Version bêta privée (avril-juin 2026). Contenu rédigé sur la base des finalités et sous-traitants réels au 19 avril 2026. Revue par cabinet juridique partenaire (Kyoss) avant le lancement public du 1er août 2026.
1. Responsable du traitement
Kloviss SAS — SIREN 943 180 502 — Rouen, France. Contact : contact@sentinel-ai.eu.
Un délégué à la protection des données (DPO) est en cours de désignation en partenariat avec un prestataire RGPD externe. Dans l'intervalle, toutes les demandes relatives à la protection des données sont traitées à l'adresse ci-dessus dans les meilleurs délais.
2. Données collectées
2.1 Compte utilisateur (console DPO)
- Adresse e-mail (obligatoire — authentification)
- Identifiant Supabase Auth + facteur MFA TOTP (obligatoire pour les comptes propriétaires)
- Nom de l'organisation, rôle (owner/admin/dpo/viewer)
- Informations de facturation (raison sociale, adresse, numéro de TVA) via Stripe
- Journal d'audit (actions sensibles : MFA, export registre, changements de plan)
2.2 Événements du widget (intégré sur les sites de nos clients)
- Horodatage de l'interaction (affichage / acquittement de la bannière)
- Pays (via en-tête géographique Vercel, pas l'adresse IP brute)
- Empreinte anonymisée de famille de navigateur (user-agent agrégé)
- Identifiant de projet (clé publique du client)
Aucune donnée à caractère personnel sensible au sens de l'article 9 du RGPD n'est collectée. Aucun cookie tiers n'est déposé par le widget.
3. Finalités et base légale
| Finalité | Base légale (Art. 6 RGPD) | Durée |
|---|---|---|
| Gestion du compte DPO | Exécution du contrat · Art. 6.1.b | Durée abonnement + 30 jours |
| Sécurité / rate-limit / anti-abus | Intérêt légitime · Art. 6.1.f | 15 minutes (TTL cache) |
| Facturation et TVA | Obligation légale · Art. 6.1.c (art. L.123-22 Code du commerce) | 10 ans |
| Journal d'audit (conformité Art. 30 RGPD) | Obligation légale · Art. 6.1.c | 365 jours |
| Événements widget (agrégation anonyme) | Fournis par le client en tant que responsable de traitement (voir DPA) | 90 jours (Free / Pro), jusqu'à 5 ans (Business) |
| Notifications produit | Consentement · Art. 6.1.a (opt-in) | Jusqu'à retrait |
4. Destinataires (sous-traitants)
Les données sont hébergées et traitées exclusivement en Union européenne par les sous-traitants suivants, tous engagés par des accords conformes à l'article 28 du RGPD :
| Sous-traitant | Rôle | Région |
|---|---|---|
| Vercel Inc. | Hébergement applicatif (API, console, landing) | fra1 (Francfort), cdg1 (Paris) |
| Supabase Inc. | Base de données PostgreSQL, authentification, stockage | eu-central-1 (Irlande) |
| Stripe Payments Europe | Traitement des paiements | Irlande |
| Upstash Labs | Cache rate-limit Redis | eu-west-1 (Irlande) |
| Sentry GmbH | Observabilité et gestion des erreurs | Francfort, Allemagne |
| Resend | Envoi d'e-mails transactionnels | Union européenne |
Certains prestataires appartiennent à des groupes de droit américain (Vercel, Stripe, Sentry). Dans ces cas, les données restent stockées dans leurs régions EU et les transferts éventuels sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne. Un bilan de transfert (TIA) est disponible sur demande.
5. Vos droits (RGPD Articles 15 à 22)
- Accès — obtenir une copie de vos données (Art. 15)
- Rectification — corriger vos données inexactes (Art. 16)
- Effacement — demander la suppression de vos données (Art. 17, sous réserve des obligations légales de conservation)
- Limitation — restreindre le traitement (Art. 18)
- Portabilité — recevoir vos données dans un format structuré (Art. 20, export ZIP disponible dans la console)
- Opposition— vous opposer à un traitement fondé sur l'intérêt légitime (Art. 21)
- Retrait du consentement à tout moment pour les traitements qui en relèvent
- Directives post-mortem (article 85 Loi Informatique et Libertés)
Pour exercer ces droits : contact@sentinel-ai.eu. Nous répondons dans le délai d'un mois (prorogeable de deux mois en cas de complexité).
En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l'autorité de contrôle de votre pays de résidence.
6. Décisions automatisées
L'outil de classification automatique (Article 6 EU AI Act) embarqué dans la console produit une catégorie de risque indicative. La décision finale de conformité relève du DPO client. Il ne s'agit donc pas d'une décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD.
7. Cookies
Le site sentinel-ai.eune dépose que des cookies strictement nécessaires (session Supabase Auth sur la console). Aucun cookie de mesure d'audience ou de publicité. Le widget distribué sur les sites de nos clients ne dépose aucun cookie tiers.
8. Sécurité
TLS 1.3 en transit, chiffrement au repos par les hébergeurs, authentification forte (MFA TOTP obligatoire pour les comptes propriétaires), isolation multi-tenant via Row-Level Security PostgreSQL, rate-limit Redis EU, journalisation des accès, audit interne mensuel.
9. Mises à jour
Cette politique peut être mise à jour pour refléter l'évolution du Service ou de la réglementation. Les modifications substantielles sont notifiées par courriel avec 30 jours de préavis.