Confidentialité

Politique de confidentialité

Comment SetAIComply collecte, utilise et protège vos données personnelles conformément au RGPD.

← Retour à l'accueil

Dernière mise à jour: mars 2026

1. Introduction

La présente politique de confidentialité décrit la manière dont SetAIComply (ci-après « SetAIComply », « nous », « notre ») collecte, utilise, stocke et protège les données à caractère personnel de ses utilisateurs (ci-après « vous », « l'Utilisateur ») dans le cadre de l'utilisation de la plateforme SaaS SetAIComply dédiée à la conformité au Règlement européen sur l'intelligence artificielle (Règlement (UE) 2024/1689, ci-après « AI Act »).

Cette politique est établie conformément au Règlement général sur la protection des données (UE) 2016/679 (ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

2. Responsable du traitement

Le responsable du traitement des données à caractère personnel est :

  • Dénomination sociale : SetAIComply
  • Email de contact : support@setaicomply.com

3. Données collectées et finalités du traitement

3.1 Données d'identification et de compte

Lors de la création de votre compte et de l'utilisation de la plateforme, nous collectons les données suivantes :

  • Nom et prénom
  • Adresse email professionnelle
  • Dénomination sociale et secteur d'activité de votre organisation
  • Fonction au sein de l'organisation
  • Mot de passe (stocké sous forme hashée)

Finalité : création et gestion de votre compte utilisateur, authentification, communication relative au service.

Base légale : exécution du contrat (article 6.1.b du RGPD).

3.2 Données de facturation

Pour le traitement de vos paiements, nous collectons :

  • Adresse de facturation
  • Numéro de TVA intracommunautaire (le cas échéant)
  • Historique des factures et paiements

Les données de carte bancaire sont collectées et traitées exclusivement par notre prestataire de paiement Stripe, Inc. et ne sont jamais stockées sur nos serveurs.

Finalité : facturation, gestion des abonnements, respect des obligations comptables et fiscales.

Base légale : exécution du contrat (article 6.1.b du RGPD) et obligation légale (article 6.1.c du RGPD).

3.3 Données d'utilisation de la plateforme

Nous collectons des données relatives à votre utilisation de la plateforme :

  • Descriptions et paramètres des systèmes d'IA que vous enregistrez sur la plateforme
  • Résultats des classifications de risque et évaluations de conformité
  • Documents générés (documentation technique Annexe IV)
  • Historique des actions et journal d'audit
  • Commentaires et annotations

Finalité : fourniture du service de conformité AI Act, génération de documentation, suivi de la conformité.

Base légale : exécution du contrat (article 6.1.b du RGPD).

3.4 Données techniques et de connexion

Nous collectons automatiquement certaines données techniques :

  • Adresse IP
  • Type et version du navigateur
  • Système d'exploitation
  • Pages consultées et parcours de navigation
  • Date et heure de connexion
  • Identifiants de session

Finalité : sécurité de la plateforme, amélioration du service, diagnostic technique, respect des obligations légales de conservation des données de connexion.

Base légale : intérêt légitime (article 6.1.f du RGPD) et obligation légale (article 6.1.c du RGPD).

3.5 Cookies

Notre plateforme utilise des cookies strictement nécessaires au fonctionnement du service (authentification, préférences de session). Nous n'utilisons pas de cookies publicitaires ni de traceurs tiers à des fins de profilage. Pour les cookies d'analyse d'audience, votre consentement est recueilli préalablement conformément à l'article 82 de la loi Informatique et Libertés.

4. Utilisation de l'intelligence artificielle

Notre plateforme utilise les services d'intelligence artificielle fournis par Anthropic, PBC (API Claude) pour la génération automatisée de documentation technique et l'assistance à la classification des systèmes d'IA.

Dans ce cadre, certaines données descriptives de vos systèmes d'IA (descriptions fonctionnelles, cas d'usage, paramètres techniques) peuvent être transmises à l'API Anthropic Claude pour le traitement des requêtes. Ces données sont utilisées exclusivement pour générer les réponses à vos demandes et ne sont pas utilisées par Anthropic pour entraîner ses modèles, conformément à notre accord de traitement de données avec ce sous-traitant.

Aucune donnée à caractère personnel identifiant directement des personnes physiques n'est transmise à l'API Anthropic Claude dans le cadre normal d'utilisation de la plateforme.

5. Destinataires des données

Vos données à caractère personnel sont accessibles exclusivement :

  • Aux personnels habilités d'SetAIComply, dans la stricte mesure nécessaire à l'exécution de leurs missions
  • À nos sous-traitants, dans les conditions décrites à l'article 6
  • Le cas échéant, aux autorités compétentes en réponse à une obligation légale ou une décision de justice

Nous ne vendons, ne louons et ne partageons jamais vos données à caractère personnel à des tiers à des fins commerciales ou publicitaires.

6. Sous-traitants et transferts de données

Nous faisons appel aux sous-traitants suivants pour le fonctionnement de la plateforme :

Sous-traitantFinalitéLocalisation des donnéesGaranties
Railway CorporationHébergement de l'application, de la base de données et du cacheUnion européenne (Amsterdam, Pays-Bas)Région de données dans l'UE, SOC 2 Type II, DPA conforme au RGPD, chiffrement au repos, clauses contractuelles types de l'UE le cas échéant
Stripe, Inc.Traitement des paiementsUnion européenneCertifié PCI DSS niveau 1, DPA conforme RGPD
Anthropic, PBCGénération de documentation par IA (API Claude)États-UnisDPA conforme RGPD, clauses contractuelles types (CCT) de la Commission européenne
Cloudflare, Inc.Acheminement des e-mails transactionnels et DNSUnion européenne / périphérie mondialeDPA conforme RGPD, clauses contractuelles types (CCT) de la Commission européenne

Les transferts vers des sous-traitants ultérieurs constitués en sociétés de droit américain — Anthropic (génération par IA) et Cloudflare (acheminement des e-mails transactionnels et DNS) — sont encadrés par des clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914), complétées par des mesures supplémentaires appropriées. Le transfert vers Anthropic ne concerne que les données descriptives des systèmes d'IA (aucune donnée directement identifiante) ; le transfert vers Cloudflare concerne l'adresse e-mail et le contenu des messages transactionnels que nous vous envoyons.

7. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données, notamment :

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Hébergement sur infrastructure UE située à Amsterdam, Pays-Bas (Railway)
  • Authentification sécurisée avec hachage des mots de passe (bcrypt)
  • Contrôle d'accès basé sur les rôles (RBAC)
  • Journalisation des accès et des actions
  • Sauvegardes chiffrées régulières
  • Tests de sécurité et audits réguliers
  • Politique de gestion des incidents de sécurité

8. Durées de conservation

Vos données sont conservées pendant les durées suivantes :

  • Données de compte : pendant toute la durée de votre abonnement, puis 3 ans après la clôture du compte à des fins de gestion du contentieux
  • Données de facturation : 10 ans conformément aux obligations comptables et fiscales (article L.123-22 du Code de commerce)
  • Données d'utilisation (systèmes IA, documents) : pendant toute la durée de votre abonnement, puis supprimées dans un délai de 90 jours suivant la clôture du compte, sauf obligation légale contraire
  • Données techniques et logs : 12 mois conformément à la législation applicable (décret n° 2011-219 du 25 février 2011)
  • Cookies : 13 mois maximum conformément aux recommandations de la CNIL

À l'expiration de ces délais, vos données sont supprimées de manière définitive ou anonymisées de manière irréversible.

9. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données à caractère personnel :

  • Droit d'accès (article 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie
  • Droit de rectification (article 16 RGPD) : demander la correction de données inexactes ou le complètement de données incomplètes
  • Droit à l'effacement (article 17 RGPD) : demander la suppression de vos données dans les cas prévus par la réglementation
  • Droit à la limitation du traitement (article 18 RGPD) : demander la suspension du traitement de vos données dans certains cas
  • Droit à la portabilité (article 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (article 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
  • Droit de définir des directives post-mortem : conformément à l'article 85 de la loi Informatique et Libertés, définir des directives relatives au sort de vos données après votre décès

Pour exercer vos droits, vous pouvez nous contacter :

  • Par email : support@setaicomply.com

Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de demandes complexes ou nombreuses, auquel cas vous en serez informé.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

Site web : www.cnil.fr

10. Modifications de la politique de confidentialité

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, vous serez informé par email ou par une notification sur la plateforme au moins 30 jours avant l'entrée en vigueur des modifications. La poursuite de l'utilisation de la plateforme après l'entrée en vigueur des modifications vaut acceptation de la politique modifiée.

11. Contact

Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter à l'adresse : support@setaicomply.com.