1. Responsable du traitement
RGPD, article 4 (7) et article 13 (1)(a)
Le responsable du traitement des donnees a caractere personnel collectees via le service Claire est :
Elise NOIROT, entrepreneur individuel
Siege : Beausoleil (06240), France
Email : dpo@claire-ia.fr
En l'absence de designation d'un Delegue a la Protection des Donnees (DPO) au sens de l'article 37 du RGPD (le traitement ne relevant pas de l'article 37-1 a/b/c), les demandes relatives a la protection des donnees peuvent etre adressees directement a l'adresse ci-dessus.
2. Donnees collectees
RGPD, article 13 (1)(d) ; article 5 (1)(c) — principe de minimisation
2.1 Donnees fournies directement par l'Utilisateur
- Identifiant de connexion et mot de passe (hache)
- Adresse email
- Prenom et nom (facultatif)
- Adresse du domicile (facultatif, pour la meteo geolocalisee)
- Zone scolaire (A, B ou C)
- Preferences de notification et de personnalisation
- Notes, memoires et taches creees dans le Service
2.2 Donnees importees via Google OAuth
- Gmail : en-tetes d'emails (expediteur, destinataire, objet, date), corps des messages (lecture seule), identifiants de threads
- Google Calendar : evenements (titre, date, heure, lieu, participants, lien Meet)
2.3 Donnees generees par l'utilisation du Service
- Historique des conversations avec l'assistant IA
- Brouillons d'emails generes
- Syntheses et briefings generes
- Contacts extraits automatiquement des emails
- Relances et suivis programmes
2.4 Donnees techniques
- Adresse IP (journaux serveur Nginx — non exploitee par le Service)
- Donnees de geolocalisation (latitude/longitude) si autorisees par le navigateur, pour la meteo uniquement
- Journaux d'erreurs applicatifs (sans donnees personnelles)
3. Finalites et bases legales du traitement
RGPD, article 6 (1) ; article 13 (1)(c)
| Finalite | Base legale (art. 6 RGPD) |
|---|---|
| Fournir le service (briefing, chat, brouillons, calendrier, taches, memoire) | Execution du contrat — art. 6 (1)(b) |
| Creer et gerer le compte utilisateur | Execution du contrat — art. 6 (1)(b) |
| Acceder aux emails et calendrier Google via OAuth | Consentement explicite — art. 6 (1)(a) |
| Geolocaliser pour la meteo | Consentement explicite — art. 6 (1)(a) |
| Gerer les paiements (Stripe) | Execution du contrat — art. 6 (1)(b) |
| Assurer la securite et prevenir les abus | Interet legitime — art. 6 (1)(f) |
| Envoyer des communications relatives au Service (incidents, mises a jour) | Interet legitime — art. 6 (1)(f) |
| Respecter les obligations legales (comptabilite, fiscalite) | Obligation legale — art. 6 (1)(c) |
Le consentement accorde pour l'acces OAuth ou la geolocalisation peut etre retire a tout moment, sans affecter la licite du traitement effectue avant le retrait (article 7 (3) du RGPD).
4. Utilisation de l'intelligence artificielle
RGPD, article 22 (decision automatisee) ; Reglement (UE) 2024/1689 (AI Act), article 52
Claire utilise des modeles d'intelligence artificielle tiers pour generer des syntheses, brouillons, suggestions et briefings. Les donnees transmises aux API d'IA sont systematiquement :
- Reduites : seuls les elements necessaires a la requete sont envoyes (pas l'integralite de la boite mail).
- Filtrees : les informations sensibles identifiables sont exclues lorsque possible.
- Non conservees par les fournisseurs : les API utilisees appliquent une politique de non-retention des donnees d'entree (zero-retention / zero data retention).
L'Utilisateur conserve a tout moment la maitrise finale : Claire propose, l'Utilisateur decide. Aucune decision ayant un effet juridique ou significatif n'est prise de maniere exclusivement automatisee au sens de l'article 22 du RGPD.
5. Destinataires et sous-traitants
RGPD, article 13 (1)(e) ; article 28 (sous-traitance)
Les donnees personnelles de l'Utilisateur peuvent etre communiquees aux sous-traitants suivants, dans le strict cadre du fonctionnement du Service :
| Sous-traitant | Role | Localisation | Garanties |
|---|---|---|---|
| OVH SAS | Hebergement du serveur (VPS) | France (UE) | Donnees hebergees en France. Conforme RGPD. |
| Google LLC | API Gmail et Google Calendar (OAuth 2.0) | Etats-Unis | Decision d'adequation UE-US Data Privacy Framework (10/07/2023). Politique Google |
| Anthropic PBC | API Claude — moteur IA principal (chat, briefing, syntheses) | Etats-Unis | Zero-retention API. Clauses contractuelles types (CCT). Politique Anthropic |
| Google DeepMind / Gemini | API Gemini — moteur IA de secours | Etats-Unis | Decision d'adequation UE-US DPF. Zero-retention API. |
| xAI Corp. | API Grok — moteur IA de secours | Etats-Unis | Clauses contractuelles types (CCT). |
| Groq Inc. | API Groq — moteur IA de secours | Etats-Unis | Zero-retention API. Clauses contractuelles types (CCT). |
| Stripe Inc. | Traitement des paiements | Etats-Unis (infrastructure UE) | Certifie PCI DSS Niveau 1. Decision d'adequation UE-US DPF. Politique Stripe |
| Open-Meteo | API meteo (donnees publiques) | Allemagne (UE) | Aucune donnee personnelle transmise (uniquement coordonnees GPS). |
Aucune donnee personnelle n'est vendue, louee ou cedee a des tiers a des fins commerciales, publicitaires ou de profilage.
6. Transferts hors Union europeenne
RGPD, articles 44 a 49
Certains sous-traitants sont etablis aux Etats-Unis. Les transferts de donnees vers ces sous-traitants sont encadres par :
- la decision d'adequation de la Commission europeenne du 10 juillet 2023 relative au cadre UE-US Data Privacy Framework (DPF), pour les sous-traitants certifies (Google, Stripe) ;
- les clauses contractuelles types (CCT) adoptees par la Commission europeenne (decision 2021/914 du 4 juin 2021), pour les sous-traitants non certifies DPF (Anthropic, xAI, Groq).
Des mesures supplementaires (chiffrement en transit, pseudonymisation, minimisation des donnees transmises) sont appliquees conformement aux recommandations 01/2020 du Comite europeen de la protection des donnees (EDPB).
7. Duree de conservation
RGPD, article 5 (1)(e) — limitation de la conservation ; article 13 (2)(a)
| Categorie de donnees | Duree de conservation |
|---|---|
| Donnees de compte (identifiant, email, preferences) | Duree de vie du compte + 30 jours apres suppression |
| Emails importes (en-tetes + resumes) | Duree de vie du compte. Suppression immediate a la demande. |
| Historique des conversations | Duree de vie du compte. Suppression immediate a la demande. |
| Memoires et notes | Duree de vie du compte. Suppression unitaire possible a tout moment. |
| Brouillons d'emails generes | Duree de vie du compte. Synchronises avec Gmail Brouillons. |
| Evenements calendrier (copie locale) | Duree de vie du compte. Synchronises avec Google Calendar. |
| Donnees de paiement | Gerees par Stripe. Non stockees par Claire. |
| Journaux serveur (Nginx) | 90 jours maximum, puis suppression automatique |
| Donnees de geolocalisation | Non stockees — utilisees en memoire vive pour la requete meteo uniquement |
| Donnees comptables et fiscales | 10 ans (article L.123-22 du Code de commerce) |
A la suppression du compte, l'ensemble des donnees personnelles est efface dans un delai maximum de trente (30) jours, a l'exception des donnees dont la conservation est imposee par la loi.
8. Securite des donnees
RGPD, article 32 — securite du traitement
Chiffrement
- HTTPS/TLS pour toutes les communications (transit)
- Chiffrement des donnees sensibles au repos (Fernet / AES-128-CBC)
- Tokens OAuth chiffres en base de donnees
- Mots de passe haches (bcrypt)
Controle d'acces
- Authentification par identifiant + mot de passe
- Sessions JWT avec expiration
- Separation stricte des donnees entre utilisateurs (user_id)
- Aucun acces administrateur aux donnees utilisateur en clair
Infrastructure
- Serveur VPS dedie (OVH, France)
- Mises a jour de securite regulieres
- Pare-feu et filtrage reseau
- Sauvegardes chiffrees
Bonnes pratiques
- Secrets et cles stockes dans des variables d'environnement (.env)
- Aucune donnee personnelle en clair dans les logs
- Revue de code et tests de securite
- Procedure de reponse aux incidents
9. Vos droits
RGPD, articles 15 a 22 ; loi Informatique et Libertes, articles 48 a 56
Conformement au RGPD et a la loi Informatique et Libertes, vous disposez des droits suivants :
Comment exercer vos droits
Adressez votre demande a dpo@claire-ia.fr en indiquant votre identite (nom, prenom, email du compte Claire). Nous repondons dans un delai maximum d'un (1) mois a compter de la reception de la demande (article 12 (3) du RGPD). Ce delai peut etre prolonge de deux (2) mois en cas de complexite, apres notification.
Certaines actions sont realisables directement depuis les parametres de votre compte : suppression de donnees, export, revocation OAuth.
Reclamation aupres de la CNIL
Si vous estimez que le traitement de vos donnees ne respecte pas la reglementation, vous pouvez introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site : cnil.fr/fr/plaintes
10. Cookies et traceurs
Article 82 de la loi Informatique et Libertes ; directive 2002/58/CE ; lignes directrices CNIL du 17/09/2020
Cookies strictement necessaires (exempts de consentement)
| Nom | Finalite | Duree |
|---|---|---|
session_token |
Authentification et maintien de la session utilisateur | Session (expire a la fermeture) ou 7 jours si « Se souvenir de moi » |
Aucun cookie publicitaire, analytique ou de tracage n'est depose. Claire n'utilise pas de traceurs tiers (Google Analytics, Facebook Pixel, etc.). Le Service ne depose aucun cookie non essentiel sans consentement prealable.
11. Donnees des mineurs
RGPD, article 8 ; loi Informatique et Libertes, article 45
Le Service est destine aux personnes agees de 15 ans ou plus. L'inscription d'un mineur de moins de 15 ans requiert le consentement du titulaire de l'autorite parentale. Si nous constatons qu'un utilisateur de moins de 15 ans s'est inscrit sans autorisation parentale, son compte sera supprime dans les meilleurs delais.
12. Modification de la politique
La presente politique peut etre mise a jour pour refleter les evolutions du Service, de la reglementation ou de nos pratiques. En cas de modification substantielle, l'Utilisateur sera informe par email au moins quinze (15) jours avant l'entree en vigueur. La date de derniere mise a jour est indiquee en haut de cette page.
Les versions anterieures de cette politique sont disponibles sur demande a dpo@claire-ia.fr.
13. Contact
Pour toute question relative a la present politique ou a la protection de vos donnees personnelles :
Email : dpo@claire-ia.fr
Courrier : Elise NOIROT — Claire, Beausoleil (06240), France