Aperçu de la sécurité et de la protection des données (Confiance)
Dernière mise à jour : 2025‑12‑08
Cet aperçu de la sécurité et de la protection des données (« Aperçu ») explique en détail comment nous concevons et exploitons nos produits pour protéger les données que vous nous confiez. Il est destiné aux parties prenantes en matière de sécurité, juridiques, informatiques et commerciales qui évaluent le inAi et ses produits, notamment le PageMind et le Emplo.
Cet aperçu est à titre informatif uniquement. Il ne s’agit pas en soi d’un contrat, ne crée aucune garantie légale et peut être mis à jour de temps à autre. Les conditions contraignantes régissant notre relation avec vous sont énoncées dans :
- les Conditions de service applicables à chaque produit,
- notre Contrat de traitement des données (DPA) dans lequel nous agissons en tant que sous-traitant,
- notre Politique de confidentialité, et
- tout Contrat-cadre de service ou accord pilote distinct que nous signons avec vous.
En cas de conflit entre cet aperçu et ces documents contraignants, ces derniers prévaudront toujours. En cas de divergence, aucun droit ou obligation supplémentaire ne découle de cet aperçu au-delà de ceux expressément énoncés dans les contrats applicables.
Rien dans cet aperçu ne constitue un avis juridique. Chaque client reste responsable de sa propre conformité légale, réglementaire et politique interne lors de l'utilisation de nos services. Vous devez consulter votre propre conseiller juridique avant de vous fier à une quelconque partie de ce document pour prendre des décisions de conformité.
Nous nous réservons le droit de mettre à jour cet aperçu à notre discrétion (par exemple, pour refléter de nouvelles lois, réglementations ou mesures techniques). Lorsque les changements sont importants pour les clients existants, nous pouvons les mettre en évidence via le site Web ou par des communications directes, en plus de mettre à jour cet aperçu.
1. Qui nous sommes et où nous opérons
1.1 Identité de l'entreprise
inAi est une société française AI basée à Lille. Nous sommes constitués sous le nom de INAI, une Société par Actions Simplifiée à associé unique (SASU) française au capital social de 1 000 €, enregistrée au RCS Lille Métropole sous le numéro 987 977 386.
- Siège social et établissement principal : 142 rue d'Iéna, app. 21, 59000 Lille, France.
- Objet social : conception, développement, édition et commercialisation de logiciels, d'applications et de services SaaS utilisant l'intelligence artificielle, ainsi que le conseil, la formation et la R&D associés.
- Domaines officiels : inai.world, pagemind.fr et emplo.fr.
Nous fonctionnons comme un studio de technologie approfondie qui transforme la recherche sur des modèles de langage étendu en systèmes AI pratiques et auditables. Nos produits publics actuels sont :
- PageMind, axé sur l'automatisation du contenu de vente au détail et de catalogue pour les détaillants, les marques et les marchés.
- Emplo, un agent de carrière AI pour les demandeurs d'emploi en Europe.
Sauf indication contraire explicite, les pratiques de sécurité et de protection des données décrites ici s'appliquent à tous les produits inAi et à l'infrastructure partagée.
1.2 Environnement géographique et juridique
Nous concevons nos systèmes et processus avec la loi UE et la loi française comme cadres juridiques principaux. Cela comprend notamment :
- Le Règlement Général sur la Protection des Données UE (RGPD) et ses règles d'application françaises correspondantes.
- La loi UE AI émergente, en particulier lorsque nos systèmes sont utilisés dans des contextes qui peuvent être considérés comme à haut risque (par exemple, soutien à l'emploi, certains flux de travail de vente au détail sensibles à la conformité).
- L'évolution du cadre européen de cybersécurité (y compris la Directive NIS2 et les règles nationales associées) ; nous surveillons si et quand ces obligations s'appliquent à nos services et ajusterons nos pratiques de sécurité et de gestion des incidents en conséquence.
Notre architecture est destinée à conserver les données principales des clients au repos dans des environnements de cloud privé virtuel (VPC) situés dans des centres de données au sein de l'Union européenne et exploités par des fournisseurs européens ou internationaux de premier plan. Notre centre juridique et notre FAQ décrivent cette posture centrée sur l’UE, y compris les engagements en matière de localisation, de conservation et de suppression des données. Dans des cas limités, certains traitements ou accès peuvent impliquer des emplacements en dehors de l’EEE (par exemple, via des sous-traitants spécifiques, une assistance à distance ou un accès utilisateur depuis l'étranger) dans le cadre des garanties décrites dans la section 12.
1.3 Portée de cet aperçu
Cet aperçu couvre :* Comment nous gérons la sécurité et la protection des données au niveau de l'entreprise.
- Comment nous traitons nos rôles de responsable du traitement et de sous-traitant pour différents flux de produits.
- Quels types de données nous traitons et pourquoi.
- Notre approche de la résidence des données, des sous-traitants et des transferts internationaux.
- Mesures de sécurité techniques et organisationnelles.
- Droits des personnes concernées, réponse aux incidents et responsabilités partagées.
Ce n'est pas :
- Remplacez ou modifiez nos conditions d'utilisation, DPA, notre politique de confidentialité ou tout contrat signé.
- Fournir des guides de configuration détaillés pour chaque environnement client.
- Garantissez la conformité de votre cas d'utilisation spécifique avec toute réglementation spécifique au secteur (par exemple, finance, santé, étiquetage alimentaire, droit du travail). Ces déterminations restent sous votre responsabilité, même si nous pouvons fournir des informations complémentaires le cas échéant.
2. Fondements réglementaires et posture de conformité
2.1 RGPD et protection des données dès la conception
Nous concevons notre programme de protection des données autour du Règlement général sur la protection des données UE (RGPD) partout où il s'applique, et nous appliquons généralement des garanties similaires comme référence aux autres données à caractère personnel, sous réserve de la législation locale.
Principes clés alignés sur RGPD qui éclairent notre conception :
Légalité, équité, transparence Nous traitons les données à caractère personnel uniquement sur des bases juridiques documentées (par exemple, exécution d'un contrat avec un client, intérêts légitimes, respect d'obligations légales ou consentement le cas échéant). Les bases juridiques spécifiques à chaque produit et catégorie de données sont expliquées dans la politique de confidentialité correspondante et, lorsque nous agissons en tant que sous-traitant, dans la DPA.
Limitation de l'objectif Nous traitons les données à caractère personnel uniquement à des fins spécifiées, explicites et légitimes, telles que la fourniture des flux de travail du catalogue PageMind pour un détaillant ou des fonctionnalités d'assistant de carrière de Emplo pour un candidat. Toute réutilisation de données à des fins secondaires (par exemple, analyses agrégées, amélioration de produits) est limitée et décrite dans nos documents juridiques.
Minimisation des données Nos produits sont conçus pour nécessiter uniquement les données nécessaires à l'exécution du service demandé. Par exemple, les flux de travail PageMind fonctionnent principalement sur les fichiers de produits des fournisseurs et les métadonnées techniques plutôt que sur des données à caractère personnel omniprésentes ; Emplo minimise les données nécessaires à la mise en correspondance et à la préparation des candidatures.
Précision Nous concevons PageMind pour éviter d'inventer des faits, pour nous appuyer sur les preuves contenues dans les documents sources et pour exposer les incohérences via l'assurance qualité et les indicateurs ; et Emplo pour permettre aux candidats de réviser et de modifier les documents de candidature avant utilisation. Néanmoins, les clients restent responsables de la validation de tout contenu avant de l'utiliser en production ou à des fins réglementées.
Limitation de stockage Nous appliquons des limites de conservation et des mécanismes de suppression raisonnables (libre-service lorsque cela est possible ; sinon sur demande), les sauvegardes étant conservées uniquement pendant une période limitée (environ 30 jours) avant d'être écrasées, comme décrit dans notre Hub juridique et notre FAQ.
Intégrité et confidentialité Nous mettons en œuvre des mesures techniques et organisationnelles conçues pour garantir un niveau de sécurité approprié, notamment le cryptage, le contrôle d'accès, la journalisation et la surveillance (détaillés ci-dessous dans la section sécurité).
Protection des données dès la conception et par défaut Les nouvelles fonctionnalités sont évaluées en fonction de leur impact sur la vie privée, et nous préférons les valeurs par défaut respectueuses de la vie privée (par exemple, conservation limitée, adhésion à des analyses ou à une automatisation plus invasives, aucune utilisation des données client à des fins de publicité tierce).
Lorsqu'une activité de traitement est susceptible d'entraîner un risque élevé pour les individus (par exemple, certains scénarios de profilage étendu ou liés à l'emploi), nous pouvons mener ou soutenir une évaluation d'impact sur la protection des données (DPIA) conformément aux exigences RGPD lorsqu'elles s'appliquent, et pouvons effectuer des évaluations équivalentes pour d'autres traitements, le cas échéant. Pour les cas d'utilisation à haut risque spécifiques au client, la responsabilité de mener une AIPD incombe principalement au client en tant que responsable du traitement, mais nous pouvons fournir des informations sur nos systèmes pour soutenir leur évaluation.
2.2 Loi UE AI et gouvernance AI
Nos produits intègrent des modèles et des orchestrations AI d'une manière qui peut relever de la Loi UE AI à mesure que la réglementation devient pleinement applicable. Nous prévoyons deux rôles principaux :* En tant que fournisseur de certains systèmes AI (par exemple, l'assistant AI côté candidat de Emplo, certains flux PageMind qui effectuent des opérations sensibles à la conformité).
- En tant que déployeur du AI à usage général et d'autres modèles tiers au sein de notre plateforme hébergée.
Conformément à l’orientation de la loi AI, nous visons à mettre en œuvre les pratiques suivantes, en particulier pour les contextes à risque élevé :
Gestion des risques et documentation Documentation interne sur les objectifs du système, les sources de données, les choix de modèles et les limitations connues ; des protocoles d'évaluation structurés pour l'orchestration et la qualité des décisions (par exemple nos cadres internes OVC-1, ADA-1, KCR-1).
Gouvernance des données et des modèles Préférence pour des sources de données licites et de haute qualité ; utilisation minimale des données à caractère personnel pour la formation ; contrôles sur les configurations des fournisseurs afin que les données des clients ne soient pas utilisées par défaut pour entraîner des modèles publics.
Transparence et informations utilisateur Message clair indiquant que les utilisateurs interagissent avec les fonctionnalités compatibles avec le AI, en particulier lorsque le AI génère ou influence matériellement des résultats tels que des textes de catalogue ou des documents d'application.
Contrôle humain Conception de flux de travail dans lesquels les clients (pour PageMind) ou les candidats (pour Emplo) peuvent examiner et corriger les résultats générés par le AI avant de s'y fier, et où les comportements plus automatisés (tels que toute future fonctionnalité d'application automatique du Emplo) sont strictement opt-in, basés sur des règles et réversibles.
Journalisation et auditabilité Conservation des journaux pertinents, des configurations d'exécution et des traces de preuves afin que le comportement puisse être reconstruit à des fins de dépannage ou d'examen juridique, en particulier dans PageMind et son module Verify.UE.
Nous ne considérons pas cet aperçu comme une déclaration complète de conformité à la loi AI. Une cartographie détaillée des systèmes spécifiques par rapport aux catégories et obligations de la loi AI sera présentée séparément si nécessaire.
2.3 Réglementations et normes en matière de cybersécurité
Nous alignons notre posture de sécurité sur les attentes européennes pertinentes en matière de cybersécurité plutôt que sur une seule certification :
- Nous concevons notre système de gestion de la sécurité interne globalement conformément aux familles de contrôle ISO/IEC 27001:2022 (politiques de sécurité de l'information, gestion des actifs, contrôle d'accès, cryptographie, sécurité physique, sécurité des opérations, sécurité des communications, acquisition/développement/maintenance du système, relations avec les fournisseurs, gestion des incidents, continuité des activités).
- À mesure que la Directive NIS2 et les transpositions nationales entrent en vigueur pour les fournisseurs de services numériques et cloud, nous surveillons leur applicabilité à nos services et ajusterons nos pratiques en conséquence, notamment en matière de gestion des risques, de classification et de reporting des incidents et de surveillance de la gouvernance.
À ce stade, nous ne prétendons pas détenir de certifications formelles telles que ISO 27001 ou SOC 2. Lorsque nous faisons référence à ces cadres, nous le faisons en tant qu'objectifs d'alignement et références internes, et non en tant qu'attestations indépendantes complétées. Les certifications formelles, si elles sont obtenues, seront clairement indiquées dans notre Centre juridique et sur cette page.
3. Rôles des données et responsabilités partagées
3.1 Rôles de responsable du traitement et de sous-traitant
Notre rôle en vertu de la loi sur la protection des données dépend du produit et du contexte de traitement spécifique.
PageMind
Pour les flux de travail de base du catalogue PageMind :
- Le client (par exemple, détaillant, marque, place de marché) est généralement le responsable du traitement des données à caractère personnel contenues dans le catalogue de produits et les fichiers associés.
- inAi agit principalement en tant que sous-traitant, traitant les données pour le compte et sous les instructions du client pour fournir les fonctions de PageMind (ingérer des fichiers fournisseur, extraire des attributs, générer des textes, produire des fichiers de catalogue et des rapports).
Pour certaines opérations limitées (par exemple, journaux de sécurité, analyses agrégées, surveillance de la plateforme), inAi peut agir en tant que responsable du traitement indépendant des données techniques et d'utilisation strictement nécessaires ; ceci est décrit dans notre politique de confidentialité.
Emplo
Pour Emplo :* inAi agit généralement en tant que responsable du traitement pour les données à caractère personnel des candidats qui s'inscrivent directement pour utiliser Emplo en tant qu'assistant de carrière AI (CV, préférences, historique de recherche d'emploi, statut de la candidature, identifiants du site d'emploi connecté, etc.).
- Lorsque Emplo est fourni par un tiers ou intégré à une autre plate-forme, la répartition précise responsable du traitement/sous-traitant peut différer et sera documentée dans la documentation contractuelle et de confidentialité applicable.
Autres interactions
Pour les visiteurs du site Web, les partenaires et autres contacts professionnels (par exemple, investisseurs, incubateurs), inAi agit également en tant que responsable du traitement des données à caractère personnel qu'il collecte (coordonnées, historique des communications, analyses Web de base), comme décrit dans notre Politique de confidentialité et notre Centre juridique.
3.2 Responsabilités du client en tant que responsable du traitement
Lorsque vous êtes le responsable du traitement (par exemple, en utilisant PageMind sur vos propres données de catalogue), vous restez responsable de :
- Déterminer les finalités et bases juridiques du traitement des données à caractère personnel que vous téléchargez ou faites générer.
- Fournir des informations et avis appropriés aux personnes concernées (clients, fournisseurs, employés) dont les données sont incluses dans le contenu que vous traitez via nos services.
- S'assurer que vous disposez d'une base légale (par exemple, contrat, intérêts légitimes, consentement) pour traiter ces données et engager inAi en tant que sous-traitant.
- Décider si et comment utiliser les résultats générés par le AI (par exemple, textes de catalogue, notes de conformité) dans vos systèmes de production, y compris en les validant par rapport à vos propres normes de qualité, juridiques et de conformité.
- Réaliser des DPIA et d'autres évaluations d'impact réglementaire pour vos cas d'utilisation spécifiques lorsque la loi l'exige.
- Répondre aux demandes des personnes concernées (accès, rectification, effacement, etc.) concernant les données dont vous êtes responsable du traitement, avec notre accompagnement en tant que sous-traitant sous le DPA.
Notre DPA explique plus en détail comment nous vous aidons en matière de sécurité, de droits des personnes concernées et d'obligations réglementaires et comment nous suivons vos instructions documentées.
3.3 Responsabilités de inAi en tant que sous-traitant et/ou responsable du traitement
Sous réserve du contrat précis et du rôle juridique, nous sommes responsables de :
- Mettre en œuvre et maintenir des mesures techniques et organisationnelles adaptées au risque, y compris le contrôle d'accès, le cryptage, la journalisation et la surveillance.
- S'assurer que notre personnel et nos sous-traitants sont soumis à des obligations de confidentialité et traitent les données uniquement conformément aux instructions documentées.
- Ne pas engager de sous-traitants pour les données clients sans contrats appropriés et sans transparence sur leurs rôles.
- Aider les responsables du traitement à remplir leurs obligations (par exemple, répondre aux demandes des personnes concernées, effectuer des DPIA, gérer les incidents) dans le cadre et les délais fixés dans le DPA.
- Informer les clients sans délai indu des violations de données à caractère personnel pertinentes affectant leurs données, afin de leur permettre de respecter leurs propres obligations de notification.
Nous n'assumons pas de responsabilités qui appartiennent au client en tant que responsable du traitement, comme décider quelles données doivent être téléchargées, quels résultats doivent être publiés ou comment ces résultats sont utilisés dans la prise de décision du client.
3.4 Modèle de responsabilité partagée
L'utilisation de nos services suit un modèle de responsabilité partagée :
Nous sommes responsables de
- Sécurité et disponibilité de la plateforme (infrastructure cloud, services de base, sécurité des applications de base).
- Concevoir et maintenir des garanties raisonnables pour la confidentialité, l'intégrité et la résilience des systèmes traitant vos données.
- Vous fournir des outils et des informations (par exemple, journaux, options de configuration, documentation, pistes d'audit) pour soutenir vos efforts de conformité.
Vous êtes responsable de* Gestion et configuration des accès dans votre propre organisation (par exemple, fournisseur d'identité, provisionnement des utilisateurs, attributions de rôles, paramètres MFA).
- Sécurité des points de terminaison et du réseau pour les appareils et systèmes que vos utilisateurs utilisent pour accéder à nos services.
- Le contenu des données que vous téléchargez et la sécurité/statut de vos comptes externes (babillards d'emploi, courrier électronique) lors de l'utilisation de nos fonctionnalités d'automatisation (y compris l'acceptation du risque d'interdiction de compte par des tiers), y compris le respect de la propriété intellectuelle, des secrets commerciaux, des engagements de confidentialité et des conditions de la plateforme, ainsi que les décisions de s'appuyer sur les résultats en production ou dans des contextes réglementés.
- Effectuer toutes les évaluations juridiques (par exemple, les DPIA, les évaluations des risques AI, les contrôles de conformité spécifiques au secteur) qui dépendent de vos systèmes et processus plus larges.
Nous ne pouvons être tenus responsables des problèmes de sécurité ou des violations de la loi causés par :
- Votre mauvaise configuration ou votre échec à mettre en œuvre une sécurité raisonnable de votre côté (par exemple, fuite d'informations d'identification, MFA désactivé, appareils compromis).
- Téléchargement de contenu illégal, contrefait ou inapproprié sur la plateforme.
- Utiliser les résultats d'une manière incompatible avec les lois, réglementations ou conditions applicables aux plateformes tierces.
Sauf accord contraire exprès par écrit, vous êtes seul responsable du respect des lois et réglementations applicables à vos propres produits, services et processus commerciaux, y compris les règles spécifiques au secteur et à la protection des consommateurs, même lorsque vous utilisez nos services dans le cadre de ces processus.
4. Quelles données nous traitons (haut niveau)
4.1 PageMind
PageMind est principalement conçu pour les workflows de contenu produit B2B et fonctionne principalement sur les données non personnelles contenues dans les fichiers fournisseurs et les structures de catalogue. Certaines données à caractère personnel peuvent toutefois être présentes de manière fortuite (ex : coordonnées, signatures).
Les catégories typiques incluent :
Contenu des fournisseurs et des produits
- PDF du fournisseur, images, documents Word, feuilles de calcul et autres fichiers décrivant les produits et les spécifications.
- Identifiants produits (SKU, GTIN, codes fabricants), attributs (dimensions, puissance, matériaux), titres, descriptions, notes techniques et réglementaires.
Configuration client et métadonnées
- Modèles de catalogue (noms de colonnes, champs obligatoires).
- Glossaires et listes autorisées (termes de marque, énumérations de couleurs/taille).
- Configurations du workflow (langues, règles, drapeaux).
Journaux opérationnels et de sécurité
- Exécutez les métadonnées (horodatages, identifiants utilisateur, nombre d'éléments traités).
- Statuts et codes d'erreur, indicateurs d'anomalies, hachages d'entrées/sorties et signatures de configuration pour l'auditabilité.
- Journaux techniques de base (adresses IP, agent utilisateur, événements d'authentification) nécessaires à la sécurité et aux performances.
4.2 Emplo
Emplo traite des données à caractère personnel plus directes car il opère sur des profils de candidats :
Identité et données de contact
- Nom, adresse e-mail et autres coordonnées fournies par l'utilisateur.
- CV/CV et documents similaires, y compris les études et les antécédents professionnels.
Données de préférence et de profil
- Préférences d'emploi déclarées (rôles, lieux, attentes salariales, type de contrat, déménagement, contraintes).
- Fonctionnalités de profil dérivées utilisées en interne pour la mise en correspondance et le filtrage (par exemple, estimations d'ancienneté, balises de compétences).
Données de recherche d'emploi et de candidature
- Listes d'offres d'emploi considérées, présélectionnées ou auxquelles postulées.
- CV sur mesure et lettres de motivation générés pour des rôles spécifiques.
- Statuts et notes des candidatures tels qu'enregistrés dans le tableau de bord.
Données de compte et d'identifiants
- Informations de connexion pour Emplo lui-même.
- Lorsque l'utilisateur connecte des sites d'emploi ou des comptes de messagerie à Emplo, les informations d'identification cryptées ou les jetons sont requis pour accéder à ces services au nom de l'utilisateur (si et seulement si l'utilisateur s'y inscrit).
Télémétrie et journaux
- Actions entreprises au sein de Emplo (recherches, approbations, modifications).
- Pour toute future fonctionnalité automatisée, journaux des candidatures soumises automatiquement (lien vers l'emploi, heure, matériaux utilisés, règles appliquées).Nous ne cherchons pas intentionnellement à collecter des catégories particulières de données à caractère personnel (par exemple, données de santé, opinions politiques, croyances religieuses) via Emplo ou PageMind. Il est déconseillé aux utilisateurs d'inclure de telles données dans des champs de texte libre, et les clients doivent éviter de télécharger des documents inutilement sensibles.
En pratique, les CV et les dossiers de candidature peuvent néanmoins contenir des informations considérées comme sensibles au sens de la loi sur la protection des données (par exemple, des informations relatives à la santé, à l'appartenance syndicale ou des références à des activités politiques ou religieuses dans les sections d'expérience). Notre traitement de ces données, y compris les bases juridiques applicables et les garanties supplémentaires, est régi par la politique de confidentialité spécifique à Emplo et par toutes les exigences locales applicables. Emplo est destiné aux adultes ; il ne s'adresse pas aux enfants de moins de 16 ans (ou à tout âge minimum supérieur spécifié dans la juridiction concernée), et nous ne collectons pas sciemment de données à caractère personnel auprès de ces personnes. Si nous apprenons que nous avons collecté des données à caractère personnel sur un enfant en violation de ces intentions, nous prendrons des mesures raisonnables pour les supprimer.
4.3 Site Web, support et contacts commerciaux
En plus des données sur les produits, nous traitons des données à caractère personnel limitées dans d'autres contextes :
- Formulaires du site Internet (contact, demandes de démo, demandes pilotes, formulaires partenaires).
- Prise en charge des interactions par e-mail ou d'autres canaux.
- Développement commercial, communication investisseurs et incubateur.
Les types de données ici sont standards (noms, e-mails, rôles, messages) et sont traités dans le cadre de notre politique de confidentialité et de notre politique de courrier électronique/anti-spam.
4.4 Propriété des données et des résultats
- Les entrées client (par exemple, fichiers fournisseurs, CV, modèles, configuration) restent la propriété du client ou de l'utilisateur qui les a fournies, sous réserve d'éventuels droits de tiers.
- Les résultats produits par nos systèmes (par exemple, les CSV de catalogue, les rapports d'exécution, les ensembles de preuves, les CV personnalisés et les lettres de motivation) sont, par défaut, la propriété du client ou de l'utilisateur comme décrit dans les conditions applicables, inAi conservant uniquement les droits nécessaires pour exploiter, maintenir et améliorer les services tels que décrits dans nos contrats.
Vous êtes tenu de vous assurer que vous disposez de tous les droits nécessaires (y compris les droits de propriété intellectuelle et de confidentialité) pour télécharger vos données sur nos services et pour utiliser les résultats dans vos propres systèmes et processus.
5. Résidence des données, hébergement et sous-traitants
5.1 Emplacement des données et VPC UE uniquement
Nous exploitons nos produits principalement sur une infrastructure située dans l'Union européenne, en utilisant une architecture de cloud privé virtuel (VPC). Notre objectif de conception est que les données client principales au repos, y compris les artefacts dérivés tels que les intégrations, soient stockées sur une infrastructure basée dans l’UE.
En particulier :
- Les serveurs d'applications, les bases de données et le stockage principal utilisés pour PageMind et Emplo sont fournis dans les centres de données UE de nos fournisseurs de cloud.
- Les sauvegardes et les répliques de récupération après sinistre sont également conservées dans l’UE, soumises à des contrôles d'accès et à des normes de cryptage comparables.
- Les journaux opérationnels et les données de surveillance pouvant contenir des identifiants personnels ou pseudonymes limités sont, par défaut, stockés et traités dans nos environnements basés sur UE, sauf indication contraire explicite dans notre liste de sous-traitants, notre politique de confidentialité ou votre contrat.
Lorsque les fonctionnalités facultatives reposent sur des services extérieurs au UE/EEE (par exemple, une intégration tierce spécifique demandée par un client), ces fonctionnalités seront :
- clairement marqué comme tel,
- désactivé par défaut sauf activation explicite par le client, et
- régi par des garanties contractuelles et de transfert appropriées, telles que décrites à la section 12.
5.2 Fournisseurs d'infrastructures
Nous nous appuyons sur une infrastructure vaste et établie et sur des fournisseurs AI dotés de solides programmes de sécurité et de conformité. À compter d'aujourd'hui :
- Nos charges de travail sont réparties sur plusieurs plateformes cloud majeures (par exemple Google Cloud, Microsoft Azure, AWS, Scaleway), soutenues par des programmes de crédit non dilutifs et des partenariats de startup.
- Nous entretenons des relations avec plusieurs fournisseurs de modèles et d'infrastructures (y compris les lecteurs UE) pour rester indépendants des fournisseurs et pour prendre en charge une couche d'orchestration résiliente et à faible coût.
Tous ces fournisseurs :* opérer dans le cadre d'accords de traitement de données qui définissent leur rôle en tant que sous-traitants ou sous-traitants ultérieurs ;
- s'engager à prendre des mesures de sécurité techniques et organisationnelles appropriées ;
- sont contractuellement limités dans leur capacité à utiliser nos données (par exemple, ils ne peuvent pas utiliser le contenu client pour leur propre publicité ou pour une formation sur des produits sans rapport sans consentement séparé).
Nous ne répertorions pas publiquement tous les détails de l'architecture interne sur cette page, car la configuration exacte peut évoluer. La liste faisant autorité des sous-traitants ultérieurs est conservée dans notre centre juridique et, le cas échéant, dans votre DPA.
5.3 Sous-traitants et transparence
Nous nous appuyons sur des sous-traitants pour fournir l'infrastructure de base (hébergement cloud, stockage, bases de données gérées, surveillance) et les services de support (suivi des erreurs, systèmes de support client, livraison d'e-mails, etc.).
Nous nous engageons à :
Tenir à jour une Liste des sous-traitants, accessible via la section Juridique ou Protection des données de notre site ou sur demande.
Assurez-vous que chaque sous-traitant :
- est lié par un accord écrit qui impose des obligations substantiellement équivalentes à celles de notre DPA ;
- traite les données à caractère personnel uniquement dans le but de fournir le service concerné ;
- met en œuvre des mesures techniques et organisationnelles adéquates pour protéger les données à caractère personnel.
Informer les clients des modifications importantes apportées à notre liste de sous-traitants ultérieurs (par exemple, l'ajout d'un nouveau sous-traitant qui traitera les données à caractère personnel des clients), par e-mail, avis sur le tableau de bord ou tout autre moyen raisonnable.
Lorsque cela est requis dans les contrats d’entreprise, nous pouvons proposer :
- un droit de s'opposer à certains sous-traitants ultérieurs pour des raisons fondées de protection des données ; et
- un processus défini pour répondre à ces objections (par exemple, en ajustant la configuration ou en proposant des solutions alternatives).
5.4 Infrastructure gérée par le client (le cas échéant)
Pour certains déploiements d'entreprise, nous pouvons prendre en charge des configurations dans lesquelles des parties de la pile s'exécutent dans des environnements gérés par le client (par exemple, un VPC dédié ou une configuration « apportez votre propre cloud »). Dans de tels cas :
- Nos responsabilités se limitent aux composants que nous contrôlons (orchestration d'agents, logique applicative PageMind/Emplo, etc.).
- Le client est responsable de la sécurité et de la conformité de sa propre infrastructure (configuration réseau, VPN, fournisseur d'identité, points de terminaison et tout outil supplémentaire qu'il déploie).
6. Sécurité du traitement – mesures techniques et organisationnelles
Nous concevons nos contrôles de sécurité pour nous aligner sur les exigences de l'Article 32RGPD (sécurité du traitement) et sur les cadres reconnus tels que ISO/IEC 27001:2022, tout en restant pragmatiques pour une entreprise Lean.
6.1 Gestion de la sécurité des informations
Nous exploitons un Système de gestion de la sécurité de l'information (ISMS) interne et léger qui comprend :
- politiques de sécurité documentées (contrôle d'accès, gestion des changements, réponse aux incidents, utilisation acceptable) approuvées par la direction et révisées périodiquement ;
- un inventaire des actifs des systèmes et magasins de données critiques ;
- processus de base d'évaluation des risques pour identifier, hiérarchiser et traiter les risques de sécurité, en particulier autour des données produit, de l'orchestration des modèles et des sous-traitants ;
- Gestion des risques liés aux fournisseurs et contrôles de diligence raisonnable lors de l'intégration de nouveaux sous-traitants ou fournisseurs d'infrastructure.
Ce SMSI évolue et est destiné à constituer la base d'une future certification (par exemple ISO 27001) à mesure que l'entreprise se développe ; nous ne revendiquons actuellement aucune certification formelle.
6.2 Contrôle d'accès et gestion des identités
L’accès aux systèmes de production et aux données clients a vocation à être strictement limité :
Principe du moindre privilège : chaque compte et service interne ne bénéficie que des autorisations minimales nécessaires pour remplir sa fonction.
Contrôle d'accès basé sur les rôles (RBAC) :
- Rôles séparés pour le développement, les opérations et le support, avec différentes étendues d'accès.
- Élévation auditée et limitée dans le temps lorsque l'accès aux données client est requis (par exemple, lors d'une enquête d'assistance).
Authentification :* Politiques de mot de passe fortes et hachage de mot de passe sécurisé pour les comptes internes.
- L'authentification multifacteur (MFA) est requise pour accéder à l'infrastructure de production et aux outils d'administration partout où elle est prise en charge par les fournisseurs, et nous encourageons fortement son utilisation pour d'autres chemins d'accès.
- Pour les clients, soit nous assurons une gestion sécurisée des informations d'identification, soit nous intégrons des fournisseurs d'identité externes (si pris en charge). Les clients sont encouragés à activer les options MFA et SSO lorsqu’elles sont disponibles.
Les sessions sont soumises à des délais d'inactivité et peuvent être interrompues côté serveur si une compromission est suspectée.
6.3 Chiffrement et gestion des clés
Nous utilisons le cryptage pour protéger les données en transit et au repos :
En transit : nous visons à garantir que les communications externes et internes impliquant des données à caractère personnel ou des données opérationnelles sensibles utilisent TLS (HTTPS ou équivalent).
Au repos :
- Les bases de données, les compartiments de stockage et les sauvegardes sont chiffrés à l'aide d'algorithmes standard de l'industrie (par exemple AES-256 ou équivalent du fournisseur).
- Le cryptage est activé par défaut pour tous les magasins de données principaux et emplacements de sauvegarde.
Les clés cryptographiques sont :
- gérés à l'aide des Key Management Services (KMS) des fournisseurs de cloud ou de mécanismes équivalents ;
- alterné périodiquement et lorsqu'une compromission est suspectée ;
- accessible uniquement à un ensemble minimal de rôles privilégiés, avec utilisation enregistrée par le fournisseur.
6.4 Sécurité des réseaux et des infrastructures
Notre infrastructure est segmentée et renforcée :
Segmentation du réseau :
- Séparation des environnements (développement, mise en scène, production) à travers des projets/comptes distincts et des limites de réseau.
- Utilisation de réseaux privés virtuels (VPC), de groupes de sécurité et de règles de pare-feu pour restreindre le trafic entrant et sortant.
Protection périmétrique :
- Utilisation de proxys inverses et, le cas échéant, de pare-feu d'applications Web (WAF) pour atténuer les menaces Web courantes.
Durcissement du système :
- Utilisation de services de plateforme gérés lorsque cela est possible (bases de données gérées, fonctions sans serveur, orchestration de conteneurs) pour réduire l'exposition au niveau du système d'exploitation.
- Application régulière de correctifs de sécurité aux images de base et aux environnements d'exécution.
Nous cherchons à surveiller les avis de sécurité des fournisseurs et visons à appliquer les mises à jour pertinentes en temps opportun.
6.5 Sécurité des applications et SDLC
Nous suivons des pratiques de développement sécurisé adaptées à notre taille :
Gestion des codes :
- Contrôle de version avec révision forcée du code pour les modifications apportées aux composants critiques.
- Protection des branches sur les branches principales ; pas de poussée directe vers la production.
Gestion des dépendances et des vulnérabilités :
- Utilisation d'outils automatisés pour détecter les vulnérabilités connues dans les dépendances tierces.
- Révision et mise à jour régulières des dépendances.
Tests :
- Tests unitaires et d'intégration couvrant les pipelines clés (ingestion, extraction, traduction, QA, Verify.UE).
- Tests ciblés de bout en bout sur des ensembles de données représentatifs pour détecter les régressions.
Gestion du changement :
- Pipelines de déploiement structurés avec environnements de test.
- Procédures de restauration pour les déploiements ayant échoué.
De temps en temps, nous pouvons engager des évaluateurs de sécurité externes ou participer à des examens structurés (par exemple par le biais de programmes d'incubation) pour évaluer notre posture de sécurité. Toutes les constatations graves sont triées et traitées en fonction de leur gravité.
6.6 Journalisation, surveillance et alerte
Nous conservons des journaux et des mesures pour les événements opérationnels et liés à la sécurité :
Journalisation :
- Événements d'authentification (connexions, tentatives infructueuses, réinitialisations de mot de passe).
- Changements de privilèges et actions administratives.
- Événements produits clés (lancements de pipelines, changements de configuration, exécutions PageMind et Emplo).
- Erreurs système et exceptions.
Les journaux peuvent contenir des données à caractère personnel limitées (telles que des identifiants d'utilisateur, des adresses e-mail ou des adresses IP) lorsque cela est nécessaire pour la sécurité, le dépannage et la conformité. Les périodes de conservation sont limitées et alignées sur nos principes de minimisation des données (voir section 10).
Surveillance et alerte :
- Mesures et contrôles de santé sur l'infrastructure et les services clés.
- Alertes en cas de modèles d'erreurs inhabituels, de performances dégradées ou de comportements abusifs suspectés.
- Lorsque cela est possible, détection de modèles d'accès anormaux indiquant une possible compromission des informations d'identification.
6.7 Continuité des activités et reprise après sinistrePour préserver la disponibilité et la résilience :
- Nous maintenons des sauvegardes régulières des magasins de données critiques, stockés de manière redondante dans les régions UE.
- Nous testons périodiquement les procédures de restauration à partir des sauvegardes pour nous assurer qu'elles sont utilisables.
- Notre architecture est conçue pour tolérer les pannes d'instances ou de composants individuels grâce à l'utilisation de services gérés et d'une mise à l'échelle horizontale, le cas échéant.
Nous définissons des objectifs cibles internes pour l'objectif de point de récupération (RPO) et l'objectif de temps de récupération (RTO) qui conviennent à notre échelle actuelle. Les engagements SLA concrets, le cas échéant, sont spécifiés dans les contrats spécifiques au produit (MSA/ToS) plutôt que dans cet aperçu.
6.8 Sécurité de l'organisation et du personnel
La sécurité est également une préoccupation des personnes et des processus :
Tous les employés et sous-traitants à long terme ayant accès aux systèmes :
- signer des accords de confidentialité et de propriété intellectuelle ;
- recevoir une intégration couvrant la protection des données, l'utilisation acceptable et le signalement des incidents ; *sont soumis à des procédures d'embarquement qui suppriment l'accès au départ.
Les droits d'accès sont revus périodiquement, notamment lorsque les rôles changent.
Nous exigeons et encourageons l'utilisation d'appareils sécurisés et d'hygiène de base (par exemple, cryptage complet du disque, système d'exploitation à jour, correctifs de sécurité) pour le personnel ayant accès à des environnements sensibles, et pouvons appliquer des mesures techniques d'application le cas échéant.
6.9 Sécurité physique
Nous nous appuyons sur les contrôles de sécurité physique de nos fournisseurs de cloud et de centres de données (accès par badge, vidéosurveillance, gardiens, contrôles environnementaux, redondance). Nous n'exploitons pas nos propres centres de données physiques.
Nous ne présentons jamais aucun système comme parfaitement sécurisé. Quel que soit le soin avec lequel un système est conçu, des risques résiduels demeurent et de nouvelles classes de vulnérabilité peuvent apparaître. Notre objectif est de maintenir un risque proportionné et de réagir rapidement et de manière transparente lorsque des problèmes sont détectés.
Les clients restent responsables de la sécurisation de leurs propres appareils, réseaux et fournisseurs d'identité, ainsi que de la protection des secrets tels que les clés API et les mots de passe sous leur contrôle (voir Section 3.4).
7. Protection des données dès la conception et par défaut
Nous interprétons la « protection des données dès la conception et par défaut » (article 25 de RGPD) comme une combinaison de choix techniques, de paramètres par défaut du produit et de contrôles destinés au client.
7.1 Minimisation et limitation de la finalité des produits
Nous concevons les PageMind et Emplo pour collecter et traiter uniquement les données à caractère personnel nécessaires à leurs fonctions principales :
PageMind :
- traite principalement les documents produits et fournisseurs pour les flux de travail des catalogues ; les données à caractère personnel sont généralement accessoires (par exemple, les coordonnées dans les PDF) plutôt que centrales.
- Nous n'exigeons pas des équipes clients qu'elles téléchargent des dossiers RH, des listes de clients détaillées ou d'autres données à caractère personnel non liées.
Emplo :
- collecte des données sur les candidats (CV, préférences, historique des candidatures) directement pertinentes pour la recherche d'emploi et l'accompagnement des candidatures.
Nous décourageons activement :
- utilisation de nos services comme système de stockage de données de catégorie spéciale (par exemple, dossiers de santé détaillés ou opinions politiques), sauf justification explicite et légalement fondée ;
- inclusion de données à caractère personnel inutiles dans les champs de texte libre et les pièces jointes, en particulier lorsqu'elles sont agrégées ou partagées entre les systèmes.
7.2 Paramètres par défaut et configuration du produit
Dans la mesure du possible, nous choisissons des paramètres par défaut qui minimisent les risques :
Rétention :
- Les périodes de conservation par défaut pour les espaces de travail, les projets et les journaux sont limitées et documentées ; les clients peuvent demander une suppression anticipée, le cas échéant (voir la section 10).
Analyses et suivi :
- Par défaut, nous évitons le suivi invasif de nos produits et ne nous appuyons pas sur des réseaux de publicité comportementale tiers au sein de PageMind ou Emplo.
- Nos sites marketing peuvent utiliser des analyses standard ou des cookies, comme décrit dans nos politiques distinctes en matière de cookies et de confidentialité.
- Lorsque des fonctionnalités d'analyse supplémentaires sont introduites, elles sont soit regroupées, soit facultatives.
Fonctionnalités d'automatisation :
- Pour Emplo, les comportements plus automatisés (tels que toute fonctionnalité de style application automatique) sont opt-in, basés sur des règles et contrôlables par l'utilisateur (activé/désactivé, limites), et non des valeurs par défaut forcées.
- Pour PageMind, la publication des sorties catalogue reste sous le contrôle du client ; nos systèmes ne poussent pas directement les modifications vers les canaux de production sans configuration et intégration client.### 7.3 Pseudonymisation, agrégation et masquage
Lorsque cela est possible, nous :
- utiliser des identifiants pseudonymes (par exemple, identifiants internes, hachages) au lieu d'identifiants personnels directs dans les journaux et les analyses ;
- regrouper des mesures pour la surveillance et la recherche (par exemple, taux d'erreur, taux de remplissage, latence) pour éviter d'exposer des données individuelles détaillées lorsque cela n'est pas nécessaire ;
- fournir des options pour masquer ou omettre certains champs des journaux ou des exportations de diagnostics pour les contextes très sensibles.
7.4 DPIA et évaluations des risques
Nous effectuons des analyses de risques internes et, le cas échéant, des évaluations d'impact sur la protection des données (DPIA) ou des exercices équivalents pour les activités de traitement qui :
- impliquent des profils significatifs ou des analyses comportementales ;
- peut être traité comme à haut risque en vertu de la loi RGPD ou de la loi UE AI (par exemple, l'impact de Emplo sur les opportunités d'emploi ou le rôle de PageMind dans les catégories de produits critiques pour la sécurité).
Cependant :
- Pour les cas d'utilisation où vous êtes le responsable du traitement (par exemple, en utilisant PageMind pour alimenter vos canaux PIM et de commerce électronique), votre organisation reste responsable de la réalisation de toute DPIA requise pour votre système plus large, qui inclut vos propres outils, processus et décisions.
- Nous pouvons fournir de la documentation sur notre traitement pour prendre en charge votre DPIA (descriptions d'architecture, flux de données, mesures de sécurité, journaux et informations d'audit), généralement sous NDA et/ou dans le cadre d'un DPA.
7.5 Alignement avec la recherche interne
Nos thèmes de recherche internes (« Agentic Decision Systems », « AI for Business Operations », etc.) incluent des métriques et des méthodes pour :
- vérifier les résultats par rapport aux sources ;
- mesurer les taux d'erreur, les minutes de surveillance et la fréquence des incidents ;
- suivre la façon dont les tâches passent du niveau d'autonomie « assister » à « superviser » puis à « exécuter ».
Ces mêmes mécanismes contribuent à faire respecter la protection des données dès la conception, en :
- fournir des portes et des seuils explicites avant que l'automatisation ne soit activée ;
- facilitant l'explication et la justification du comportement du système aux auditeurs et aux régulateurs.
8. Modèles AI, utilisation des données et formation
Nos produits s'appuient sur plusieurs modèles AI et couches d'orchestration. Cette section explique comment nous utilisons le AI, quelles données sont envoyées à quels modèles et comment cela est lié à la confidentialité et à la conformité.
8.1 Utilisation de AI tiers et de fournisseurs de modèles
Nous sommes indépendants du modèle et utilisons un mélange de modèles propriétaires et open source, sélectionnés par tâche (OCR, extraction, traduction, génération, reclassement, etc.).
Points clés :
- Nous intégrons plusieurs fournisseurs externes AI (par exemple OpenAI, Anthropic, Mistral et autres), souvent dans le cadre de programmes de démarrage ou de partenariat.
- Pour les services de modèles basés sur API ou de niveau entreprise, soit nous nous appuyons sur les plans ou la documentation du fournisseur qui indiquent que les données client envoyées via ces services ne sont pas utilisées par défaut pour former ou améliorer leurs modèles de base, soit nous configurons les paramètres disponibles pour désactiver une telle formation lorsque cette option est proposée. Les politiques et fonctionnalités des fournisseurs peuvent évoluer au fil du temps, c'est pourquoi nous les révisons périodiquement et ajustons nos choix de configuration et de fournisseur si nécessaire. Lorsque cela est techniquement et commercialement réalisable, nous préférons les emplacements de traitement UE/EEE ou les offres de « limite de données UE » des fournisseurs, mais ces options peuvent ne pas être disponibles pour tous les modèles et cas d'utilisation.
Lorsque nous envoyons des données à des modèles externes, nous :
- limiter le contenu à ce qui est nécessaire pour l'appel spécifique (par exemple, le texte du produit concerné, pas des archives entières) ;
- éviter d'envoyer des champs sensibles ou à haut risque lorsqu'ils ne sont pas nécessaires ;
- appliquer une pseudonymisation supplémentaire dans certains contextes.
Les détails de chaque relation de sous-traitant ultérieur, y compris les fournisseurs AI, sont définis dans notre liste de sous-traitants ultérieurs et, le cas échéant, dans votre DPA.
8.2 Utilisation interne des données pour améliorer le service
Nous pouvons utiliser des sous-ensembles limités de données client et de sorties système pour améliorer nos services, sous des contrôles stricts :
Pour tous les produits : Des statistiques agrégées (par exemple, taux d'erreur, distributions de latence, taux de remplissage) alimentent nos protocoles d'évaluation (OVC-1, ADA-1, KCR-1) pour mesurer la qualité de l'orchestration et la fiabilité du système.
Nous pouvons inspecter des cas d'échec individuels (par exemple, des tables mal analysées, une extraction d'attributs incorrecte) pour le débogage, sous réserve de contrôles d'accès stricts et uniquement lorsque cela est nécessaire ; Dans la mesure du possible, nous utilisons des ensembles de données pseudonymisés ou minimisés plutôt que des données à caractère personnel brutes. *Pour PageMind :
Nous pouvons analyser les enregistrements anonymisés d'extraction et les indicateurs d'assurance qualité pour améliorer les règles d'analyse, les listes autorisées et l'application du glossaire.
Pour Emplo :
- Nous pouvons analyser, globalement, quels types de variantes de CV et de lettres générées fonctionnent le mieux (par exemple, sur la base des commentaires des utilisateurs), sans utiliser cela pour prendre des décisions indépendantes concernant les candidats.
Sauf autorisation explicite dans un accord séparé :
- Nous ne vendons pas de données clients.
- Nous n'utilisons pas le contenu client individuel comme données de formation génériques pour créer un produit distinct pour des tiers.
- Nous n'utilisons pas les données des clients à des fins de publicité tierce ou de profilage croisé.
Toute utilisation de formation plus large (par exemple, la formation d'un modèle personnalisé sur les propres données d'un client) sera soumise à l'accord explicite du client et, si nécessaire, à des conditions contractuelles supplémentaires.
8.3 Transparence AI et informations utilisateur
Nous visons à être transparents sur où et comment AI est utilisé :
PageMind :
- utilise AI pour extraire les attributs, traduire/localiser les textes de produits, générer des textes d'assistant de conformité et pour orchestrer les flux d'assurance qualité et de nouvelles tentatives.
- Les sorties sont accompagnées d'indicateurs et de traces de preuves afin que les examinateurs humains puissent comprendre ce que le système a fait.
Emplo :
- utilise AI pour analyser les CV, rechercher et pré-filtrer les offres d'emploi, et générer des CV et des lettres de motivation sur mesure.
- L'interface utilisateur est conçue pour indiquer clairement quand les textes sont générés par AI et pour permettre aux candidats de les réviser et de les modifier avant l'envoi des candidatures.
Pour des fonctionnalités plus automatisées (par exemple, la fonctionnalité de style application automatique prévue dans Emplo) :
nous fournirons des explications claires sur :
- ce qui est automatisé et ce qui reste sous le contrôle de l'utilisateur ;
- quels critères régissent les actions automatisées (par exemple, seuils salariaux, emplacements, scores de correspondance) ;
- Comment les utilisateurs peuvent consulter les journaux et désactiver l'automatisation à tout moment.
Nous ne prenons pas de décisions entièrement automatisées qui, par elles-mêmes, produisent des effets juridiques ou tout aussi importants sur les individus (comme les décisions d'embauche) ; ces décisions sont prises par des responsable du traitements humains (employeurs, recruteurs) utilisant leurs propres systèmes. Cette déclaration reflète nos conceptions de produits actuelles ; si cela change à l’avenir, nous mettrons à jour notre documentation et, si nécessaire, mettrons en œuvre des garanties et des mesures de transparence appropriées.
8.4 Limites et responsabilités autour des sorties AI
Le contenu et les recommandations générés par AI sont intrinsèquement probabilistes et peuvent contenir des erreurs ou des omissions. Pour gérer cela :
Nous concevons nos systèmes pour :
- minimiser les inventions factuelles (par exemple, la position « pas de preuve, pas de publication » de PageMind dans Verify.UE pour les champs critiques en matière de conformité) ;
- faciliter l'audit et la correction des résultats (listes d'assurance qualité, indicateurs, packs de preuves).
Toutefois, les clients et utilisateurs sont responsables de :
- valider les résultats avant de les utiliser dans des contextes de production (pages de catalogue, supports marketing, documents de conformité, candidatures à un emploi) ;
- s'assurer que les réalisations répondent aux normes légales et réglementaires applicables (règles d'information sur les produits, droit du travail, protection des consommateurs, etc.) ;
- ne pas compter sur les résultats du AI comme substitut aux conseils professionnels (juridiques, réglementaires, RH, médicaux, financiers).
Nos conditions d'utilisation et nos politiques spécifiques aux produits contiennent des clauses de non-responsabilité et des limitations de responsabilité plus détaillées en cas de confiance dans les sorties AI.
9. Conservation, suppression et sauvegardes des données
9.1 Principes de conservation par défaut
Nous appliquons des règles de conservation en fonction du type de données, et non d'une seule chronologie globale. En général :
Nous conservons les données uniquement le temps nécessaire pour :
- fournir les services que vous avez demandés,
- répondre à nos besoins légitimes en matière de sécurité et d'exploitation, et
- respecter les obligations légales (par exemple, règles comptables ou anti-fraude).
* Nous visons une rétention plus courte pour :* journaux détaillés et télémétrie de bas niveau,
artefacts internes temporaires (par exemple résultats d'analyse intermédiaires),
caches transitoires. * Nous autorisons une conservation plus longue pour :
Espace de travail principal et données de projet (PageMind),
comptes et historiques des candidats (Emplo),
documents commerciaux requis par la loi.
Les périodes de conservation concrètes peuvent évoluer et sont documentées dans les politiques spécifiques au produit et, le cas échéant, dans le DPA. Cette présentation décrit uniquement le modèle de haut niveau.
9.2 Rétention PageMind
Pour PageMind, on distingue généralement :
Données de l'espace de travail et du projet
Fichiers fournisseurs, représentations analysées, configuration et résultats générés (CSV de catalogue, descriptions, packs de preuves).
Conservé aussi longtemps que l'espace de travail ou le projet est actif, sous réserve de configuration client.
Lorsqu'un espace de travail ou un projet est supprimé, nous :
- supprimer les données primaires associées des systèmes actifs, et
- laissez les sauvegardes cryptées expirer selon leur calendrier habituel.
Exécuter des rapports et des artefacts d'audit
- Les métadonnées au niveau de l'exécution (ce qui a été traité, quand, par qui) et les signatures de configuration peuvent être conservées plus longtemps que les entrées brutes à des fins d'audit et de dépannage.
- Lorsque ces artefacts contiennent des données à caractère personnel, nous les minimisons et les pseudonymisons lorsque cela est possible.
Journaux opérationnels
- Les journaux de bas niveau (par exemple, les journaux d'application et d'infrastructure transitoires) sont conservés pendant des périodes plus courtes, généralement de quelques jours à quelques mois.
- Certains journaux de niveau supérieur (par exemple, les journaux de sécurité, les journaux d'erreurs critiques) peuvent être conservés plus longtemps lorsque cela est nécessaire pour une enquête sur un incident, une défense juridique ou une détection de fraude.
Les clients peuvent demander la suppression anticipée de projets ou d'espaces de travail spécifiques, sous réserve d'une vérification raisonnable et de toute obligation légale que nous avons de conserver les données (par exemple, lors d'un litige ou d'une enquête).
9.3 Rétention Emplo
Pour Emplo, la rétention est plus étroitement liée au compte et à l’activité du candidat :
Compte et profil du candidat
Stocké tant que le compte est actif.
Les utilisateurs peuvent demander la suppression du compte ; cela se traduit généralement par :
- désactivation du compte,
- suppression ou anonymisation des données de profil, des CV et des historiques de candidature des systèmes actifs, et
- Suppression éventuelle des sauvegardes une fois qu'elles ont expiré.
Identifiants de service connecté
- Les informations d'identification ou les jetons pour les sites d'emploi ou les services de messagerie sont conservés uniquement pendant que la connexion est active.
- Si un utilisateur révoque une connexion ou supprime son compte, nous supprimons les informations d'identification correspondantes de nos systèmes.
Télémétrie et journaux
- Les journaux d'interaction (par exemple, les suggestions acceptées, les événements d'utilisation de base) sont conservés pendant une durée limitée pour prendre en charge l'amélioration du produit et la détection des abus.
- Passé ce délai, les logs pourront être agrégés ou anonymisés.
Lorsque Emplo est utilisé dans des contextes soumis à des exigences de rétention à long terme (par exemple, si un employeur l'utilise dans le cadre d'un processus de recrutement), ces exigences sont imposées et gérées par l'employeur en tant que responsable du traitement, et non par inAi.
9.4 Demandes de suppression et sauvegardes
Lorsque nous supprimons des données des systèmes actifs (en raison de la suppression d'un compte, d'un espace de travail ou d'une demande valide de la personne concernée) :
- les données sont supprimées ou anonymisées de manière irréversible dans nos bases de données de production et de stockage ;
- certains restes peuvent persister dans des sauvegardes cryptées pendant une fenêtre de conservation limitée (par exemple, jusqu'à environ 30 jours), après quoi ils sont écrasés au cours de cycles de sauvegarde réguliers ;
- nous ne restaurons pas activement les sauvegardes uniquement pour supprimer des enregistrements individuels, sauf lorsque la loi l'exige (par exemple, en vertu d'une ordonnance d'un régulateur).
Lorsque des données ont été exportées ou partagées par vous (par exemple, fichiers de catalogue téléchargés, CV exportés, intégrations dans vos systèmes), la suppression de notre part n'affecte pas ces copies externes ; la gestion de ces copies relève de votre responsabilité en tant que responsable du traitement.
9.5 Conservations légales et exceptions
Nous pouvons conserver certaines données au-delà de la conservation normale lorsque :
- requis par la loi (par exemple, registres fiscaux ou comptables) ;
- raisonnablement nécessaire pour établir, exercer ou défendre des réclamations légales ; ou
- nécessaire pour enquêter sur des incidents de sécurité, des abus ou des fraudes.
Dans ces cas, l’accès est restreint et les données sont utilisées uniquement aux fins juridiques ou de sécurité pertinentes.
10. Droits et assistance des personnes concernées### 10.1 Droits sous RGPD
Pour le traitement des données à caractère personnel soumises à RGPD, les personnes concernées disposent des droits suivants (sous réserve de conditions et exceptions) :
- Droit d'accès : pour savoir si leurs données font l'objet d'un traitement et en obtenir une copie.
- Droit de rectification : pour corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : supprimer des données dans certaines circonstances.
- Droit à la limitation du traitement : pour limiter le traitement dans des cas spécifiques.
- Droit à la portabilité des données : recevoir certaines données dans un format structuré et couramment utilisé et les transmettre à un autre responsable du traitement.
- Droit d'opposition : s'opposer au traitement basé sur des intérêts légitimes ou du marketing direct.
- Droits liés à la prise de décision automatisée, y compris le profilage, lorsque les décisions ont des effets juridiques ou d'importance similaire.
Nous respectons ces droits dans le cadre de notre rôle et de nos obligations légales. Pour les personnes dont les données sont traitées en dehors du champ d'application de RGPD, des droits similaires ou différents peuvent être disponibles en vertu de la législation locale ; nous traitons ces demandes conformément à la législation applicable et à notre politique de confidentialité.
10.2 Où inAi est le responsable du traitement (par exemple Emplo, site Web)
Lorsque nous agissons en tant que responsable du traitement (par exemple, pour les comptes candidats Emplo ou les visiteurs du site Web) :
Les personnes concernées peuvent exercer leurs droits en nous contactant via le contact de confidentialité répertorié dans la section 15 ou, le cas échéant, via des contrôles intégrés au produit (par exemple, suppression de compte, modification de profil). *Nous :
- authentifier le demandeur en utilisant des mesures raisonnables (par exemple, vérifier le contrôle de l'adresse e-mail enregistrée) ;
- évaluer la demande conformément à RGPD et aux autres lois applicables ;
- répondre dans les délais légaux applicables (généralement un mois, prorogeable dans les cas complexes) ;
- expliquer quand nous devons conserver certaines données (par exemple, les journaux requis pour des raisons de sécurité ou des obligations légales) même après une demande d'effacement.
10.3 Où inAi est le sous-traitant (par exemple PageMind pour les détaillants)
Lorsque nous agissons en tant que sous-traitant (par exemple, en traitant les données du catalogue d'un détaillant via PageMind) :
Les personnes concernées doivent adresser leurs demandes principalement au responsable (le détaillant, la marque ou la place de marché propriétaire du catalogue).
Nous ne répondons généralement pas directement aux demandes d'accès ou d'effacement des personnes concernées concernant des données pour lesquelles nous sommes purement un sous-traitant, sauf instruction ou autorisation expresse du responsable du traitement ou requis par la loi.
Dès réception d'une demande valide d'un responsable du traitement, nous :
- les aider à récupérer, corriger ou supprimer les données pertinentes de nos systèmes, conformément au DPA ;
- mettre en œuvre des mesures techniques (par exemple, des outils de recherche, des routines de suppression ciblées) pour rendre cela pratique.
10.4 Limites, sécurité et identification
Pour protéger tous les utilisateurs :
Nous pouvons refuser ou restreindre une demande dans les cas suivants :
- nous ne pouvons pas vérifier adéquatement l’identité du demandeur ;
- la demande est manifestement infondée ou excessive (par exemple répétée très fréquemment sans justification supplémentaire) ;
- les données doivent être conservées en vertu d'obligations légales impératives.
Nous pouvons également supprimer des informations susceptibles de révéler des secrets commerciaux, des informations confidentielles sur d'autres utilisateurs ou clients, ou des détails sensibles en matière de sécurité.
Dans tous les cas, nous visons à être transparents sur ce que nous pouvons et ne pouvons pas faire, et pourquoi.
11. Incidents de sécurité et violations de données à caractère personnel
11.1 Réponse aux incidents internes
Nous maintenons un processus interne de réponse aux incidents qui définit :
- ce qui constitue un incident de sécurité ou une violation de données à caractère personnel ;
- comment les incidents sont identifiés, triés et hiérarchisés ;
- rôles et responsabilités (par exemple, responsable technique, responsable des communications, escalade de gestion) ;
- étapes de confinement, d'éradication, de rétablissement et d'examen post-incident.
Les étapes typiques comprennent :
Détection et reporting Les incidents peuvent être détectés via des alertes automatisées, une surveillance interne ou des rapports externes (par exemple provenant de clients ou de chercheurs en sécurité). Tout le personnel reçoit des instructions sur la façon de faire remonter rapidement les incidents suspects.
Triage et confinement Nous évaluons rapidement la gravité et la portée, puis isolons les systèmes ou les informations d'identification concernés si nécessaire pour contenir le problème.3. Enquête et mesures correctives Nous collectons des journaux et des preuves, identifions les causes profondes et mettons en œuvre des correctifs (correctifs, modifications de configuration, révocations d'accès, surveillance supplémentaire, etc.).
Récupération Nous restaurons les opérations normales, y compris à partir de sauvegardes le cas échéant, et surveillons la récurrence.
Examen post-incident Nous documentons l'incident, l'impact, les causes profondes et les actions correctives. Si nécessaire, nous ajustons les processus ou les défenses techniques.
11.2 Notifications de violation de données à caractère personnel
Si nous prenons connaissance d'une violation de données à caractère personnel affectant les données client :
Nous informerons les responsable du traitements clients concernés dans les plus brefs délais après avoir pris connaissance de la violation, en utilisant les coordonnées que nous avons enregistrées. Les notifications sont envoyées aux coordonnées et aux canaux spécifiés dans votre compte ou dans la documentation contractuelle ; vous êtes responsable de maintenir ces informations exactes et à jour.
Notre notification visera à inclure :
- une description de la nature de la violation (catégories et nombre approximatif de personnes concernées et d'enregistrements concernés, lorsqu'ils sont connus) ;
- conséquences probables de la violation ;
- les mesures que nous avons prises ou proposons de prendre pour remédier à la violation et atténuer ses éventuels effets négatifs ;
- informations nécessaires pour aider les responsables du traitement à remplir leurs propres obligations de notification envers les autorités de contrôle et les personnes concernées, le cas échéant.
Nous pouvons fournir des notifications initiales contenant des informations limitées (si l’enquête en est encore à ses débuts) et assurer un suivi au fur et à mesure que nous en apprenons davantage.
Lorsque nous agissons en tant que responsable du traitement (par exemple, pour les utilisateurs de Emplo ou les visiteurs du site Web), nous traitons les notifications de violation directement conformément à RGPD et à la législation nationale, y compris toute obligation d'informer les autorités de contrôle et les personnes concernées.
11.3 Responsabilités du client en cas d'incident
Les clients restent responsables de :
- nous informer rapidement s'ils soupçonnent une compromission des informations d'identification ou une utilisation abusive des comptes au sein de nos services ;
- enquêter et traiter les incidents dans leurs propres systèmes (appareils, réseaux, fournisseurs d'identité, outils intégrés) ;
- effectuer leurs propres notifications réglementaires dont ils sont le responsable du traitement et nos services ne sont qu'une partie de leur système plus large.
Nos DPA et nos conditions de produits peuvent contenir plus de détails sur la coopération, les journaux que nous pouvons fournir et les limitations de responsabilité en cas d'incidents.
11.4 Demandes du gouvernement et des forces de l'ordre
De temps en temps, nous pouvons recevoir des demandes contraignantes de la part de tribunaux, d'organismes chargés de l'application de la loi ou d'autres autorités publiques souhaitant accéder aux données. Nous examinons ces demandes pour évaluer leur fondement juridique et leur portée. Lorsque la loi et le contrat le permettent, nous :
- chercher à limiter toute divulgation à ce qui est strictement nécessaire pour répondre à la demande ; et
- informer le client ou l'utilisateur concerné avant de fournir des données, ou dès que nous sommes légalement autorisés à le faire.
Rien dans cet aperçu ne nous oblige à divulguer des données dans des circonstances où la loi nous interdit de le faire ou lorsque nous contestons avec succès une demande trop large ou invalide.
12. Transferts de données internationaux
12.1 Posture par défaut réservée au UE
Comme décrit ci-dessus, notre posture par défaut et préférée, ainsi que notre objectif de conception, sont les suivants :
* tous les traitements primaires et le stockage des données client au repos (y compris les intégrations et les sauvegardes) ont lieu dans des centres de données situés dans l'Union européenne ;
- Nous donnons la priorité aux fournisseurs et aux régions basés sur UE ou EEE pour notre infrastructure de base et nos journaux.
Cette approche réduit le nombre de scénarios dans lesquels des transferts internationaux de données surviennent.
12.2 Quand les transferts peuvent avoir lieu
Malgré notre conception centrée sur l’UE, certains transferts de données à caractère personnel en dehors de l’EEE peuvent survenir ou devenir nécessaires, par exemple :
- lorsqu'un sous-traitant fournissant un service spécialisé (par exemple, livraison d'e-mails, détection d'abus, inférence de modèle) opère à partir ou achemine des données via des emplacements non-EEE ;
- lorsque le support implique du personnel ou des sous-traitants situés en dehors de l’EEE accédant à des systèmes ou à des données (toujours sous des contrôles d'accès stricts et des obligations de confidentialité) ;
- où vous ou vos utilisateurs accédez aux services depuis l'extérieur de l’EEE (auquel cas certaines données d'utilisation sont intrinsèquement transférées vers et depuis leurs appareils).Nous visons à maintenir ces transferts limités et proportionnés. Pour de nombreux clients, en particulier ceux basés sur l’UE, il est possible de fonctionner avec peu ou pas de transfert non-EEE pour les données de base.
12.3 Garanties pour les transferts internationaux
Lorsque des données à caractère personnel sont transférées en dehors de l’EEE, nous utilisons des outils de transfert reconnus tels que des décisions d'adéquation ou des clauses contractuelles types (SCCs) (ou leurs successeurs), complétés par des mesures techniques et organisationnelles supplémentaires le cas échéant (par exemple, le cryptage, la minimisation et les limitations d'accès) et par des restrictions contractuelles sur les transferts ultérieurs et les finalités de traitement. Nous visons à limiter ces transferts à ce qui est nécessaire pour fournir et soutenir les services.
12.4 Choix du client
Les entreprises clientes ayant des exigences strictes en matière de localisation ou de souveraineté des données doivent :
- nous informer de ces exigences dès le début de la mission ;
- examiner la liste des sous-traitants et négocier toute restriction ou configuration supplémentaire requise (par exemple, utilisation uniquement des fournisseurs AI de la région UE, ou exclusion de fournisseurs spécifiques).
Nous travaillerons de bonne foi pour répondre à des exigences raisonnables, sous réserve de la faisabilité technique et des conditions commerciales.
13. Feuille de route de conformité et certifications
13.1 Alignement actuel et non-certification
Actuellement :
- nous alignons nos pratiques internes de sécurité et de confidentialité sur les exigences clés de RGPD, la loi émergente UE AI et les normes de sécurité largement reconnues telles que ISO/IEC 27001:2022 ;
- nous exploitons les contrôles de sécurité offerts par les principaux fournisseurs de cloud et services de plateforme (par exemple, cryptage, contrôle d'accès, surveillance, services gérés renforcés) ;
- nous mettons en œuvre des processus internes (politiques, évaluations des risques, réponse aux incidents, analyses de type DPIA) qui reflètent ces cadres.
Nous ne prétendons pas actuellement :
*Certification ISO 27001,
- Attestation SOC 2,
- ou toute certification indépendante similaire.
De telles réclamations seront clairement communiquées et étayées par des certificats ou des rapports formels lorsqu'ils seront obtenus.
13.2 Intentions de la feuille de route
À mesure que nous grandissons et que nos systèmes sont de plus en plus utilisés, nous avons l'intention de :
formaliser et élargir progressivement notre SMSI (rôles, documentation, audits internes) pour rendre réalisable la certification externe ;
évaluer et, le cas échéant, poursuivre :
- Certification ISO/IEC 27001:2022 pour la gestion de la sécurité de l'information ;
- attestations ou rapports pertinents (par exemple SOC 2 Type I/II) si justifiés commercialement ;
suivre les évolutions dans :
- Loi UE AI, législation secondaire et orientations,
- Implémentation de NIS2 en France et dans les secteurs concernés,
- tout nouveau code de bonne pratique AI ou norme industrielle pour les systèmes basés sur LLM.
Ces intentions de la feuille de route ne constituent pas des engagements ou des garanties contraignantes. Ils représentent notre orientation de planification interne et peuvent évoluer à mesure que les lois, les normes et les priorités commerciales évoluent.
13.3 Audits et questionnaires clients
Pour les entreprises clientes, nous pouvons :
remplir des questionnaires de sécurité et des formulaires de diligence raisonnable en vertu de la NDA ;
fournir des résumés d'architecture, des diagrammes de flux de données et des descriptions de contrôles pertinents pour leur cas d'utilisation ;
participer à des exercices d'audit raisonnables tels que définis dans le DPA ou le MSA, sous réserve de :
*préavis,
- limites de portée,
- obligations de confidentialité, et
- proportionnalité (pour éviter d'exposer d'autres clients ou nos propres secrets commerciaux).
14. Avis de non-responsabilité et limitations de responsabilité spécifiques au produit
14.1 PageMind
PageMind est un outil d'automatisation et de vérification du contenu du catalogue, et non un conseiller juridique ou de conformité.
En particulier :
PageMind :
- aide à ingérer et à structurer les documents sur les fournisseurs et les produits ;
- génère des textes et des attributs de catalogue ;
- met en évidence les incohérences, les champs manquants et les éventuels problèmes de conformité ;
- peut appliquer des règles commerciales internes telles que « aucune preuve, aucune publication » pour certains champs du module Verify.UE.
PageMind ne pas :
- garantir le respect de toutes les lois applicables (par exemple les règles d'information des consommateurs, les directives d'étiquetage, les réglementations environnementales ou de sécurité) ;
- remplacer l'examen humain obligatoire ou les processus qualité internes ;
- assumer la responsabilité de la suffisance juridique, de l'exactitude ou de l'exhaustivité des informations sur vos produits.
Vous restez responsable de :* s'assurer que :
- les produits sont correctement décrits et étiquetés,
- les informations obligatoires sont présentes et exactes,
- les réclamations (techniques, environnementales, marketing) sont conformes à la loi applicable ;
- valider toutes les sorties PageMind (attributs, textes, packs de preuves) avant de les publier sur votre PIM, vos plateformes de commerce électronique ou d'autres canaux.
Lorsque les régulateurs, les marchés ou d'autres tiers contestent les informations sur les produits, cela relève généralement d'eux et de vous en tant que responsable du traitement et éditeur de ces informations. Notre rôle est de fournir des outils qui prennent en charge vos flux de travail et réduisent les erreurs, et non de garantir la conformité légale.
14.2 Emplo
Emplo est un assistant AI pour les demandeurs d'emploi, et non :
- un employeur,
- une agence de recrutement plaçant des candidats auprès d'employeurs spécifiques, ou
- un fournisseur de conseils juridiques ou en matière d'immigration.
En particulier :
Emplo :
- aide les candidats à analyser leur CV et leur profil ;
- suggère et priorise les opportunités d'emploi sur des plateformes tierces ;
- rédige ou peaufine les dossiers de candidature (variantes de CV, lettres de motivation) ;
- pourrait, à l'avenir, automatiser certaines parties du processus de candidature sous le contrôle explicite de l'utilisateur.
Emplo ne pas :
- garantir tout résultat particulier en matière d'emploi (entretiens, offres, niveaux de salaire) ;
- prendre des décisions d'embauche ;
- représenter les candidats auprès des employeurs à titre d'agence;
- fournir des conseils juridiques contraignants sur les droits du travail, les visas ou le statut de travail.
Les candidats restent responsables de :
- la véracité, l'exactitude et la légalité des informations qu'ils fournissent (CV, revendications de compétences et d'expérience, documents) ;
- s'assurer que les actions automatisées (si activées) correspondent aux conditions du site d'emploi et ne constituent pas du spam ou un comportement abusif ;
- rechercher des conseils professionnels qualifiés si nécessaire (par exemple sur les visas, le droit du travail, les questions de discrimination).
Emplo est destiné aux utilisateurs adultes capables de conclure des contrats de travail dans leur juridiction. Il ne s'adresse pas aux enfants de moins de 16 ans (ou à tout âge minimum supérieur défini dans la loi locale applicable), et nous n'offrons pas sciemment ce service à ces personnes.
Les modèles de tarification et les structures tarifaires pour Emplo peuvent varier selon les juridictions afin de se conformer aux règles locales sur les services d'emploi et les frais facturés aux demandeurs d'emploi. Les conditions applicables et toutes les restrictions spécifiques à la juridiction sont décrites dans les conditions de service de Emplo.
14.3 Limites générales et clauses de non-responsabilité
Sur tous les produits :
- Aucun système ne peut être garanti sans erreur ou invulnérable aux attaques.
- Les résultats générés par AI, même avec de solides garanties, peuvent être incomplets, obsolètes, trompeurs ou tout simplement inadaptés à un contexte particulier.
- Nous fournissons des outils et une infrastructure ; la manière dont vous les utilisez, ainsi que la manière dont vous interprétez et agissez sur les résultats, est en grande partie sous votre contrôle.
Nos Conditions de service, DPA et tout MSA contiennent les dispositions contraignantes et détaillées sur :
- garanties et clauses de non-responsabilité,
- plafonds et exclusions de responsabilité,
- les indemnités,
- recours spécifiques (par exemple crédits de service),
- loi applicable et juridiction.
Ces documents prévalent sur toute description simplifiée ou générale contenue dans cet aperçu.
15. Contacts, rapports de vulnérabilités et mises à jour de documents
15.1 Contact de sécurité et divulgation des vulnérabilités
Si vous pensez avoir découvert une faille de sécurité ou un incident affectant nos systèmes ou vos données :
- veuillez contacter notre équipe de sécurité à l'adresse indiquée sur notre site Internet (par exemple security@[domain]),
- inclure autant de détails que raisonnablement nécessaire pour que nous puissions enquêter (composants concernés, étapes de reproduction, toute preuve),
- éviter toute divulgation publique jusqu'à ce que nous ayons eu une opportunité raisonnable d'enquêter et de résoudre le problème.
Nous visons à :
- accuser réception dans les plus brefs délais,
- gravité du triage,
- vous tenir informé de manière générale (sous réserve de considérations de confidentialité et de sécurité),
- créditez les journalistes responsables de manière appropriée si nous publions ultérieurement un avis de sécurité ou un journal des modifications.
15.2 Contact pour la confidentialité et la protection des données
Pour toute question concernant cet aperçu, la protection des données ou pour les demandes des personnes concernées pour lesquelles nous agissons en tant que responsable du traitement, vous pouvez contacter notre contact de confidentialité/protection des données à l'adresse indiquée dans notre politique de confidentialité (par exemple, Privacy@[domaine] ou dpo@[domaine]).Pour les questions de responsable de traitement/sous-traitant (DPA, sous-traitants, flux de données) dans un contexte B2B :
- votre point de contact principal est généralement votre contact commercial ou chargé de la réussite client, qui peut impliquer la sécurité/juridique si nécessaire ;
- pour les mises en demeure, merci de suivre les procédures et adresses dans le MSA/ToS.
15.3 Signalement des abus et des utilisations inappropriées
Si vous rencontrez ou soupçonnez :
- abus ou mauvaise utilisation de nos produits (par exemple, comptes Emplo utilisés à des fins de spam ou de fraude),
- contenu qui enfreint notre politique d'utilisation acceptable,
- tente de compromettre d'autres utilisateurs via nos services,
vous pouvez le signaler à un contact en cas d'abus (par exemple abuse@[domain] ou via un formulaire dédié). Nous évaluerons et, si nécessaire, prendrons des mesures telles que la suspension du compte, le blocage de l'adresse IP ou la notification des parties concernées.
15.4 Mises à jour de cet aperçu
Nous pouvons mettre à jour cet aperçu de la sécurité et de la protection des données pour :
- refléter les changements dans nos produits ou notre infrastructure ;
- intégrer de nouvelles exigences légales ou réglementaires ;
- clarifier ou élargir les explications des contrôles existants.
Chaque version comprendra :
- une date « dernière mise à jour » en haut ; et
- un bref résumé des modifications dans une section du journal des modifications ou au bas de la page, mettant en évidence les modifications matériellement significatives (par exemple, de nouvelles catégories de données traitées, des changements importants dans les emplacements d'hébergement ou des modifications apportées aux principales dispositions des sous-traitants secondaires).
Lorsque des changements sont susceptibles d’affecter sensiblement les évaluations des risques des clients existants, nous déploierons des efforts raisonnables pour attirer l’attention sur eux (par exemple via des notifications intégrées au produit ou par courrier électronique), en plus de mettre à jour la page elle-même.
