Politique de confidentialité
Dernière mise à jour : mai 2026
1. Responsable de traitement
ABK Distribution (nom commercial : ABK Digital)
47 avenue des Pays-Bas, 35200 Rennes, France
SIREN : 888 798 568
Contact RGPD : contact@abk-digital.com
2. Données collectées
Dans le cadre de l'utilisation de Léa, nous collectons :
- Données d'inscription : nom, prénom, adresse email, mot de passe (hashé), nom d'entreprise, SIREN (optionnel)
- Données d'utilisation : conversations avec Léa, documents indexés, faits mémorisés, actions exécutées
- Données de connexion : adresse IP, user-agent, horodatage des connexions
- Données connecteurs : tokens OAuth chiffrés (AES-256-GCM), données synchronisées depuis vos outils (emails, documents, contacts, calendrier)
- Données de facturation : gérées par Stripe (nous ne stockons pas vos coordonnées bancaires)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fournir le service Léa (conversations, RAG, mémoire) | Exécution du contrat |
| Gérer votre compte et votre abonnement | Exécution du contrat |
| Envoyer les briefs matinaux (Léa Pulse) | Exécution du contrat |
| Améliorer le service (analytics agrégés) | Intérêt légitime |
| Obligations comptables et fiscales | Obligation légale |
| Sécurité et prévention des abus | Intérêt légitime |
4. Hébergement et souveraineté
Toutes vos données sont hébergées en France, sur des serveurs OVH situés à Gravelines (Nord).
Anonymisation avant appels IA : les données sensibles (noms, montants, IBAN, numéros de téléphone) sont anonymisées par des tokens ([COMPANY_1], [AMOUNT_1], etc.) avant d'être envoyées aux modèles d'intelligence artificielle. Le mapping est conservé en mémoire uniquement le temps de la requête, puis détruit. Les modèles IA ne voient jamais vos données identifiantes.
5. Destinataires
- Anthropic (API Claude) : reçoit les requêtes anonymisées pour générer les réponses de Léa. Données non utilisées pour l'entraînement.
- Voyage AI : reçoit les textes pour le calcul d'embeddings vectoriels (recherche sémantique).
- Stripe : gère la facturation et les paiements. Stripe est certifié PCI-DSS.
- OVH : hébergeur des serveurs et du stockage objet.
Nous ne vendons, ne louons et ne partageons jamais vos données avec des tiers à des fins commerciales.
6. Transferts hors UE
Les appels aux API Anthropic et Voyage AI transitent par des serveurs situés aux États-Unis. Ces transferts sont encadrés par :
- L'anonymisation préalable des données (aucune donnée personnelle identifiable n'est transmise)
- Le Data Privacy Framework (DPF) UE-US pour les prestataires certifiés
- Les Clauses Contractuelles Types (CCT) de la Commission européenne
7. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur | Durée de l'abonnement + 30 jours |
| Conversations | Durée de l'abonnement (soft-delete 30 jours) |
| Documents indexés | Durée de l'abonnement |
| Faits mémorisés | Durée de l'abonnement |
| Logs d'audit | 3 ans (obligation légale) |
| Données de facturation | 10 ans (obligation comptable) |
| Logs de connexion | 1 an |
8. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger vos données inexactes
- Droit à l'effacement : supprimer vos données (« droit à l'oubli »)
- Droit à la portabilité : recevoir vos données dans un format structuré (export ZIP)
- Droit d'opposition : vous opposer au traitement de vos données
- Droit à la limitation : geler le traitement de vos données
Pour exercer ces droits, contactez-nous à : contact@abk-digital.com. Nous répondons sous 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr
9. Sécurité
- Chiffrement TLS en transit (HTTPS)
- Chiffrement AES-256-GCM pour les tokens OAuth et données sensibles au repos
- Mots de passe hashés avec bcrypt (salt 12)
- Authentification JWT avec tokens de courte durée (15 min) et refresh tokens (7 jours)
- Isolation multi-tenant stricte (filtrage par tenant_id sur chaque requête)
- Audit trail complet de toutes les actions
10. Cookies
Léa utilise uniquement des cookies strictement nécessaires :
- Authentification : tokens JWT stockés en localStorage (pas de cookies tiers)
- Préférences UI : état de la sidebar (localStorage)
Aucun cookie publicitaire, analytique ou de tracking n'est déposé.