Politique de Confidentialité

Politique de confidentialité d'EuTrustedIA.eu — finalités, base légale, sous-traitants, durées de conservation, droits RGPD, contact DPO.

Dernière mise à jour : — Version V0.6

Politique de Confidentialité

Version V0.6 — 2026-07-05 Cette page formalise les engagements d'EuTrustedIA.eu en matière de protection des données personnelles, conformément aux obligations suivantes :

  • Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016, articles 12 à 22
  • Loi Informatique et Libertés modifiée du 6 janvier 1978 (loi n° 78-17)
  • AI Act (Règlement UE 2024/1689) du 13 juin 2024, article 50 (transparence IA)
  • Loi pour la Confiance dans l'Économie Numérique (LCEN) du 21 juin 2004

Cette politique est complémentaire de nos Mentions Légales et de notre Politique de Cookies.

Dernière mise à jour : 2026-07-05 (V0.6).


1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via le site eutrustedia.eu et le sous-domaine app.eutrustedia.eu est :

  • Laurent Gérard SOUHY, exerçant en qualité d'Entrepreneur Individuel sous la dénomination commerciale « PiaXel »
  • Adresse du siège social : 138 Avenue Victor Hugo, 75016 Paris, France (domiciliation auprès de la société Les Tricolores SAS depuis le 2026-05-08, agrément préfectoral DOM2026009)
  • SIREN : 449 562 461
  • SIRET : 449 562 461 00052
  • Code APE/NAF : 7022Z« Conseil pour les affaires et autres conseils de gestion »
  • Email de contact : contact@eutrustedia.eu

2. Délégué à la Protection des Données (DPO)

Aucun DPO n'est désigné. Cette absence est argumentée au regard de l'article 37 du RGPD :

  • L'activité principale ne consiste pas en un traitement à grande échelle de données sensibles (article 9 RGPD) ni en un suivi régulier et systématique à grande échelle de personnes
  • Le pivot POSITRONIA (anciennement « Sentinel ») Local-First (acté le 2026-05-07) renforce cette posture : le scanner POSITRONIA s'exécute sur la machine du client et n'a jamais accès au code source ni aux données métier — seuls les rapports finaux PDF sont stockés dans l'Espace Client
  • Le périmètre de traitement reste limité aux données contractuelles (clients/experts) et aux données du site (visiteurs, abonnés newsletter)

Point de contact RGPD : pour toute question, demande de droits ou réclamation, contactez legal@eutrustedia.eu. Une réponse motivée est apportée dans un délai maximum d'un mois (article 12 RGPD), prolongeable de deux mois en cas de demande complexe avec information préalable.

3. Finalités et bases légales du traitement

Les données personnelles sont traitées pour les finalités suivantes, chacune fondée sur une base légale explicite (article 6 RGPD) :

FinalitéBase légaleArticle RGPD
Création et gestion du compte utilisateur (Annuaire / POSITRONIA)Exécution du contratArt. 6.1.b
Facturation, encaissement, gestion des litigesObligation légale + exécution du contratArt. 6.1.c, 6.1.b
Comptabilité, archivage légalObligation légaleArt. 6.1.c
Inscription au profil expert public dans l'AnnuaireConsentement expliciteArt. 6.1.a
Stockage des rapports POSITRONIA dans l'Espace ClientExécution du contratArt. 6.1.b
Active Learning POSITRONIA (envoi pattern + metadata anonymisés)Consentement explicite par findingArt. 6.1.a
🆕 Audit conformité d'un nœud SaaS / LLM / agent IA tiers (à venir Phase B)Exécution du contrat (inclus dans abonnement POSITRONIA selon quotas par plan)Art. 6.1.b
🆕 Audit conformité d'un nœud workflow IA-aided (à venir Phase B)Exécution du contrat (modalités définitives communiquées au lancement Phase B)Art. 6.1.b
Envoi de la newsletter EuTrustedIAConsentement expliciteArt. 6.1.a
Statistiques d'audience anonymisées (analytics)Intérêt légitimeArt. 6.1.f
Sécurité du site (anti-fraude, anti-bot, journaux techniques)Intérêt légitimeArt. 6.1.f
Réponse aux demandes de contactIntérêt légitimeArt. 6.1.f

Aucun traitement de données sensibles au sens de l'article 9 RGPD (santé, opinions politiques/religieuses, données biométriques, etc.) n'est effectué.

Aucune décision entièrement automatisée au sens de l'article 22 RGPD n'est prise sur la base des données collectées. Les recommandations LLM produites par POSITRONIA sont des outputs assistance soumis à validation humaine ; elles ne déclenchent aucun effet juridique automatique.

4. Catégories de données collectées

Les données personnelles traitées sont strictement limitées au nécessaire (principe de minimisation, article 5.1.c RGPD) :

4.1 Visiteurs du site (non-inscrits)

  • Adresse IP (anonymisée pour analytics, journalisée brute pour sécurité ≤ 12 mois)
  • User-Agent navigateur, langue, fuseau horaire
  • Pages visitées, durée, source de trafic
  • Cookies techniques et analytiques (cf. Politique de Cookies)

4.2 Abonnés newsletter

  • Adresse email
  • Date et IP d'inscription (preuve de consentement, article 7 RGPD)
  • Statut d'abonnement (actif / désinscrit) + horodatage

4.3 Clients abonnés POSITRONIA (SOLO 25€ HT, GENESIS 65€ HT, AVANTAGES 95€ HT, ENTREPRISE devis)

  • Identité : nom, prénom, dénomination sociale (si TPE/startup)
  • Email professionnel
  • Adresse de facturation, numéro de TVA intracommunautaire (B2B)
  • Données de paiement : AUCUNE donnée de carte ou IBAN n'est stockée par EuTrustedIA. Ces données sont collectées et traitées exclusivement par notre prestataire Mollie (Pays-Bas) en qualité de responsable de traitement distinct
  • Token de licence POSITRONIA (JWT Ed25519) lié au compte utilisateur
  • Métadonnées d'usage POSITRONIA : nombre de scans, dates, statut licence
  • Important : le code source scanné par POSITRONIA n'est JAMAIS transmis à EuTrustedIA. Tous les scans s'exécutent localement sur la machine du client (architecture Local-First). Seuls les rapports finaux (PDF + JSON résultat) sont synchronisés vers l'Espace Client cloud, sur demande explicite du client

4.4 Experts inscrits dans l'Annuaire

  • Identité professionnelle : nom, prénom, titre, photo de profil
  • Coordonnées professionnelles : email, téléphone, site web, profils LinkedIn / autres
  • Domaines de conformité couverts (RGPD, AI Act, NIS2, Cyber Resilience Act, etc.)
  • Spécialités, certifications, années d'expérience
  • Tarification indicative (libre choix de l'expert)
  • Statut : visible publiquement, vérifié, badge multi-rôle « ex-client devenu expert » (le cas échéant)

4.5 Active Learning POSITRONIA (opt-in par finding)

Lorsqu'un client choisit explicitement de contribuer à l'Active Learning POSITRONIA pour un finding spécifique :

  • Pattern de code anonymisé (signature abstraite, jamais le code source brut)
  • Metadata : type de règle déclenchée, langage, framework, statut faux-positif/vrai-positif
  • Aucune donnée d'identification du client ni du projet n'est transmise à EuTrustedIA pour ce traitement
  • Consentement révocable à tout moment via l'Espace Client

4.6 🆕 Modules Auditeur (à venir Phase B juillet 2026)

Les modules Auditeur introduiront les nouvelles catégories de données suivantes :

Nœud SaaS / LLM / agent IA tiers (inclus dans abonnements POSITRONIA selon quotas par plan)

  • URL du SaaS audité (donnée publique non-sensible — ex: https://fireworks.ai)
  • Cas d'usage déclaré (texte libre fourni par le client — ex: « j'utilise Fireworks via OpenCode pour mes projets dev backend »)
  • Sensibilité des données (sélection : publiques / professionnelles / sensibles RGPD Art. 9 / OIV)
  • Rapport d'audit généré (markdown + PDF + hash SHA-256 chaîné) stocké dans l'Espace Client du client uniquement

Aucune donnée du client (code source, données métier, secrets) n'est transmise à EuTrustedIA dans ce mode. L'analyse porte uniquement sur les pages publiques du SaaS audité (Trust Center, Privacy Policy, DPA si publics).

Nœud workflow IA-aided (à venir Phase B — modalités définitives au lancement)

  • Export JSON du workflow uploadé volontairement par le client depuis sa plateforme d'automatisation (n8n, Make, Zapier, OpenAI Tasks, Claude Skills, Pipedream)
  • L'export JSON peut contenir : références à des SaaS chaînés, credentials masqués (déjà obscurcis par les plateformes lors de l'export), structure des nœuds et data flows, prompts LLM définis dans le workflow
  • Important : EuTrustedIA recommande aux clients de vérifier le contenu de l'export JSON avant upload et de masquer toute donnée sensible résiduelle (l'audit fonctionne aussi sur des exports anonymisés)
  • Cas particulier des agences AIA / AIaaS : si une agence audite un workflow conçu pour son propre client, l'agence est responsable d'obtenir le consentement préalable de son client et de respecter ses propres obligations RGPD vis-à-vis de lui (sous-traitance, transfert, etc.)
  • Rapport d'audit généré (markdown + PDF + hash SHA-256 chaîné) stocké dans l'Espace Client du commanditaire de l'audit (l'agence ou le client final selon le cas)

Traitement strictement privé : les exports workflow et les rapports générés ne sont jamais publiés publiquement par EuTrustedIA, conformément à la doctrine Local-First étendue à tous les modules.

4.7 🆕 POSITRONIA-Observe (consentement explicite — audit runtime continu)

POSITRONIA-Observe n'est activé que sur consentement explicite, opt-in du client (RGPD Art. 6.1.a). Les conditions détaillées figurent dans les Conditions POSITRONIA-Observe. Catégories de données :

  • Rapports d'audit runtime scorés : métadonnées d'exécution, scores de conformité, sévérités, identifiants d'agents et de fenêtres temporelles, lien d'intégrité (chaîne LEDGER). Le détail est chiffré au repos (AES-256-GCM) ; transparence : le serveur le déchiffre pour l'affichage — ce n'est pas un dispositif « zero-knowledge ».
  • Jamais collectés : code source, traces d'exécution brutes, contenu métier des prompts/réponses (doctrine Local-First).
  • Journal de consentement : événements d'activation/révocation horodatés, version des conditions, empreinte d'IP hachée et salée (jamais l'IP en clair), user-agent borné — conservés de manière immuable à titre de preuve.
  • Base légale : consentement (Art. 6.1.a), révocable à tout moment depuis l'Espace Client (sans effet rétroactif sur la licéité des traitements antérieurs).

5. Destinataires des données — Sous-traitants

Les sous-traitants suivants peuvent être amenés à traiter des données personnelles pour le compte d'EuTrustedIA, dans le cadre strict de leurs missions et conformément à l'article 28 RGPD. Pour chaque sous-traitant, un Data Processing Agreement (DPA) est en place ou en cours de signature.

Sous-traitantRôleLocalisationGaranties
Vercel Inc. (États-Unis)Hébergement applicationRégion Frankfurt 🇩🇪 (data residency EU)DPA EU + Standard Contractual Clauses (SCC)
Neon Inc. (États-Unis)Base de données PostgreSQLRégion Frankfurt 🇩🇪DPA EU + SCC
Infisical Inc. (États-Unis)Gestion des secretsRégion Frankfurt 🇩🇪DPA EU + SCC
Mollie B.V. 🇳🇱 (Pays-Bas)Paiement et facturationPays-Bas (UE)Responsable de traitement distinct pour les données de paiement
Brevo SAS 🇫🇷 (France, ex-Sendinblue)Email transactionnel et newsletterParis (France)Sous-traitance UE pure
Infomaniak Network SA 🇨🇭 (Suisse)Webinaires (kMeet), backups (kDrive)Genève (Suisse) — pays adéquat (décision UE 2000/518/CE)Sous-traitance pays adéquat
Qonto (Olinda SAS, RCS Paris 819 489 626) 🇫🇷Banque professionnelle (compte courant, IBAN, paiements entrants)Paris (France) — établissement de paiement agréé ACPRConvention bancaire (relation banque-client distincte de l'art. 28 RGPD)
Pennylane SAS (RCS Paris 838 622 333) 🇫🇷Comptabilité (factures clients, archivage légal 10 ans, déclarations TVA)Paris (France)Sous-traitance UE pure, DPA intégré CGV
Les Tricolores SAS (RCS Paris 849 409 313, agrément DOM2026009) 🇫🇷Domiciliation administrative — 138 Av. Victor Hugo, 75016 ParisParis (France)Sous-traitance UE pure, contrat signé 2026-05-08

Phase C migration souveraine (calendrier : 6-9 mois post-go-live 2026-05-30) : migration prévue de Vercel + Neon + Infisical vers Infomaniak Public Cloud + Postgres + Infisical self-hosted (Suisse 🇨🇭) pour renforcer la souveraineté de l'hébergement (hors UE, mais sous adéquation RGPD et hors CLOUD Act US). EuTrustedIA cartographie son exposition juridictionnelle couche par couche plutôt que de revendiquer une souveraineté « 100 % ». Cette évolution sera annoncée publiquement aux utilisateurs lors de son exécution effective.

Aucune donnée n'est transférée hors de l'Espace économique européen vers des pays tiers ne bénéficiant pas d'une décision d'adéquation, à l'exception des sous-traitants américains listés ci-dessus, dont les transferts sont encadrés par les Standard Contractual Clauses (Décision d'exécution UE 2021/914) et la décision d'adéquation EU-US Data Privacy Framework — Décision d'exécution (UE) 2023/1795 du 10 juillet 2023 — lorsqu'ils y sont certifiés.

6. Durées de conservation

CatégorieDurée activeArchivage légalBase
Compte utilisateur POSITRONIA actifTant que l'abonnement est actif+ 5 ans après résiliation (prescription civile)Art. 2224 Code civil
Données de facturationAnnée en cours + clôture+ 10 ans (livres comptables)Art. L123-22 Code de commerce
Logs de sécurité bruts12 mois maximumLCEN art. 6-II + décret n° 2021-1362 du 20 octobre 2021 + recommandations CNIL
Logs anonymisés / analytics25 mois maximumRecommandation CNIL
Profils experts publicsTant que l'inscription est activeSuppression effective sous 30 jours après désinscriptionConsentement révocable
Abonnés newsletterTant que l'abonnement n'est pas révoquéSuppression effective sous 30 jours après désinscriptionConsentement révocable
Rapports POSITRONIA dans l'Espace ClientTant que l'abonnement est actif+ 12 mois après résiliation (preuve audit-trail RGPD/AI Act client)Exécution du contrat
🆕 Rapports POSITRONIA-Observe dans l'Espace ClientObserve Lite : 30 jours glissants · Observe Pro : 1 anConsentement (Art. 6.1.a)
🆕 Journal de consentement POSITRONIA-Observe (activation/révocation)Immuable pendant la relation contractuelle+ durée de prescription (audit-trail à valeur probatoire — intégrité et authenticité)Intérêt légitime probatoire + obligation de preuve du consentement (Art. 7.1)
🆕 Rapports Auditeur nœud SaaS / LLM / agent tiers dans l'Espace ClientTant que l'abonnement est actif+ 12 mois après résiliation (preuve audit-trail)Exécution du contrat
🆕 Rapports Auditeur nœud workflow IA-aided + exports JSON workflow associés+ 12 mois après l'audit (pour audit-trail à valeur probatoire — intégrité et authenticité)+ 36 mois optionnel à la demande du commanditaire (agences AIA / AIaaS pour suivi clients récurrents)Exécution du contrat (modalités définitives au lancement Phase B)
Tokens de licence JWTDurée de validité du token (max 30 jours offline)Sécurité technique
Demandes de contact / support3 ans après dernier échangePrescription commerciale
Active Learning POSITRONIA (patterns anonymisés)Indéfinie (déjà anonymisée)Donnée non-personnelle après anonymisation

7. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) — « droit à l'oubli » : faire supprimer vos données dans les cas prévus par le RGPD
  • Droit à la limitation du traitement (art. 18) : suspendre temporairement le traitement
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (art. 21) : vous opposer au traitement pour motifs légitimes, ou de manière inconditionnelle pour la prospection
  • Droit de retirer votre consentement (art. 7.3) à tout moment, sans préjudice de la licéité du traitement antérieur
  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : non applicable car aucune décision automatisée individuelle n'est prise (cf. § 3)
  • Droit à la mort numérique (Loi Informatique et Libertés, art. 85) : transmettre des directives sur le sort de vos données après votre décès

Comment exercer vos droits :

  • Email : legal@eutrustedia.eu — précisez « Droit RGPD » + nature de votre demande
  • Pièce d'identité : peut être demandée en cas de doute légitime sur l'identité du demandeur (article 12.6 RGPD)
  • Délai de réponse : 1 mois maximum, prolongeable de 2 mois pour les demandes complexes (vous serez informé)
  • Coût : gratuit, sauf demande manifestement infondée ou excessive

Réclamation auprès de la CNIL : si la réponse apportée à votre demande ne vous satisfait pas, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • Site web : www.cnil.fr/fr/plaintes
  • Adresse : 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
  • Téléphone : 01 53 73 22 22

8. Sécurité des données (Article 32 RGPD)

EuTrustedIA met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :

8.1 Mesures techniques

  • Chiffrement en transit : TLS 1.3 obligatoire sur toutes les communications HTTP
  • Chiffrement au repos : envelope encryption AES-256-GCM pour les données sensibles, conformément à la doctrine cryptographique non-négociable PiaXel (audit crypto externe ciblé prévu avant lancement payant)
  • Gestion des secrets : Infisical Cloud (région Frankfurt) — défense en profondeur, jamais committés dans le code source
  • Authentification : Better Auth avec hash bcrypt, sessions signées, MFA disponible
  • Tokens de licence POSITRONIA : JWT Ed25519 (cryptographie asymétrique), validation offline 30 jours maximum
  • Audit-trail cryptographique : LEDGER chaîné par hash SHA-256 pour toutes les décisions structurelles (compliance auto-démontrable)
  • Mise à jour des dépendances : Renovate + scans Semgrep/Trivy/gitleaks/Bandit hebdomadaires sur l'infrastructure EuTrustedIA elle-même

8.2 Mesures organisationnelles

  • Accès aux données strictement limité aux personnes habilitées (principe du moindre privilège)
  • Journalisation des accès aux données sensibles
  • Procédure de notification de violation de données : conforme à l'article 33 RGPD (CNIL dans les 72 heures) et article 34 RGPD (information des personnes concernées le cas échéant)
  • Cybersec hebdomadaire obligatoire avant toute intégration d'un outil tiers (5+2 tests cybersec doctrine PiaXel)

8.3 Architecture Local-First étendue aux 3 modules (différenciateur sécurité)

La doctrine Local-First acté le 2026-05-07 (ADR 2026-05-07__pivot_sentinel_local_first_cloud_reports_sync.md) est étendue à l'ensemble des modules EuTrustedIA :

Module 1 — POSITRONIA Scanner (V0 mai 2026) :

  • S'exécute exclusivement sur la machine du client
  • Le code source scanné ne quitte jamais l'environnement du client
  • EuTrustedIA n'a jamais accès au code source, aux données métier, aux secrets, ni aux logs internes du client
  • Token offline 30 jours pour fonctionnement air-gappé total

Module 2 — Auditeur nœud SaaS / LLM / agent IA tiers (à venir Phase B) :

  • Analyse les pages publiques du SaaS audité (Trust Center, Privacy Policy, DPA si publics)
  • Aucun code client transmis à EuTrustedIA
  • Le client fournit uniquement l'URL du SaaS et son cas d'usage déclaré
  • Le rapport généré est stocké uniquement dans l'Espace Client privé du client

Module 3 — Auditeur nœud workflow IA-aided (à venir Phase B) :

  • Analyse l'export JSON du workflow uploadé volontairement par le client
  • Pas d'accès aux serveurs de la plateforme source (n8n, Make, Zapier, etc.) — le client extrait lui-même son workflow
  • Les credentials sont déjà masqués par les plateformes lors de l'export natif
  • Recommandation explicite EuTrustedIA : vérifier le contenu de l'export avant upload pour masquer toute donnée sensible résiduelle
  • Le rapport généré est stocké uniquement dans l'Espace Client privé du commanditaire (client direct ou agence AIA/AIaaS auditant pour son client)

Avantage de sécurité décisif : cette architecture Local-First étendue constitue un avantage majeur pour les ICP haute sécurité (banques privées, santé, défense, cabinets juridiques) et permet à EuTrustedIA d'auditer la conformité IA d'un client sans jamais accéder à son code applicatif, ses données métier ou ses secrets de production.

9. Marquage AI Act — Article 50

Conformément à l'article 50 du Règlement européen sur l'Intelligence Artificielle (Règlement UE 2024/1689), tout contenu généré par un système d'intelligence artificielle dans le cadre des services EuTrustedIA est explicitement marqué comme tel :

  • Recommandations LLM-aided dans les rapports POSITRONIA (signalées via badge « 🤖 Suggestion IA »)
  • Contenu éditorial assisté par IA dans le blog SEO ou la newsletter (mention en pied d'article)
  • Outputs des fonctionnalités IA optionnelles GENESIS et AVANTAGES (BYOK Mistral SaaS) : marqués dans l'interface

Cette obligation de transparence est non-négociable et fait partie de la doctrine « conformité auto-démontrable » d'EuTrustedIA : si nous vendons de la conformité, nous devons être exemplaires sur notre propre conformité.

10. Cookies et traceurs

L'utilisation de cookies et traceurs est détaillée dans la Politique de Cookies.

En résumé :

  • Cookies strictement nécessaires au fonctionnement du site : déposés sans consentement (base légale : intérêt légitime, recommandation CNIL)
  • Cookies de mesure d'audience anonymisée : configurables conformément à la délibération CNIL n° 2020-091
  • Cookies tiers (réseaux sociaux, marketing) : soumis à consentement explicite via bandeau cookies

11. Modification de la Politique de Confidentialité

Cette politique peut être modifiée en cas d'évolution :

  • Du cadre réglementaire (RGPD, AI Act, lois nationales)
  • Des sous-traitants ou de leur localisation
  • Des fonctionnalités du site ou de POSITRONIA

Toute modification substantielle sera notifiée :

  • Sur le site (bandeau d'information pendant 30 jours)
  • Par email aux utilisateurs disposant d'un compte (modifications affectant leurs droits)

La date de dernière mise à jour figure en en-tête du document. L'historique des versions est conservé en bas de page.

12. Loi applicable et juridiction

La présente politique est soumise au droit français et au Règlement Général sur la Protection des Données européen.

Tout litige relatif à son application relève de la compétence exclusive des tribunaux français, après tentative de résolution amiable et, le cas échéant, saisine de la CNIL.


Versions et historique

VersionDateModifications
V0.62026-07-05Renommage POSITRONIA (anciennement Sentinel) + corrections factuelles d'alignement (audit 2026-07-05) : en-tête interne aligné, politique de cookies publiée.
V02026-05-08Version initiale rédigée le jour du paiement Tricolores. Pré-réception SIREN INPI. Architecture POSITRONIA Local-First documentée.
V0.12026-05-08Adresse de domiciliation Tricolores intégrée (138 Av. Victor Hugo, 75016 Paris) suite à attestation officielle. Nom commercial corrigé « PiaXel » (suppression « Nexus » non-inscrit Tricolores). § Sous-traitants enrichi RCS + agrément.
V0.22026-05-08SIREN 449 562 461 + SIRET 449 562 461 00052 + Code NAF 7022Z complétés. Deuxième prénom « Gérard » ajouté à l'identité civile. Email contact legal@eutrustedia.eu (limite 5 boîtes mail hébergeur). Sous-traitants enrichis avec Qonto (banque pro) et Pennylane (comptabilité). Tableaux convertis HTML inline pour rendu MDX correct sans dépendance remark-gfm.
V0.32026-05-08Alignement avec la vision business consolidée du 8 mai 2026 : §3 ajout des finalités Auditeur SaaS Mode 1 (inclus abonnement) et Auditeur Workflow Mode 2 (pay-per-use accessible aux non-abonnés). §4 ajout §4.6 nouvelles catégories de données pour les modules Auditeur (URL SaaS audité, cas d'usage, sensibilité, export JSON workflow uploadé volontairement). Mention spéciale agences AIA/AIaaS auditant pour leurs clients. §6 ajout durées de conservation rapports d'audit (12 mois post-audit, +36 mois optionnel agences). §8.3 architecture Local-First étendue aux 3 modules avec détail technique pour chaque module (POSITRONIA scanner, Auditeur SaaS, Auditeur Workflow).
V0.42026-06-10Alignement doctrine ADR 2026-05-30 + précisions fondements (GATE pré-go-live, revue juridique Temps 1 Mistral souverain). F1 : terminologie « Mode 1 / Mode 2 » remplacée par « nœud SaaS/LLM/agent IA tiers » / « nœud workflow IA-aided » (§3, §4.6, §6, §8.3). F2 : mention « pay-per-use accessible aux non-abonnés » neutralisée → « modalités définitives communiquées au lancement Phase B ». F8 : fondement logs 12 mois précisé → ajout « décret n° 2021-1362 du 20 octobre 2021 » aux côtés de LCEN art. 6-II. F10 : référence EU-US DPF complétée par le numéro officiel « Décision d'exécution (UE) 2023/1795 du 10 juillet 2023 ». Points non tranchés conservés (Mollie qualification, SCC/DPF certification nominative, Active Learning anonymisation). Validation avocat tech planifiée Phase B.
V0.52026-06-20Ajout du traitement POSITRONIA-Observe (Lane B3, consentement explicite audit runtime continu) : §4.7 nouvelle catégorie de données (rapports scorés chiffrés au repos AES-256-GCM avec transparence « pas de zero-knowledge », journal de consentement immuable, IP hachée+salée), §6 deux lignes de conservation (rapports Observe Lite 30 j / Pro 1 an ; journal de consentement immuable + prescription). Base légale Art. 6.1.a, révocation à tout moment. Renvoi au document dédié /legal/conditions-observe. Statut DIY en attente de revue avocat (Phase B).
V1 prévuePhase B (juin-juillet 2026)Validation par avocat tech spécialisé RGPD + AI Act, après premiers revenus encaissés.