Dernière mise à jour : — Version V0.3
Version V0.1 — 2026-05-09 Cette politique formalise les engagements d'EuTrustedIA.eu concernant l'usage des cookies et traceurs déposés sur les terminaux des utilisateurs, conformément aux obligations légales suivantes :
- Directive ePrivacy 2002/58/CE modifiée par la directive 2009/136/CE (dite « directive cookies »)
- Règlement Général sur la Protection des Données (RGPD) — Règlement (UE) 2016/679, articles 4(11), 6(1)(a) et 7
- Loi Informatique et Libertés modifiée du 6 janvier 1978 (loi n° 78-17), article 82
- CNIL — Lignes directrices et recommandation « cookies et autres traceurs » (délibération n° 2020-091 du 17 septembre 2020 et recommandation du 1er octobre 2020, dernière mise à jour applicable)
- EDPB — Lignes directrices 05/2020 sur le consentement au sens du Règlement (UE) 2016/679
Cette politique est complémentaire de nos Mentions Légales et de notre Politique de Confidentialité.
Dernière mise à jour : 2026-07-05 (V0.3 — renommage POSITRONIA (anciennement Sentinel) + corrections factuelles d'alignement (audit 2026-07-05)).
EuTrustedIA.eu (le « Site ») est un service B2B édité par Laurent Gérard SOUHY EI (nom commercial PiaXel), dont les coordonnées détaillées figurent dans les Mentions Légales.
La présente Politique de Cookies a pour objet de décrire de manière transparente et compréhensible :
EuTrustedIA s'inscrit dans une doctrine de conformité auto-démontrable : si nous vendons un service de conformité IA, nous devons être exemplaires sur notre propre conformité. Cette politique est donc rédigée avec un parti pris anti-greenwashing : les cookies tiers à venir (Phase B) sont annoncés ici avant leur activation, et les cookies que nous refusons d'utiliser sont listés explicitement (cf. § 5).
Un cookie est un petit fichier de données (texte structuré ou binaire) déposé sur le terminal de l'utilisateur (ordinateur, tablette, smartphone) par le navigateur, lors de la consultation d'un site web. La notion de « traceur » est plus large et englobe également les pixels invisibles, les identifiants stockés en localStorage / sessionStorage, les fingerprints navigateur et toute autre technologie permettant de stocker ou de lire des informations sur le terminal (article 82 LIL, lignes directrices CNIL 2020).
La présente politique couvre l'ensemble des traceurs au sens large, et pas uniquement les cookies HTTP au sens strict.
La CNIL et l'EDPB distinguent quatre catégories de traceurs, dont seules les deux premières peuvent être déposées sans consentement préalable :
| Catégorie | Consentement requis ? | Exemples |
|---|---|---|
| Strictement nécessaires | Non (exemption art. 82 LIL, CNIL lignes directrices §17) | Authentification, panier, sécurité CSRF, équilibrage de charge, mémorisation du choix de consentement lui-même |
| Fonctionnels (préférences) | Non, si limités au strict choix utilisateur explicite | Préférence de langue (NEXT_LOCALE), préférence de mode sombre/clair, préférence d'unités |
| Mesure d'audience | Oui (sauf cas configuré CNIL avec anonymisation forte et finalités limitées) | Statistiques anonymisées, comptage de pages visitées |
| Publicitaires / réseaux sociaux / marketing tiers | Oui, consentement explicite obligatoire | Exemples génériques de cette catégorie, non utilisés par EuTrustedIA (cf. § 5 et § 10) : Google Analytics (mode standard), Meta Pixel, TikTok Pixel, retargeting |
EuTrustedIA s'engage à ne déposer que des cookies des catégories 1 et 2 sans consentement préalable, et à recueillir un consentement explicite et granulaire pour toute catégorie 3 ou 4 — étant précisé que la catégorie 4 n'est pas utilisée par EuTrustedIA (cf. § 5).
Le tableau ci-dessous liste l'ensemble des cookies et traceurs directement déposés par le Site EuTrustedIA.eu sur votre terminal. Cette liste a été vérifiée dans le code source du Site à la date de mise à jour de la présente politique.
| Nom | Émetteur | Finalité | Catégorie | Durée | Consentement requis ? |
|---|---|---|---|---|---|
better-auth.session_token | Better Auth (EuTrustedIA — first party) | Maintenir la session authentifiée d'un utilisateur connecté à son compte (Annuaire, Espace Client POSITRONIA (anciennement « Sentinel »)) | Strictement nécessaire | 30 jours (rolling) | Non (exemption art. 82 LIL — authentification) |
better-auth.csrf | Better Auth (EuTrustedIA — first party) | Protection contre les attaques de type Cross-Site Request Forgery (CSRF) lors des soumissions de formulaires authentifiés | Strictement nécessaire | Session (durée du navigateur ouvert) | Non (exemption art. 82 LIL — sécurité) |
NEXT_LOCALE | Next.js i18n (EuTrustedIA — first party) | Mémoriser la préférence linguistique de l'utilisateur (FR par défaut, EN à venir Phase B) après son choix explicite | Fonctionnel (préférence utilisateur) | 1 an | Non (exemption — choix utilisateur explicite, pas de croisement avec d'autres données) |
cookie_consent_eu | Bandeau de consentement EuTrustedIA (first party) | Conserver le choix de consentement de l'utilisateur (accepté / refusé / par catégorie) pour ne pas le solliciter à chaque visite. Constitue la preuve du consentement exigée par l'article 7.1 du RGPD. | Strictement nécessaire (exemption explicite CNIL — cookie de mémorisation du choix lui-même) | 6 mois maximum (recommandation CNIL) | Non (preuve de consentement) |
_vercel* (famille — ex: __vercel_live_token, __vercel_session) | Vercel Inc. (hébergeur infrastructure — data region Frankfurt 🇩🇪) | Cookies techniques d'infrastructure : équilibrage de charge, routage edge, déploiement preview | Strictement nécessaire (infrastructure d'hébergement) | Session | Non (exemption — fonctionnement technique du Site) |
Note technique : le Site réalise une mesure d'audience via Plausible Analytics (détaillée au § 4.5), mais celle-ci est sans cookie ni stockage d'aucune sorte sur votre terminal (pas de cookie, pas de localStorage, pas de fingerprint). À ce titre, elle ne constitue pas un « traceur » au sens de l'article 82 LIL et ne requiert pas de consentement préalable. Aucun cookie de mesure d'audience n'est donc déposé : les seuls cookies présents (tableau ci-dessus) relèvent des catégories strictement nécessaires ou fonctionnelles.
Bandeau de consentement : en l'état, le Site ne dépose aucun cookie soumis à consentement — seules les catégories strictement nécessaires et fonctionnelles, exemptées de consentement au sens de l'article 82 LIL, sont actives. Aucun bandeau de consentement n'est donc requis aujourd'hui. Si des traceurs soumis à consentement (mesure d'audience tierce, marketing) venaient à être introduits, un bandeau de consentement granulaire conforme aux lignes directrices CNIL 2020 (acceptation/refus par finalité, refus aussi simple que l'acceptation, cf. § 6.2) serait déployé au préalable, et le cookie de préférence cookie_consent_eu matérialiserait votre choix.
EuTrustedIA travaille avec un nombre volontairement réduit de prestataires tiers, sélectionnés pour leur souveraineté européenne ou leur conformité RGPD avérée. La liste ci-dessous précise pour chacun s'il dépose des cookies sur le domaine eutrustedia.eu, et avec quelles garanties.
Aucun cookie n'est déposé sur eutrustedia.eu par Mollie. Le processus de paiement fonctionne par redirection complète vers le domaine checkout.mollie.com, où Mollie agit en qualité de responsable de traitement distinct pour les données de paiement.
Les cookies déposés sur checkout.mollie.com lors de la phase de paiement relèvent exclusivement de la responsabilité de Mollie B.V. et de sa propre politique de cookies, consultable sur https://www.mollie.com/privacy.
Phase A (au lancement 2026-05-30) : Brevo est utilisé uniquement pour l'envoi de mails transactionnels (confirmation de compte, facture, notification) et de la newsletter (opt-in explicite). Ces usages ne déposent aucun cookie sur le navigateur de l'utilisateur via le Site.
Phase B (à venir, juillet 2026) : EuTrustedIA pourra activer la fonctionnalité de tracking d'ouverture et de clic dans les emails Brevo, qui repose sur un pixel invisible déposé par Brevo dans les emails (pas sur le Site directement). Cette activation ne sera jamais réalisée sans information préalable de l'utilisateur dans la présente politique et sans opt-in explicite dans la newsletter elle-même (case à cocher non pré-cochée lors de l'inscription).
| Nom | Émetteur | Finalité | Catégorie | Durée | Consentement requis ? |
|---|---|---|---|---|---|
mautic_cookie [Phase B optionnel] | Brevo SAS 🇫🇷 (ex-Sendinblue) | Tracking ouverture/clic email — analytics performance newsletter | Mesure d'audience tiers | À définir Phase B | Oui — opt-in explicite obligatoire |
État Phase A (2026-05) : ce cookie n'est PAS déposé. Sa présence dans le tableau anticipe Phase B et matérialise notre engagement anti-greenwashing : nous annonçons ce qui pourrait être activé, avant de l'activer.
Vercel agit en sous-traitant d'EuTrustedIA pour l'hébergement applicatif Next.js, sous DPA EU signé (Standard Contractual Clauses + EU-US Data Privacy Framework). La région de données est Frankfurt (Allemagne 🇩🇪), garantissant que les données restent au sein de l'Union européenne.
Les cookies __vercel_* listés au § 3 sont strictement techniques et ne donnent lieu à aucun croisement publicitaire ni profilage.
Les webinaires éventuels organisés via kMeet Infomaniak (Phase A : flux manuel) se déroulent sur le domaine kmeet.infomaniak.com et ne déposent aucun cookie sur eutrustedia.eu. Les cookies de session kMeet relèvent de la responsabilité d'Infomaniak SA (Suisse — pays adéquat au sens du RGPD, décision UE 2000/518/CE).
Le Site utilise Plausible Analytics (plausible.io, service hébergé dans l'Union européenne) pour une mesure d'audience agrégée et respectueuse de la vie privée. Plausible agit en qualité de sous-traitant d'EuTrustedIA au sens de l'article 28 du RGPD.
Particularité déterminante : Plausible ne dépose aucun cookie et n'écrit ni ne lit aucune information sur votre terminal — pas de cookie, pas de localStorage, pas d'identifiant persistant, pas de fingerprinting. Les statistiques produites sont agrégées et anonymes : aucune donnée n'identifie un visiteur individuel, et aucun croisement n'est opéré avec d'autres sites ou d'autres traitements.
| Caractéristique | Détail |
|---|---|
| Finalité | Statistiques d'audience agrégées (pages vues, sources de trafic) |
| Cookie déposé ? | Non — aucun cookie ni stockage sur le terminal |
| Donnée personnelle ? | Mesure conçue pour être anonyme (pas d'identifiant individuel) |
| Hébergement | Union européenne 🇪🇺 |
| Consentement requis ? | Non — absence de traceur au sens de l'article 82 LIL ; mesure d'audience relevant de l'exemption CNIL lorsqu'elle est limitée et anonymisée |
Cette approche correspond précisément au type de mesure d'audience exemptée de consentement envisagé par la CNIL (lignes directrices 2020), sous réserve d'une finalité limitée et d'une absence de recoupement — conditions ici réunies. EuTrustedIA privilégie volontairement cet outil souverain à des solutions telles que Google Analytics (cf. § 5).
Conformément à la doctrine de souveraineté numérique européenne d'EuTrustedIA, une migration Phase C est planifiée à partir du 4ᵉ trimestre 2026 vers un hébergement à souveraineté renforcée Infomaniak Public Cloud (Suisse 🇨🇭, hors UE mais sous adéquation RGPD et hors CLOUD Act US). À cette occasion, l'ensemble des cookies infrastructure listés au § 3 et § 4.3 (famille __vercel_*) sera remplacé par les cookies équivalents Infomaniak. La présente politique sera mise à jour avec un préavis de 30 jours avant la bascule effective (cf. § 10).
EuTrustedIA prend l'engagement explicite de ne PAS utiliser les traceurs suivants, ni à la date de mise à jour de la présente politique, ni dans une perspective Phase A / Phase B :
EuTrustedIA n'utilise PAS de cookies Google Analytics, Meta Pixel, ni traceurs publicitaires.
Cet engagement est opposable : si EuTrustedIA devait, à l'avenir, modifier cette posture, la présente politique serait mise à jour préalablement à toute activation, avec un préavis minimum de 30 jours notifié sur le Site, et un opt-in explicite serait requis pour toute catégorie soumise à consentement.
Le consentement aux traceurs soumis à l'article 82 LIL est recueilli conformément aux lignes directrices CNIL 2020 et à l'EDPB Lignes directrices 05/2020 sur le consentement :
cookie_consent_eu et, le cas échéant, dans les journaux serveur (article 7.1 RGPD)Le bandeau de consentement EuTrustedIA respecte les exigences suivantes :
État actuel : aucun traceur soumis à consentement n'étant déposé (cf. § 3 et note ci-dessus), le bandeau granulaire décrit dans cette section ne s'applique qu'au cas où de tels traceurs seraient introduits ultérieurement — il serait alors déployé préalablement à toute activation.
Conformément à la délibération CNIL n° 2018-021 et à l'article 8 du RGPD, le recueil du consentement aux traceurs soumis à autorisation pour les mineurs de moins de 15 ans en France nécessiterait l'autorisation conjointe du titulaire de l'autorité parentale. EuTrustedIA étant un service B2B non destiné aux mineurs (cf. § 9), cette situation ne se présente pas en pratique.
Vous pouvez modifier vos préférences à tout moment :
cookie_consent_eu depuis votre navigateur, ce qui forcera la réapparition du bandeau au prochain chargement de pageLe retrait du consentement est aussi simple que son recueil et sans préjudice de la licéité des traitements antérieurs (article 7.3 RGPD).
Tous les navigateurs modernes permettent de gérer ou supprimer les cookies. Voici les liens vers les pages d'aide officielles des principaux navigateurs :
EuTrustedIA respecte les signaux « Do Not Track » (DNT) et « Global Privacy Control » (GPC) lorsqu'ils sont émis par le navigateur de l'utilisateur. Lorsque l'un de ces signaux est détecté, le bandeau de consentement traite l'utilisateur comme ayant explicitement refusé les catégories soumises à consentement.
EuTrustedIA garantit que le refus de tous les cookies non strictement nécessaires :
Cette neutralité fonctionnelle face au refus est un engagement structurel d'EuTrustedIA : nos services sont conçus pour fonctionner sans dépendance à des cookies non essentiels.
EuTrustedIA est un service B2B destiné à des professionnels (solopreneurs IA, startups, TPE/PME, DPO, avocats tech, agences AIA / AIaaS). Le Site n'est pas conçu pour, ni dirigé vers, des mineurs de moins de 16 ans.
EuTrustedIA ne collecte pas sciemment de données auprès de mineurs et ne met pas en œuvre de traceurs spécifiquement destinés aux enfants. Si un parent ou tuteur estime qu'un mineur sous sa responsabilité a été amené à utiliser le Site, il est invité à contacter legal@eutrustedia.eu pour faire procéder à la suppression du compte et de toutes les données associées.
EuTrustedIA se réserve le droit de modifier la présente Politique de Cookies en cas d'évolution :
Préavis : toute modification substantielle (ajout d'une nouvelle catégorie de cookies, activation d'un cookie tiers précédemment annoncé, changement de durée de conservation) sera notifiée :
La date de la dernière mise à jour figure en en-tête du document. L'historique des versions est consultable en bas de page.
Les données collectées via cookies (lorsqu'elles permettent l'identification directe ou indirecte d'une personne) constituent des données personnelles au sens du RGPD. À ce titre, vous disposez de l'ensemble des droits prévus aux articles 15 à 22 du RGPD :
Le détail intégral de vos droits, des modalités d'exercice et des délais de réponse figure dans la Politique de Confidentialité, § 7.
Pour toute question, demande ou réclamation relative à la présente Politique de Cookies ou à l'exercice de vos droits :
Précisez « Politique Cookies » en objet pour un traitement prioritaire.
EuTrustedIA n'a pas désigné de Délégué à la protection des données (DPO) au titre de l'article 37 du RGPD, car les trois cas d'obligation prévus à l'article 37.1 ne sont pas remplis (autorité publique / suivi régulier et systématique à grande échelle / traitement à grande échelle de données sensibles).
Cette absence est renforcée par l'architecture POSITRONIA Local-First (acté 2026-05-07) : le scanner POSITRONIA s'exécute sur la machine du client et n'a jamais accès au code source, aux données métier ni aux secrets — seuls les rapports finaux PDF sont stockés dans l'Espace Client. Le périmètre de traitement reste donc structurellement limité.
EuTrustedIA s'engage à réévaluer trimestriellement cette posture et à désigner un DPO formel dès que l'évolution structurelle du service le justifierait. Le détail de cette argumentation figure dans la Politique de Confidentialité, § 2 et dans les Mentions Légales, § 8.2.
Si la réponse apportée à votre demande ne vous satisfait pas, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Pour les utilisateurs domiciliés dans un autre État membre de l'Union européenne, la réclamation peut être adressée à l'autorité de contrôle nationale compétente.
| Version | Date | Évolution |
|---|---|---|
| V0.1 | 2026-05-09 | Première mise en ligne (squelette pré-go-live). Inventaire cookies vérifié dans le code source DirStarter (Better Auth session_token + csrf, Next.js i18n NEXT_LOCALE, bandeau consentement cookie_consent_eu, infrastructure Vercel _vercel*). Cookies tiers Mollie (redirection — pas de dépôt sur eutrustedia.eu), Brevo (mautic_cookie placeholder Phase B optionnel — non actif Phase A), Infomaniak (kMeet — pas de dépôt sur eutrustedia.eu). Engagement anti-greenwashing § 5 : pas de Google Analytics, pas de Meta Pixel, pas de retargeting. Bandeau de consentement granulaire à implémenter J5-J7 plan dev DirStarter avant go-live 2026-05-30. |
| V0.2 | 2026-06-29 | Documentation de la mesure d'audience Plausible Analytics (vérifiée dans le code source : chargée via plausible.io, hébergement UE). Ajout du § 4.5 (Plausible sans cookie, exemption CNIL), précision de la note technique § 3, cohérence § 5 (Plausible préféré à Google Analytics). Aucun cookie ajouté : Plausible ne dépose rien sur le terminal. |
| V0.3 | 2026-07-05 | Renommage POSITRONIA (anciennement Sentinel) + corrections factuelles d'alignement (audit 2026-07-05). |
| V0.3 prévue | Juste avant go-live (avant 2026-05-30) | Mise à jour après implémentation effective du bandeau de consentement granulaire (passage du placeholder « [BANNER À IMPLÉMENTER] » à une description du composant déployé). |
| V1 prévue | Phase B (juin-juillet 2026) | Validation par avocat tech spécialisé RGPD + ePrivacy après premiers revenus encaissés. Activation éventuelle Brevo tracking (cookie mautic_cookie) avec opt-in explicite documenté. |
| V2 prévue | Phase C (Q4 2026) | Migration souveraine Vercel → Infomaniak Public Cloud (Suisse 🇨🇭). Remplacement de la famille _vercel* par les cookies infrastructure équivalents Infomaniak. |
Pour toute question relative aux cookies ou à l'exercice de vos droits : legal@eutrustedia.eu.