l'article 33 RGPD (CNIL dans les 72 heures) et article 34 RGPD (information des personnes concernées le cas échéant)
  • Cybersec hebdomadaire obligatoire avant toute intégration d'un outil tiers (5+2 tests cybersec doctrine PiaXel)

8.3 Architecture Local-First étendue aux 3 modules (différenciateur sécurité)

La doctrine Local-First acté le 2026-05-07 (ADR 2026-05-07__pivot_sentinel_local_first_cloud_reports_sync.md) est étendue à l'ensemble des modules EuTrustedIA :

Module 1 — Sentinel Scanner (V0 mai 2026) :

  • S'exécute exclusivement sur la machine du client
  • Le code source scanné ne quitte jamais l'environnement du client
  • EuTrustedIA n'a jamais accès au code source, aux données métier, aux secrets, ni aux logs internes du client
  • Token offline 30 jours pour fonctionnement air-gappé total

Module 2 — Auditeur SaaS Mode 1 (à venir Phase B) :

  • Analyse les pages publiques du SaaS audité (Trust Center, Privacy Policy, DPA si publics)
  • Aucun code client transmis à EuTrustedIA
  • Le client fournit uniquement l'URL du SaaS et son cas d'usage déclaré
  • Le rapport généré est stocké uniquement dans l'Espace Client privé du client

Module 3 — Auditeur Workflow Mode 2 (à venir Phase B) :

  • Analyse l'export JSON du workflow uploadé volontairement par le client
  • Pas d'accès aux serveurs de la plateforme source (n8n, Make, Zapier, etc.) — le client extrait lui-même son workflow
  • Les credentials sont déjà masqués par les plateformes lors de l'export natif
  • Recommandation explicite EuTrustedIA : vérifier le contenu de l'export avant upload pour masquer toute donnée sensible résiduelle
  • Le rapport généré est stocké uniquement dans l'Espace Client privé du commanditaire (client direct ou agence AIA/AIaaS auditant pour son client)

Avantage de sécurité décisif : cette architecture Local-First étendue constitue un avantage majeur pour les ICP haute sécurité (banques privées, santé, défense, cabinets juridiques) et permet à EuTrustedIA d'auditer la conformité IA d'un client sans jamais accéder à son code applicatif, ses données métier ou ses secrets de production.

9. Marquage AI Act — Article 50

Conformément à l'article 50 du Règlement européen sur l'Intelligence Artificielle (Règlement UE 2024/1689), tout contenu généré par un système d'intelligence artificielle dans le cadre des services EuTrustedIA est explicitement marqué comme tel :

  • Recommandations LLM-aided dans les rapports Sentinel (signalées via badge « 🤖 Suggestion IA »)
  • Contenu éditorial assisté par IA dans le blog SEO ou la newsletter (mention en pied d'article)
  • Outputs des fonctionnalités IA optionnelles GENESIS et AVANTAGES (BYOK Mistral SaaS, Llama-Guard 3 OSS local) : marqués dans l'interface

Cette obligation de transparence est non-négociable et fait partie de la doctrine « conformité auto-démontrable » d'EuTrustedIA : si nous vendons de la conformité, nous devons être exemplaires sur notre propre conformité.

10. Cookies et traceurs

L'utilisation de cookies et traceurs est détaillée dans la Politique de Cookies (à venir, CO-051 Bloc 1 #5).

En résumé :

  • Cookies strictement nécessaires au fonctionnement du site : déposés sans consentement (base légale : intérêt légitime, recommandation CNIL)
  • Cookies de mesure d'audience anonymisée : configurables conformément à la délibération CNIL n° 2020-091
  • Cookies tiers (réseaux sociaux, marketing) : soumis à consentement explicite via bandeau cookies

11. Modification de la Politique de Confidentialité

Cette politique peut être modifiée en cas d'évolution :

  • Du cadre réglementaire (RGPD, AI Act, lois nationales)
  • Des sous-traitants ou de leur localisation
  • Des fonctionnalités du site ou de Sentinel

Toute modification substantielle sera notifiée :

  • Sur le site (bandeau d'information pendant 30 jours)
  • Par email aux utilisateurs disposant d'un compte (modifications affectant leurs droits)

La date de dernière mise à jour figure en en-tête du document. L'historique des versions est conservé en bas de page.

12. Loi applicable et juridiction

La présente politique est soumise au droit français et au Règlement Général sur la Protection des Données européen.

Tout litige relatif à son application relève de la compétence exclusive des tribunaux français, après tentative de résolution amiable et, le cas échéant, saisine de la CNIL.

Versions et historique

VersionDateModifications
V02026-05-08Version initiale rédigée le jour du paiement Tricolores. Pré-réception SIREN INPI. Architecture Sentinel Local-First documentée.
V0.12026-05-08Adresse de domiciliation Tricolores intégrée (138 Av. Victor Hugo, 75016 Paris) suite à attestation officielle. Nom commercial corrigé « PiaXel » (suppression « Nexus » non-inscrit Tricolores). § Sous-traitants enrichi RCS + agrément.
V0.22026-05-08SIREN 449 562 461 + SIRET 449 562 461 00052 + Code NAF 7022Z complétés. Deuxième prénom « Gérard » ajouté à l'identité civile. Email contact legal@eutrustedia.eu (limite 5 boîtes mail hébergeur). Sous-traitants enrichis avec Qonto (banque pro) et Pennylane (comptabilité). Tableaux convertis HTML inline pour rendu MDX correct sans dépendance remark-gfm.
V0.32026-05-08Alignement avec la vision business consolidée du 8 mai 2026 : §3 ajout des finalités Auditeur SaaS Mode 1 (inclus abonnement) et Auditeur Workflow Mode 2 (pay-per-use accessible aux non-abonnés). §4 ajout §4.6 nouvelles catégories de données pour les modules Auditeur (URL SaaS audité, cas d'usage, sensibilité, export JSON workflow uploadé volontairement). Mention spéciale agences AIA/AIaaS auditant pour leurs clients. §6 ajout durées de conservation rapports d'audit (12 mois post-audit, +36 mois optionnel agences). §8.3 architecture Local-First étendue aux 3 modules avec détail technique pour chaque module (Sentinel scanner, Auditeur SaaS, Auditeur Workflow).
V1 prévuePhase B (juin-juillet 2026)Validation par avocat tech spécialisé RGPD + AI Act, après premiers revenus encaissés.