Politique de Confidentialité

Dernière mise à jour : 11 mai 2026 · v4.22.84.12 (Art. 13 RGPD enhancement)

1. Responsable du traitement

SUBVENTIONAI SASU (SIREN 807 606 504), siège social à Saint-Ouen, France. Contact : contact@norman-agency.com. Aucun délégué à la protection des données (DPO) n'a été désigné, traitement n'atteignant pas les seuils de l'art. 37 RGPD.

2. Données collectées et finalités

• Profil entreprise (SIRET, secteur, région, effectif, ancienneté, description du projet) : finalité de matching avec les aides publiques pertinentes.
• Identifiants compte (email, prénom, nom) : finalité de gestion du compte utilisateur et envoi de notifications transactionnelles.
• Données d'usage (feedbacks 👍/👎, événements dossier, IP anonymisée par hash SHA-256) : finalité d'amélioration du service de matching et détection des abus.
• Documents générés (sections de dossier rédigées par IA) : finalité de fourniture du service de rédaction assistée.

3. Bases légales (art. 6 RGPD)

• Exécution du contrat (art. 6.1.b) : pour les données strictement nécessaires à la fourniture du service (profil entreprise, compte).
• Intérêt légitime (art. 6.1.f) : pour l'amélioration du matching et la prévention des abus (données d'usage anonymisées).
• Consentement (art. 6.1.a) : pour les cookies techniques non strictement nécessaires (banner consentement « Accepter / Refuser » sur la première visite, conformément aux lignes directrices CNIL).

4. Destinataires et sous-traitants

Vos données sont traitées par les sous-traitants suivants, chacun lié par un accord de sous-traitance (DPA) :

• Supabase (hébergement base de données et authentification) : région EU-North-1 (Finlande). Aucun transfert hors UE pour le stockage.
• Vercel (hébergement application Next.js et exécution serverless) : région principale fra1 (Francfort, Allemagne). Aucun transfert hors UE.
• Anthropic, PBC (API Claude pour le re-ranking et la rédaction IA) : traitement aux États-Unis. Transfert encadré par les Clauses Contractuelles Types (CCT) Commission européenne 2021 + Data Privacy Framework UE-USA (Anthropic certifié DPF). Les données envoyées à Anthropic sont limitées au strict nécessaire pour la requête en cours et NE sont PAS utilisées pour entraîner les modèles (configuration zero-retention via API enterprise).
• Stripe (paiements abonnements Pro/Expert) : traitement UE (Stripe Payments Europe Ltd, Dublin) + transferts limités USA encadrés CCT.
• Resend (envoi emails transactionnels) : traitement USA encadré CCT.

Aucune donnée n'est vendue ni partagée à des fins commerciales avec des tiers.

5. Durées de conservation

• Profil et dossiers : jusqu'à la suppression du compte par l'utilisateur (cf. droit à l'effacement infra).
• Feedbacks 👍/👎 et événements dossier : 12 mois glissants, suppression automatique par cron quotidien.
• Inscriptions waitlist : 24 mois (cf. recommandation CNIL prospection B2B), suppression automatique.
• Logs serveur : 30 jours (Vercel par défaut).
• Audit trail base de données : 7 ans (obligations comptables et fiscales art. L123-22 Code de commerce, pour les opérations facturées).

6. Droits (art. 15 à 22 RGPD)

Vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : demander une copie de vos données.
• Droit de rectification (art. 16) : corriger les données inexactes depuis votre espace paramètres.
• Droit à l'effacement (art. 17, « droit à l'oubli ») : supprimer définitivement votre compte et toutes vos données depuis le bouton « Supprimer mon compte » dans les paramètres. Action immédiate et irréversible.
• Droit à la portabilité (art. 20) : récupérer vos données au format structuré (JSON) depuis les paramètres (bouton « Exporter mes données »).
• Droit d'opposition (art. 21) : refuser le traitement à des fins de prospection ou pour motif lié à votre situation particulière.
• Droit de limitation (art. 18) : suspendre temporairement le traitement en cas de contestation.

Pour toute demande ou réclamation : contact@norman-agency.com. Délai de réponse : 1 mois (extensible 2 mois pour demandes complexes, art. 12.3 RGPD). Vous pouvez également déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

7. Cookies

SubventionAI utilise uniquement des cookies strictement nécessaires au fonctionnement (session Supabase Auth, préférences de consentement). Aucun cookie publicitaire ni de tracking tiers. Une bannière de consentement permet d'accepter ou refuser les cookies analytiques (Google Analytics 4) lors de la première visite. Refus = aucun cookie analytique posé.

8. Sécurité

Mesures techniques et organisationnelles : chiffrement TLS 1.3 en transit, chiffrement at-rest par Supabase + Vercel, authentification multi-facteurs disponible (à activer côté Supabase Auth), Row-Level Security (RLS) Postgres sur toutes les tables utilisateurs, audit trail automatique des accès admin, rate-limiting sur tous les endpoints, hash SHA-256 de l'IP avec sel rotatif (anti-réversibilité).

9. Décisions automatisées

Le matching d'aides est une aide à la décision, non une décision automatisée au sens de l'art. 22 RGPD : aucun effet juridique ni significatif n'en découle sans intervention humaine (le score est indicatif, l'utilisateur choisit librement les aides à instruire). Les explications IA accompagnant chaque aide visent à rendre le matching transparent et auditable.