Politique de traitement des données à caractère personnel

1. Responsable du traitement

Le responsable du traitement est CodeDesign S.r.l., dont le siège social est situé Via Nino Pesce 38, 18018 Taggia (IM), P. IVA IT01739830089 (ci-après « CodeDesign » ou « Fournisseur »).

Pour toute demande relative au traitement des données à caractère personnel et pour l'exercice des droits prévus par le RGPD, il est possible d'écrire à : info@codedesign.it.

2. Rôle de CodeDesign et champ d'application de la politique

Dans la fourniture de la plateforme Evolus, CodeDesign opère avec un double rôle :

• a) en qualité de Responsable du traitement, pour les données relatives à la création et à la gestion des comptes, à l'authentification, à l'utilisation de la plateforme, à la sécurité, à l'assistance et au respect des obligations légales ;
• b) en qualité de Sous-traitant au sens de l'art. 28 du RGPD, pour les données à caractère personnel traitées pour le compte du Client (l'organisation qui a souscrit l'abonnement) au moyen de l'Employee AI et des fonctionnalités de la plateforme. Ce traitement est régi par une Autorisation au Traitement des Données à Caractère Personnel (DPA) signée entre CodeDesign et le Client, qui désigne le Client en qualité de Responsable de ces données.

Pour les données traitées pour le compte du Client, l'information des personnes concernées et la collecte des éventuelles bases juridiques relèvent de la compétence du Client. La présente politique décrit principalement les traitements pour lesquels CodeDesign agit en qualité de Responsable et apporte de la transparence sur l'ensemble de l'architecture de traitement de la plateforme.

3. Catégories de données à caractère personnel traitées

En fonction des fonctionnalités activées, les catégories de données suivantes peuvent être traitées :

Données de compte et de profil

L'accès au portail s'effectue via le système d'identité Keycloak (identity.evolus.ai). Sont traités : nom, prénom, nom d'utilisateur, adresse e-mail, rôle/groupes d'appartenance, langue préférée et éventuelle image de profil (avatar).

Données d'utilisation et techniques

Données relatives à l'utilisation du Service, journaux techniques, identifiants de session, données de diagnostic et de télémétrie de fonctionnement, enregistrements du journal d'audit (audit trail) des activités effectuées sur la plateforme.

Contenus saisis dans la plateforme

• contenus des conversations et des messages échangés avec l'Employee AI via chat web, messagerie instantanée et e-mail ;
• enregistrements et transcriptions de conversations vocales, lorsque la fonctionnalité vocale est activée ;
• documents, fichiers et contenus chargés dans la Base de connaissances pour la récupération d'informations (RAG) ;
• données d'identification et de contact présentes dans le carnet d'adresses (contacts vérifiés) et dans les contenus gérés par l'Employee AI ;
• configurations, instructions et automatisations définies par le Client.

Les contenus peuvent inclure des données à caractère personnel de tiers (salariés, collaborateurs, clients et contacts du Client). Le Client est responsable de la licéité de leur insertion et de la délivrance des informations correspondantes.

4. Cookies et technologies de stockage local

Le portail portal.evolus.ai n'utilise pas de cookies de profilage ni d'outils de traçage publicitaire. Pour son fonctionnement, il utilise exclusivement des technologies de stockage local (localStorage) du navigateur, indispensables à la fourniture du Service :

• jetons d'authentification et de rafraîchissement (refresh), nécessaires au maintien de la session d'accès ;
• préférences d'interface, telles que le thème (clair/sombre) et la langue sélectionnée ;
• éventuels paramètres techniques d'administration (par exemple pour les fonctions de support).

Ces informations restent stockées dans le navigateur de l'utilisateur et ne sont pas utilisées à des fins de profilage. Le portail n'intègre ni Google Analytics ni d'autres traceurs tiers. À des fins de surveillance technique et de sécurité de l'infrastructure, le Fournisseur peut collecter des données de diagnostic agrégées côté serveur.

5. Finalités et bases juridiques du traitement

Les données sont traitées aux finalités suivantes et sur les bases juridiques suivantes :

• a) fourniture de la plateforme Evolus et des fonctionnalités d'Employee AI, gestion du compte et de l'authentification — base juridique : exécution du contrat (art. 6.1.b RGPD) ;
• b) assistance et support technique à l'utilisateur — base juridique : exécution du contrat et intérêt légitime (art. 6.1.b et 6.1.f RGPD) ;
• c) sécurité de la plateforme, prévention des abus et journal d'audit (Safety Engine) — base juridique : intérêt légitime du Fournisseur à garantir l'intégrité et la sécurité du Service (art. 6.1.f RGPD) ;
• d) respect des obligations légales, comptables et fiscales — base juridique : obligation légale (art. 6.1.c RGPD) ;
• e) constatation, exercice ou défense d'un droit en justice — base juridique : intérêt légitime (art. 6.1.f RGPD).

Les données et les contenus du Client ne sont pas utilisés par CodeDesign à ses propres fins, ni pour entraîner ou améliorer des modèles d'intelligence artificielle de tiers, sauf consentement écrit exprès et distinct du Client.

6. Modalités du traitement et mesures de sécurité

Le traitement est effectué au moyen d'outils automatisés et, lorsque cela est nécessaire, par des interventions manuelles autorisées. CodeDesign adopte des mesures techniques et organisationnelles adéquates au sens de l'art. 32 du RGPD, parmi lesquelles :

• contrôle des accès : accès aux données limité au personnel autorisé, avec des mécanismes d'authentification forte et de profilage des rôles ;
• chiffrement : données en transit protégées par TLS 1.3 ; données au repos chiffrées par AES-256 ;
• infrastructure : hébergement sur des centres de données certifiés situés dans l'Union européenne ;
• journal d'audit : enregistrement et surveillance des accès aux données ;
• Safety Engine : système de protection contre l'injection de requêtes (prompt injection), la fuite de données (data leakage) et l'usage abusif des outils AI ;
• continuité d'activité : sauvegardes quotidiennes, reprise après sinistre (disaster recovery) avec RTO < 24 heures et RPO < 1 heure ;
• tests d'intrusion (penetration test) périodiques réalisés par des tiers indépendants ;
• formation du personnel en matière de protection des données et de sécurité informatique.

7. Intelligence artificielle et fournisseurs de modèles

Pour fournir les fonctionnalités conversationnelles, de synthèse et d'automatisation, la plateforme transmet les contenus nécessaires à des fournisseurs de modèles d'intelligence artificielle et de services vocaux (sous-traitants ultérieurs indiqués à la section 8).

L'Employee AI est un outil de support et d'automatisation : il peut générer des résultats inexacts ou incomplets (« hallucinations »). Les résultats ne se substituent pas au jugement humain et doivent être vérifiés avant de s'y fier pour des décisions importantes. Les contenus transmis aux fournisseurs AI ne sont pas utilisés pour l'entraînement de leurs modèles, sauf consentement écrit exprès et distinct du Client.

8. Destinataires et sous-traitants ultérieurs du traitement

Les données peuvent être communiquées à des fournisseurs externes désignés sous-traitants ou sous-traitants ultérieurs du traitement, sélectionnés parmi des sujets offrant des garanties adéquates en matière de protection des données et liés par contrat par des obligations équivalentes à celles assumées par CodeDesign. Les sous-traitants ultérieurs actuellement utilisés appartiennent aux catégories suivantes :

• infrastructure cloud, hébergement et stockage : Hetzner Online GmbH et Microsoft (Microsoft Azure), sur des centres de données situés dans l'Union européenne ;
• services AI / modèles linguistiques (LLM) : Anthropic PBC, OpenAI Global LLC, OpenRouter Inc. et Google LLC ;
• services de transcription vocale (speech-to-text) : Deepgram Inc. ;
• services de synthèse vocale et agents vocaux : ElevenLabs Ltd ;
• intégrations de productivité activées et autorisées par le Client : Microsoft 365 / Microsoft Graph (courrier, agenda, Teams, fichiers), Google Workspace et Meta (WhatsApp Business), limitées aux données strictement nécessaires à la fonctionnalité activée.

La liste complète et mise à jour des sous-traitants ultérieurs est disponible sur demande. CodeDesign communique avec un préavis suffisant les éventuelles modifications des sous-traitants ultérieurs. Les données ne font l'objet d'aucune diffusion ni d'aucune vente à des tiers.

9. Transfert de données vers des pays tiers

CodeDesign s'engage à maintenir les données à caractère personnel à l'intérieur de l'Espace économique européen (EEE). Lorsque la fourniture du Service nécessite un transfert vers des pays tiers — par exemple vers des fournisseurs de services AI établis en dehors de l'UE — un tel transfert n'a lieu qu'exclusivement :

• a) vers des pays pour lesquels la Commission européenne a adopté une décision d'adéquation (art. 45 RGPD) ; ou
• b) en présence de garanties adéquates au sens de l'art. 46 RGPD, telles que les Clauses Contractuelles Types (Standard Contractual Clauses) ; ou
• c) en vertu de l'une des dérogations prévues par l'art. 49 RGPD.

10. Durée de conservation

Les données à caractère personnel sont conservées pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles sont traitées et, en tout état de cause :

• les données de compte et les contenus du Client sont conservés pendant la durée de la relation contractuelle ; à la cessation, au choix du Client, ils sont restitués ou effacés de manière sécurisée dans un délai de 60 jours, sous réserve des obligations légales de conservation ;
• les fichiers d'audit temporaires sont conservés pendant une période limitée (à titre d'exemple 24 heures) puis supprimés automatiquement ;
• les données des conversations peuvent être supprimées par l'utilisateur directement depuis la plateforme ; pour les canaux externes s'appliquent les fenêtres temporelles techniques prévues par le canal (à titre d'exemple 24 heures pour la fenêtre de conversation WhatsApp) ;
• les données traitées pour des obligations comptables et fiscales sont conservées pendant les délais prévus par la réglementation applicable.

11. Droits de la personne concernée

Les personnes concernées peuvent exercer à tout moment les droits prévus par les art. 15-22 RGPD, et en particulier :

• accès à ses propres données à caractère personnel ;
• rectification des données inexactes et complétion des données incomplètes ;
• effacement des données (droit à l'oubli) ;
• limitation du traitement ;
• portabilité des données ;
• opposition au traitement fondé sur l'intérêt légitime ;
• retrait du consentement, lorsque le traitement est fondé sur le consentement, sans préjudice de la licéité du traitement effectué avant le retrait.

Les demandes peuvent être adressées à info@codedesign.it ; CodeDesign répond dans un délai d'un mois à compter de la demande. Lorsque la personne concernée est un salarié, un collaborateur ou un contact du Client et que les données sont traitées par CodeDesign pour le compte du Client, la demande sera transmise au Client, en qualité de Responsable, sans retard injustifié.

La personne concernée a en outre le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (en Italie, le Garante per la Protezione dei Dati Personali — autorité italienne de protection des données — www.garanteprivacy.it).

12. Modifications de la politique

CodeDesign se réserve le droit de mettre à jour la présente politique afin de refléter des modifications réglementaires, techniques ou organisationnelles. La version mise à jour sera publiée sur cette page avec l'indication de la date de dernière mise à jour. Il est recommandé de consulter périodiquement cette page.