Politique de confidentialité
Anomia attache une importance fondamentale à la protection des données personnelles. Cette politique explique quelles données nous traitons, pourquoi, sur quelle base légale, combien de temps nous les conservons et quels droits vous pouvez exercer.
1. Qui sommes-nous
Anomia est la couche de gouvernance qui permet aux assistants IA d’accéder aux outils métier des PME — avec audit, contrôle des accès et souveraineté européenne. Le service est édité par Merlin Scaux, entrepreneur établi à Bruxelles, Belgique.
Pour les traitements décrits dans cette politique, le responsable du traitement est Anomia (Merlin Scaux), Bruxelles, Belgique. Toute question relative aux données personnelles peut être adressée à dpo@anomia.ai.
2. Champ d’application
Cette politique couvre les données personnelles :
- des visiteurs du site anomia.ai ;
- des utilisateurs de la console Anomia (les membres des organisations clientes) ;
- des contacts commerciaux de nos clients et prospects.
Pour les données que nos clients nous confient dans le cadre du service — les informations relatives à leurs propres employés, clients ou documents — Anomia agit comme sous-traitant au sens de l’article 28 du RGPD. Le client en demeure le responsable du traitement. Cette relation est régie par notre Accord de traitement des données (DPA), disponible depuis notre Centre de confiance.
3. Données que nous traitons
| Catégorie de données | Source | Finalité |
|---|---|---|
| Identité du compte (nom, adresse e-mail) | Fournie lors de l’invitation par l’administrateur du client | Création et exploitation du compte |
| Jetons d’authentification OAuth (Google, Microsoft) | Flux de connexion OAuth | Connexion et accès aux outils raccordés |
| Métadonnées de connexion (adresse IP, agent utilisateur, horodatage) | Générées lors de l’utilisation | Sécurité et prévention de la fraude |
| Journal d’audit (actions sensibles) | Généré par le service | Conformité, sécurité, traçabilité |
| Données de facturation | Stripe (notre prestataire de paiement) | Facturation et obligations comptables |
| Données de navigation agrégées | Plausible Analytics | Mesure d’audience, sans cookie |
Nous ne traitons pas le contenu de vos conversations IA, le contenu des documents auxquels les assistants accèdent, ni aucune donnée à caractère sensible au sens de l’article 9 du RGPD.
4. Bases légales (article 6 du RGPD)
- Exécution d’un contrat (art. 6.1.b) : la fourniture du service souscrit.
- Intérêt légitime (art. 6.1.f) : la sécurité du service, la prévention de la fraude et la tenue du journal d’audit.
- Obligation légale (art. 6.1.c) : la conservation des pièces comptables et de facturation imposée par le droit belge.
5. Durées de conservation
| Donnée | Durée de conservation |
|---|---|
| Données de compte | Jusqu’à la suppression du compte, puis 30 jours |
| Jetons OAuth | Jusqu’à la déconnexion de l’outil concerné |
| Métadonnées de connexion | 90 jours |
| Journal d’audit | 12 à 36 mois selon la formule souscrite |
| Données de facturation | 7 ans (obligation légale belge) |
Vous pouvez à tout moment exporter ou demander l’effacement de vos données de compte depuis Confidentialité du compte.
6. Hébergement et localisation des données
L’intégralité des données traitées par Anomia est hébergée dans l’Union européenne : serveurs applicatifs, bases de données, caches et sauvegardes sont situés en Allemagne (Hetzner, Falkenstein). Aucune donnée n’est stockée hors de l’UE.
7. Destinataires et sous-traitants
Nous ne vendons ni ne louons vos données personnelles. Elles ne sont communiquées qu’à des sous-traitants strictement nécessaires au fonctionnement du service (hébergement, paiement, envoi d’e-mails, observabilité). La liste complète et à jour de nos sous-traitants est publiée sur notre Centre de confiance. Nous informons les clients 30 jours avant tout ajout ou remplacement d’un sous-traitant.
8. Transferts hors de l’Union européenne
Certains sous-traitants sont établis hors de l’UE. Ces transferts limités sont encadrés par les clauses contractuelles types de la Commission européenne et, lorsque cela s’applique, par le EU-US Data Privacy Framework. Le détail figure sur le Centre de confiance.
9. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité de vos données.
- Accès et portabilité : exportez l’ensemble de vos données de compte au format JSON depuis Confidentialité du compte.
- Effacement : supprimez votre compte depuis cette même page ; vos données personnelles y sont anonymisées sans délai.
- Autres droits : écrivez-nous à dpo@anomia.ai.
Si vous êtes employé d’une organisation cliente, vous pouvez également exercer vos droits auprès de votre employeur, qui est le responsable du traitement de vos données d’usage.
10. Cookies et traceurs
Le site et la console Anomia n’utilisent que des cookies strictement nécessaires (session, protection CSRF). La mesure d’audience est assurée par Plausible Analytics, hébergé dans l’UE, sans cookie et sans donnée à caractère personnel. Aucun traceur publicitaire ni de reciblage n’est utilisé. Aucun bandeau de consentement n’est donc légalement requis.
11. Sécurité
Anomia chiffre les données sensibles au repos (AES-256-GCM, clé par organisation) et en transit (TLS 1.3 minimum). L’isolation entre clients est assurée au niveau de la base de données, le journal d’audit est chaîné par hachage, et l’accès interne suit le principe du moindre privilège. Le détail figure sur notre Centre de confiance.
12. Modifications de cette politique
Nous pouvons faire évoluer cette politique. Toute modification substantielle est annoncée sur cette page et, le cas échéant, par e-mail. La date de dernière mise à jour figure en tête de page.
13. Contact et réclamation
Pour toute question relative à vos données personnelles, écrivez à dpo@anomia.ai.
Vous avez le droit d’introduire une réclamation auprès de l’Autorité de protection des données (APD), l’autorité de contrôle belge — rue de la Presse 35, 1000 Bruxelles — ou auprès de l’autorité de votre pays de résidence.