Politique de confidentialite
Sommaire
- 1. Responsable de traitement
- 2. Delegue a la protection des donnees
- 3. Donnees collectees
- 4. Finalites et bases legales
- 5. Decisions automatisees et profilage
- 6. Durees de conservation
- 7. Sous-traitants et transferts
- 8. Vos droits
- 9. Securite des donnees
- 10. Transparence IA (EU AI Act)
- 11. Cookies et traceurs
- 12. Donnees des mineurs
- 13. Modifications de cette politique
La presente politique de confidentialite a pour objectif de vous informer de maniere claire, complete et transparente sur la facon dont Softcallia SAS collecte, utilise, stocke et protege vos donnees personnelles lorsque vous utilisez notre site web www.softcallia.com (le « Site ») et notre application app.softcallia.com (l'« Application »), ensemble le « Service ».
Cette politique est etablie conformement au Reglement (UE) 2016/679 du 27 avril 2016 (RGPD), a la loi n° 78-17 du 6 janvier 1978 modifiee (Informatique et Libertes), a la loi n° 2004-575 du 21 juin 2004 (LCEN) et au Reglement (UE) 2024/1689 (EU AI Act).
1. Identite et coordonnees du responsable de traitement
Le responsable de traitement est l'entite qui determine les finalites et les moyens du traitement de vos donnees personnelles :
| Raison sociale | Softcallia SAS |
| Siege social | 12 rue de la Technologie, 75011 Paris, France |
| SIRET | 123 456 789 00012 |
| Representant legal | [Prenom Nom], President |
| Email de contact | contact@softcallia.com |
| Telephone | +33 1 23 45 67 89 |
2. Delegue a la protection des donnees (DPO)
Softcallia SAS compte moins de 250 salaries et ne realise pas de traitements a grande echelle de categories particulieres de donnees au sens de l'article 37 du RGPD. La designation d'un DPO n'est donc pas obligatoire. Neanmoins, nous avons designe un referent interne a la protection des donnees personnelles.
Pour toute question relative a la protection de vos donnees personnelles :
- Email : dpo@softcallia.com
- Adresse postale : Softcallia SAS — Referent donnees personnelles — 12 rue de la Technologie, 75011 Paris
3. Donnees personnelles collectees
Nous collectons uniquement les donnees adequates, pertinentes et limitees a ce qui est necessaire au regard des finalites pour lesquelles elles sont traitees (principe de minimisation, article 5.1.c du RGPD). Voici le detail par categorie :
3.1. Donnees d'identification et de compte
| Donnee | Finalite | Base legale |
|---|---|---|
| Nom, prenom | Creation et gestion du compte utilisateur | Execution du contrat (art. 6.1.b RGPD) |
| Adresse email | Authentification, communications, notifications | Execution du contrat (art. 6.1.b RGPD) |
| Numero de telephone | Configuration du renvoi d'appel, alertes urgentes par SMS | Execution du contrat (art. 6.1.b RGPD) |
| Nom de l'entreprise, SIRET, adresse professionnelle | Facturation, personnalisation de l'agent IA, conformite fiscale | Execution du contrat (art. 6.1.b) + obligation legale (art. 6.1.c RGPD) |
| Mot de passe (hashe bcrypt avec salage individuel) | Authentification securisee | Execution du contrat (art. 6.1.b RGPD) |
| Role (administrateur, agent, lecteur) | Gestion des droits d'acces au sein de l'equipe | Execution du contrat (art. 6.1.b RGPD) |
3.2. Donnees d'appels telephoniques
| Donnee | Finalite | Base legale |
|---|---|---|
| Numero de l'appelant | Identification du client, rappel, historique des appels | Interet legitime (art. 6.1.f RGPD) — suivi de la relation client |
| Enregistrement audio de l'appel | Transcription par IA, controle qualite du service | Interet legitime (art. 6.1.f RGPD) — l'appelant est informe en debut d'appel conformement a l'art. L.34-1 du CPCE |
| Transcription textuelle de l'appel | Consultation, recherche, resume IA, detection d'urgence | Execution du contrat (art. 6.1.b RGPD) |
| Resume genere par IA | Faciliter la prise de decision rapide par l'utilisateur | Execution du contrat (art. 6.1.b RGPD) |
| Duree de l'appel | Statistiques d'utilisation, suivi de consommation | Execution du contrat (art. 6.1.b RGPD) |
| Niveau d'urgence (classifie par IA) | Tri automatique des appels, declenchement d'alertes prioritaires | Execution du contrat (art. 6.1.b RGPD) |
| Statut de l'appel (nouveau, en cours, traite, archive) | Gestion du flux de travail | Execution du contrat (art. 6.1.b RGPD) |
| Type de probleme detecte par l'IA | Categorisation, statistiques | Execution du contrat (art. 6.1.b RGPD) |
3.3. Donnees de rendez-vous
| Donnee | Finalite | Base legale |
|---|---|---|
| Nom et coordonnees du client | Prise de rendez-vous automatique | Execution du contrat (art. 6.1.b RGPD) |
| Date, heure, motif du rendez-vous | Gestion de l'agenda | Execution du contrat (art. 6.1.b RGPD) |
3.4. Donnees de paiement
| Donnee | Finalite | Base legale |
|---|---|---|
| Identifiant client Stripe | Gestion des abonnements et factures | Execution du contrat (art. 6.1.b RGPD) |
| Identifiant abonnement Stripe | Suivi de l'etat de l'abonnement | Execution du contrat (art. 6.1.b RGPD) |
| Historique des factures et paiements | Comptabilite, obligations fiscales | Obligation legale (art. 6.1.c RGPD) — art. L.123-22 du Code de commerce |
Important : Softcallia ne collecte et ne stocke jamais vos donnees bancaires (numero de carte, date d'expiration, cryptogramme). Tous les paiements sont traites directement par Stripe Inc., certifie PCI DSS Niveau 1. Seuls des identifiants techniques Stripe (sans donnee bancaire) sont conserves dans notre systeme.
3.5. Donnees de navigation et donnees techniques
| Donnee | Finalite | Base legale |
|---|---|---|
| Adresse IP | Securite, prevention des abus, rate limiting, journalisation technique | Obligation legale (art. 6.1.c RGPD — art. 6-II LCEN) + interet legitime (art. 6.1.f RGPD) |
| User-agent (type de navigateur, OS) | Compatibilite technique, resolution de bugs | Interet legitime (art. 6.1.f RGPD) |
| Pages visitees, dates et heures de visite | Analyse d'audience du site vitrine (uniquement si cookie consenti) | Consentement (art. 6.1.a RGPD) |
| Logs d'erreurs applicatives | Detection et correction des dysfonctionnements (via Sentry) | Interet legitime (art. 6.1.f RGPD) |
| Cookies et traceurs | Voir notre Politique de cookies | Consentement ou exemption (selon categorie) |
3.6. Donnees collectees aupres des appelants (tiers)
Lorsqu'un tiers (client de l'Utilisateur) appelle le numero configure dans le Service, certaines donnees le concernant sont collectees : numero de telephone, contenu vocal de l'appel, transcription et resume. L'appelant est informe en debut d'appel que la conversation est enregistree et traitee par un assistant automatise. L'Utilisateur, en tant que responsable de traitement pour les donnees de ses propres clients, s'engage a respecter ses obligations d'information en vertu des articles 13 et 14 du RGPD.
4. Finalites et bases legales des traitements
Vos donnees sont traitees pour les finalites suivantes :
| Finalite | Base legale (art. 6 RGPD) | Interet legitime poursuivi (le cas echeant) |
|---|---|---|
| Fourniture et fonctionnement du service Softcallia | Execution du contrat (art. 6.1.b) | — |
| Gestion de votre compte utilisateur | Execution du contrat (art. 6.1.b) | — |
| Traitement, transcription et resume des appels telephoniques par IA | Execution du contrat (art. 6.1.b) | — |
| Enregistrement audio des appels | Interet legitime (art. 6.1.f) | Garantir la qualite du service de transcription ; l'appelant est informe |
| Detection automatique des urgences par IA | Execution du contrat (art. 6.1.b) + interet legitime (art. 6.1.f) | Permettre une reaction rapide en cas de situation urgente |
| Gestion des rendez-vous automatiques | Execution du contrat (art. 6.1.b) | — |
| Facturation, gestion des abonnements | Execution du contrat (art. 6.1.b) + obligation legale (art. 6.1.c) | — |
| Envoi de notifications transactionnelles (alertes, rappels) | Execution du contrat (art. 6.1.b) | — |
| Envoi de communications commerciales | Consentement (art. 6.1.a) | — |
| Support client | Execution du contrat (art. 6.1.b) | — |
| Amelioration du service et statistiques agregees/anonymisees | Interet legitime (art. 6.1.f) | Ameliorer les fonctionnalites et la pertinence de l'IA |
| Securite, prevention de la fraude, rate limiting | Interet legitime (art. 6.1.f) + obligation legale (art. 6.1.c) | Proteger le Service et ses utilisateurs contre les acces non autorises |
| Conservation des logs de connexion | Obligation legale (art. 6.1.c) — art. 6-II LCEN | — |
| Analyse d'audience du site vitrine | Consentement (art. 6.1.a) | — |
5. Decisions automatisees et profilage
Conformement a l'article 22 du RGPD, nous vous informons que le Service utilise des traitements automatises faisant appel a l'intelligence artificielle. Ces traitements constituent du profilage au sens de l'article 4(4) du RGPD car ils analysent automatiquement le contenu des appels pour en deduire des informations (urgence, type de probleme, resume).
5.1. Traitements automatises mis en oeuvre
| Traitement | Description | Impact potentiel |
|---|---|---|
| Classification d'urgence | L'IA analyse le contenu de l'appel et attribue un niveau d'urgence (basse, moyenne, haute, critique) | Determine l'ordre de priorite dans lequel les appels sont presentes a l'Utilisateur et declenche ou non des alertes immediates |
| Categorisation du type de probleme | L'IA identifie la nature de la demande de l'appelant | Aide a l'organisation du travail de l'Utilisateur |
| Generation de resumes | L'IA produit un resume synthetique de chaque appel | Facilite la consultation rapide sans reecouter l'appel entier |
| Proposition de rendez-vous | L'IA propose des creneaux disponibles a l'appelant | Peut creer un rendez-vous dans l'agenda de l'Utilisateur |
5.2. Garanties
- Aucune de ces decisions automatisees ne produit d'effet juridique ni d'effet significatif similaire sur les personnes concernees au sens de l'article 22.1 du RGPD. Il s'agit d'outils d'aide a la decision : c'est toujours l'Utilisateur humain qui decide de l'action finale (rappeler, ignorer, confirmer un rendez-vous, etc.).
- Les transcriptions et resumes sont des interpretations automatiques susceptibles d'erreurs. L'enregistrement audio original est conserve pendant 90 jours pour permettre verification.
- Vous avez le droit de contester une classification, d'exprimer votre point de vue et d'obtenir une intervention humaine en contactant dpo@softcallia.com.
6. Durees de conservation des donnees
Nous conservons vos donnees uniquement le temps necessaire aux finalites pour lesquelles elles ont ete collectees, conformement au principe de limitation de la conservation (article 5.1.e du RGPD) :
| Categorie de donnees | Duree de conservation en base active | Archivage intermediaire | Fondement |
|---|---|---|---|
| Donnees de compte (identification) | Duree du contrat | 3 ans apres resiliation | Prescription civile (art. 2224 du Code civil) |
| Donnees d'appels (transcription, resume, classification) | Selon le parametre de l'entreprise (min. 30 jours, defaut : 90 jours) | Aucun | Parametrage utilisateur + minimisation |
| Enregistrements audio des appels | 90 jours maximum | Aucun — suppression automatique | Minimisation des donnees (art. 5.1.c RGPD) |
| Donnees de rendez-vous | Duree du contrat | 1 an apres resiliation | Execution du contrat |
| Donnees de facturation (factures, preuves de paiement) | 10 ans | — | Art. L.123-22 du Code de commerce |
| Logs de connexion (adresse IP, horodatage) | 12 mois | Aucun | Art. 6-II de la LCEN + decret n° 2011-219 |
| Donnees de consentement (preuves) | 5 ans apres le dernier consentement | — | Preuve du consentement (art. 7.1 RGPD) |
| Cookies et donnees de navigation | 13 mois maximum | Aucun | Recommandation CNIL (deliberation 2020-091) |
| Donnees de prospects (formulaire de contact) | 3 ans apres le dernier contact | Aucun | Recommandation CNIL |
| Logs d'erreurs (Sentry) | 90 jours | Aucun | Interet legitime (correction de bugs) |
A l'expiration de ces delais, les donnees sont supprimees de maniere definitive ou anonymisees de maniere irreversible a des fins statistiques.
7. Sous-traitants et transferts internationaux de donnees
Pour fournir le Service, nous faisons appel a des sous-traitants techniques (articles 28 et suivants du RGPD). Ces sous-traitants agissent uniquement sur nos instructions documentees et sont contractuellement tenus de proteger vos donnees conformement au RGPD. Des contrats de sous-traitance (DPA — Data Processing Agreements) ont ete conclus avec chacun d'eux.
7.1. Liste des sous-traitants
| Sous-traitant | Pays / Region | Donnees concernees | Garanties de transfert |
|---|---|---|---|
| Supabase Inc. | USA (infrastructure AWS EU) | Base de donnees (comptes, appels, RDV), fichiers audio | SCCs (Commission europeenne, decision 2021/914) + DPA. Chiffrement AES-256 au repos. Row Level Security (RLS). |
| Stripe Inc. | USA (entite irlandaise pour l'UE) | Donnees de paiement (carte traitee par Stripe, seul l'ID client est stocke chez nous) | EU-US Data Privacy Framework (DPF). PCI DSS Niveau 1. SCCs. |
| Twilio Inc. | USA | Telephonie (numero appelant, audio des appels), SMS | SCCs + DPA. SOC 2 Type II, ISO 27001. |
| OpenAI Inc. | USA | Audio (transcription), texte (analyse, resume, classification) | DPA specifique. Aucune donnee n'est utilisee pour entrainer les modeles (politique API zero-retention). SCCs. |
| Vercel Inc. | USA (CDN global, fonctions Edge EU) | Hebergement de l'application (requetes HTTP, headers, IP) | SCCs + DPA. SOC 2 Type II. |
| Upstash Inc. | UE (Francfort, Allemagne) | Cache applicatif ephemere (rate limiting, sessions) | RGPD natif. Donnees traitees et stockees exclusivement dans l'UE. |
| Brevo (Sendinblue) | France | Emails transactionnels (alertes, confirmations, relances) | RGPD natif. ISO 27001. Donnees hebergees en UE. |
| n8n GmbH | Allemagne | Workflows d'automatisation (orchestration des appels, notifications) | RGPD natif. Self-hosted sur VPS en UE. |
| Functional Software Inc. (Sentry) | USA | Logs d'erreurs techniques (stack traces, IP anonymisees, user-agent) | SCCs + DPA. SOC 2 Type II. Donnees minimisees (pas de donnees metier). |
7.2. Transferts hors de l'Espace economique europeen (EEE)
Certains de nos sous-traitants sont situes aux Etats-Unis. Les transferts de donnees vers les Etats-Unis sont encadres par les mecanismes suivants, conformement au chapitre V du RGPD :
- Clauses Contractuelles Types (SCCs) approuvees par la Commission europeenne (decision d'execution 2021/914 du 4 juin 2021), integrees aux DPA de chaque sous-traitant ;
- EU-US Data Privacy Framework (decision d'adequation du 10 juillet 2023) pour les sous-traitants certifies (Stripe) ;
- Mesures supplementaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), minimisation des donnees transferees, evaluation reguliere des risques.
Nous ne vendons jamais vos donnees a des tiers. Vos donnees ne sont partagees qu'avec les sous-traitants listes ci-dessus, dans la stricte mesure necessaire a la fourniture du Service.
8. Vos droits
Conformement aux articles 15 a 22 du RGPD et aux articles 48 a 56 de la loi Informatique et Libertes, vous disposez des droits suivants sur vos donnees personnelles :
| Droit | Contenu | Fondement |
|---|---|---|
| Droit d'acces | Obtenir la confirmation que des donnees vous concernant sont traitees, y acceder et en obtenir une copie. | Art. 15 RGPD |
| Droit de rectification | Demander la correction de donnees inexactes ou incompletes. | Art. 16 RGPD |
| Droit a l'effacement | Demander la suppression de vos donnees lorsqu'elles ne sont plus necessaires, que vous retirez votre consentement, ou que le traitement est illicite. | Art. 17 RGPD |
| Droit a la limitation du traitement | Demander la limitation du traitement dans certains cas (ex. : contestation de l'exactitude, opposition en cours d'examen). | Art. 18 RGPD |
| Droit a la portabilite | Recevoir vos donnees dans un format structure, couramment utilise et lisible par machine (JSON, CSV). Vous pouvez exercer ce droit depuis l'onglet RGPD de votre tableau de bord. | Art. 20 RGPD |
| Droit d'opposition | Vous opposer a un traitement fonde sur l'interet legitime (art. 6.1.f), y compris au profilage lie a ce traitement. Nous cesserons le traitement sauf motif legitime et imperieux. | Art. 21 RGPD |
| Droit relatif aux decisions automatisees | Ne pas faire l'objet d'une decision fondee exclusivement sur un traitement automatise produisant des effets juridiques. La classification par l'IA est un outil d'aide ; l'Utilisateur decide. | Art. 22 RGPD |
| Droit de retirer le consentement | Pour les traitements fondes sur le consentement (cookies analytiques, emails commerciaux), vous pouvez retirer votre consentement a tout moment sans affecter la licite du traitement anterieur. | Art. 7.3 RGPD |
| Directives post-mortem | Definir des directives relatives a la conservation, l'effacement et la communication de vos donnees apres votre deces. | Art. 85 loi Informatique et Libertes |
8.1. Comment exercer vos droits
- Par email : dpo@softcallia.com en precisant votre identite (nom, prenom, email du compte) et le droit que vous souhaitez exercer.
- Via votre tableau de bord : l'onglet « RGPD » de la page Parametres vous permet d'exporter vos donnees (portabilite) et de demander la suppression de votre compte (effacement).
- Par courrier : Softcallia SAS — Referent donneespersonnelles — 12 rue de la Technologie, 75011 Paris.
Nous repondrons a votre demande dans un delai maximum de 30 jours a compter de la reception. Ce delai peut etre prolonge de deux mois supplementaires en cas de complexite ou de nombre eleve de demandes, auquel cas vous en serez informe dans le delai initial d'un mois (art. 12.3 RGPD).
8.2. Reclamation aupres de la CNIL
Si vous estimez que le traitement de vos donnees personnelles constitue une violation du RGPD, vous avez le droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL), autorite de controle competente en France :
- Site web : www.cnil.fr
- Adresse : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Telephone : +33 1 53 73 22 22
9. Securite des donnees
Conformement a l'article 32 du RGPD, nous mettons en oeuvre les mesures techniques et organisationnelles appropriees pour assurer un niveau de securite adapte au risque :
9.1. Mesures techniques
- Chiffrement en transit : TLS 1.3 pour toutes les communications entre votre navigateur, nos serveurs et nos sous-traitants.
- Chiffrement au repos : AES-256 pour la base de donnees (Supabase/AWS) et les fichiers audio stockes.
- Isolation des donnees : Row Level Security (RLS) sur Supabase garantit qu'aucune entreprise ne peut acceder aux donnees d'une autre (isolation multi-tenant au niveau base de donnees).
- Controle d'acces : controle d'acces base sur les roles (RBAC) avec trois niveaux (administrateur, agent, lecteur).
- Rate limiting : protection contre les attaques par force brute via Upstash Redis (fenetre glissante).
- Mots de passe : haches avec bcrypt (facteur de cout 10), salage individuel. Aucun mot de passe n'est stocke en clair.
- Authentification : tokens JWT avec rotation automatique et rafraichissement securise.
- En-tetes de securite HTTP : Content-Security-Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
- Validation des webhooks : signature HMAC pour Stripe, cle secrete pour n8n.
9.2. Mesures organisationnelles
- Principe du moindre privilege : chaque composant du systeme n'a acces qu'aux donnees strictement necessaires a sa fonction.
- Journalisation : les acces et operations sensibles sont traces dans un journal d'audit (RGPD audit log).
- Monitoring : surveillance des erreurs et anomalies via Sentry, avec alertes automatiques.
- Notification de violation : en cas de violation de donnees, la CNIL est notifiee dans les 72 heures et les personnes concernees sont informees dans les meilleurs delais conformement aux articles 33 et 34 du RGPD.
10. Transparence sur l'utilisation de l'intelligence artificielle
Conformement au Reglement (UE) 2024/1689 du 13 juin 2024 relatif a l'intelligence artificielle (EU AI Act) et aux recommandations de la CNIL sur l'utilisation de l'IA dans le traitement de donnees personnelles :
10.1. Systemes d'IA utilises
- Fournisseur : OpenAI Inc. (modeles GPT et Whisper via API)
- Fonctions : transcription vocale (speech-to-text), generation de resumes, classification d'urgence, categorisation des problemes, reponse vocale conversationnelle aux appelants
- Classification de risque (EU AI Act) : risque limite — le systeme interagit directement avec des personnes physiques (appelants) et genere du contenu synthetique (voix)
10.2. Obligations de transparence
- L'appelant est informe en debut d'appel qu'il interagit avec un assistant automatise utilisant l'intelligence artificielle (obligation de transparence, art. 50 EU AI Act).
- L'IA est un outil d'aide a la decision, pas un systeme decisionnaire autonome. C'est toujours l'Utilisateur humain qui decide de l'action a entreprendre.
- Aucune donnee transmise via l'API OpenAI n'est utilisee pour entrainer ou ameliorer les modeles d'IA d'OpenAI (conformement a la politique de donnees API d'OpenAI — zero data retention pour les clients API).
- Les transcriptions et resumes sont des interpretations automatiques susceptibles d'erreurs, d'omissions ou d'inexactitudes. Ils ne constituent pas une reproduction fidele garantie.
11. Cookies et traceurs
Le Site et l'Application utilisent des cookies et technologies similaires. Pour des informations detaillees sur les cookies utilises, leurs finalites, durees de conservation et les modalites de gestion de vos preferences, veuillez consulter notre Politique de cookies dediee.
12. Donnees des mineurs
Le Service est destine aux professionnels (B2B). Il n'est pas concu pour etre utilise par des personnes agees de moins de 18 ans. Nous ne collectons pas sciemment de donnees personnelles de mineurs. Si nous constatons que des donnees de mineurs ont ete collectees par inadvertance, nous les supprimerons dans les meilleurs delais.
13. Modifications de cette politique
Nous pouvons modifier cette politique a tout moment pour refleter des evolutions reglementaires, jurisprudentielles ou techniques. Toute modification substantielle sera notifiee :
- par email a l'adresse associee a votre compte ;
- par une notification dans l'Application ;
- par la mise a jour de la date figurant en haut de cette page.
Pour les modifications affectant un traitement fonde sur le consentement, votre consentement sera a nouveau sollicite.
Contact — Protection des donnees
Pour toute question relative a la protection de vos donnees personnelles :
- Email du referent donnees : dpo@softcallia.com
- Adresse : Softcallia SAS — Referent donnees personnelles — 12 rue de la Technologie, 75011 Paris
- CNIL : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07