Cette page complète notre Politique de confidentialité et détaille les mesures mises en place par DuoPME pour assurer la conformité au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
1. Notre engagement RGPD
DuoPME s'engage à traiter les données personnelles de ses utilisateurs dans le strict respect du RGPD et de la loi Informatique et Libertés. Nos principes :
- Minimisation : nous ne collectons que les données strictement nécessaires à la fourniture du service.
- Transparence : cette page liste l'intégralité de nos sous-traitants et les données qu'ils traitent.
- Sécurité : chiffrement, authentification forte, sauvegardes, surveillance continue.
- Maîtrise : l'utilisateur garde le contrôle total de ses données (accès, export, suppression).
2. Rôles et responsabilités
← Glissez pour voir tout le tableau →
| Rôle | Entité | Précision |
|---|
| Responsable du traitement | DuoPME SASU | Détermine les finalités et moyens du traitement |
| Sous-traitants | Voir liste ci-dessous | Traitent les données pour le compte de DuoPME |
| Personnes concernées | Utilisateurs de la plateforme, contacts des utilisateurs (appelants, destinataires emails) | |
3. Liste des sous-traitants (article 28 RGPD)
DuoPME fait appel aux sous-traitants techniques suivants pour la fourniture de ses services. Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.
3.1 Anthropic — Intelligence artificielle
Société
Anthropic PBC, San Francisco, États-Unis
Service utilisé
API Claude (modèles Haiku et Sonnet)
Données traitées
Requêtes textuelles (emails, résumés, rédaction devis, publications)
Entraînement IA
Non — Anthropic ne réutilise pas les données API pour l'entraînement de ses modèles
Localisation
États-Unis (régions AWS)
Garanties
Clauses Contractuelles Types (SCC) + DPA Anthropic
3.2 Twilio — Téléphonie et SMS
Société
Twilio Inc., San Francisco, États-Unis
Service utilisé
API Voix (réception d'appels), SMS
Données traitées
Numéros de téléphone, enregistrements et transcriptions d'appels, métadonnées (durée, heure)
Localisation
Irlande (région UE) pour les données voix
Garanties
EU-US Data Privacy Framework + SCC
3.3 Mailgun (Sinch) — Email transactionnel
Société
Mailgun Technologies Inc., filiale de Sinch AB (Suède)
Service utilisé
Envoi et réception d'emails transactionnels
Données traitées
Adresses email (expéditeur/destinataire), contenu des messages, métadonnées
Localisation
Union européenne (infrastructure AWS/GCP)
Garanties
SCC + sous-traitants secondaires conformes RGPD
3.4 Stripe — Paiement en ligne
Société
Stripe Payments Europe Ltd., Dublin, Irlande
Service utilisé
Traitement des paiements par carte bancaire
Données traitées
Nom du titulaire, données de carte (jamais stockées sur nos serveurs), adresse de facturation, email
Localisation
Irlande / Union européenne
Certifications
PCI-DSS Level 1, SOC 2
Garanties
Entité européenne (Irlande) + SCC pour transferts techniques
3.5 fal.ai — Génération d'images par IA
Société
fal.ai Inc., États-Unis
Service utilisé
Génération d'images pour le blog et les publications
Données traitées
Prompts textuels (descriptions d'images) — aucune donnée personnelle directe
DPA
[À obtenir — en cours de formalisation]
3.6 Hostinger — Hébergement
Société
Hostinger International Ltd., Larnaca, Chypre
Service utilisé
Hébergement serveurs VPS et site web
Données traitées
Toutes les données stockées sur la plateforme (base de données, fichiers)
Localisation
Union européenne
Garanties
Entité européenne (Chypre, État membre UE)
4. Transferts de données hors Union européenne
Les sous-traitants suivants peuvent traiter des données en dehors de l'Union européenne :
← Glissez pour voir tout le tableau →
| Sous-traitant | Mécanisme de protection |
|---|
| Anthropic (Claude) | SCC + DPA + données non réutilisées pour entraînement |
| Twilio | EU-US DPF + SCC |
| fal.ai | SCC (DPA en cours de formalisation) |
Pour chaque transfert, DuoPME a réalisé une évaluation d'impact du transfert (Transfer Impact Assessment — TIA) conformément aux recommandations du Comité Européen de la Protection des Données (EDPB).
Des mesures techniques complémentaires sont appliquées :
- Chiffrement de toutes les communications (TLS 1.3)
- Chiffrement des données au repos (AES-256)
- Minimisation des données transmises aux sous-traitants
- Pseudo-anonymisation lorsque techniquement possible
5. Sécurité technique
5.1 Architecture sécurisée
- Séparation des services : application (VPS1), base de données (VPS2), blog (serveur dédié) — aucun point d'accès unique
- Authentification : système de lien magique (magic link) avec signature HMAC-SHA256, sans stockage de mot de passe
- Sessions : cookies sécurisés, HttpOnly, SameSite=Strict
- Middleware de sécurité : vérification obligatoire de l'identité client sur chaque requête API
- Rate limiting : protection contre les attaques par force brute et déni de service
5.2 Sauvegardes
- Sauvegardes automatiques de la base de données toutes les 6 heures
- Chiffrement des sauvegardes
- Stockage des sauvegardes sur un serveur distinct du serveur de production
5.3 Surveillance
- Monitoring continu des serveurs et des services
- Alertes automatiques en cas d'anomalie (workflows de surveillance dédiés)
- Journal d'activité complet pour auditabilité
6. Notification des violations de données
Conformément aux articles 33 et 34 du RGPD :
En cas de violation de données à caractère personnel, DuoPME notifiera la CNIL dans un délai de 72 heures après en avoir pris connaissance, si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes.
Si la violation présente un risque élevé, les personnes concernées seront informées sans délai par email, avec description de la nature de la violation, des conséquences probables et des mesures prises.
7. Registre des traitements
Conformément à l'article 30 du RGPD, DuoPME tient un registre des activités de traitement. Les principales catégories de traitement sont :
Gestion des comptes
FinalitéFourniture du service
Base légaleContrat
DonnéesIdentité, contact, entreprise
ConservationDurée abonnement + 3 ans
Téléphonie IA
FinalitéRéception et traitement des appels
Base légaleContrat
DonnéesEnregistrements, transcriptions, n° téléphone
ConservationDurée abonnement + 30 jours
Email automatisé
FinalitéGestion de la correspondance
Base légaleContrat
DonnéesEmails, adresses, contenu
ConservationDurée abonnement + 30 jours
Facturation
FinalitéPaiement et comptabilité
Base légaleContrat + obligation légale
DonnéesIdentité, données Stripe
Conservation10 ans
Sécurité
FinalitéProtection de la plateforme
Base légaleIntérêt légitime
DonnéesLogs connexion, adresses IP
Conservation1 an
Statistiques
FinalitéAmélioration du service
Base légaleIntérêt légitime
DonnéesDonnées d'utilisation anonymisées
Conservation2 ans
8. Conformité AI Act (Règlement UE 2024/1689)
DuoPME utilise l'intelligence artificielle comme outil d'assistance et s'engage à respecter les obligations du Règlement européen sur l'IA :
- Transparence : les contenus générés par IA sont identifiés dans l'interface utilisateur
- Contrôle humain : trois modes d'utilisation (manuel, semi-automatique, automatique avec journal)
- Conservation des logs : les journaux d'activité IA sont conservés 6 mois minimum
- Information des utilisateurs : les fournisseurs d'IA sont listés dans la présente page
- Évaluation : DuoPME classe ses usages IA en catégorie « risque limité » (assistant administratif) et applique les obligations de transparence correspondantes
9. Exercice des droits et contact
Pour toute question relative à la protection de vos données personnelles, à l'exercice de vos droits (accès, rectification, effacement, portabilité, opposition, limitation) ou à cette page :
DuoPME SASU
E-mail : contact@duopme.fr
Téléphone : 07 45 10 15 96
Adresse : 8 rue du vieux pont, 81100 Burlats, France
Autorité de contrôle : CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr