Point importantCette politique est un socle robuste de type SaaS/GDPR, mais elle doit encore etre relue et completee avec les informations legales exactes de l'entite qui publie le service avant mise en production definitive.
Responsable du traitement
Le service CFO AI est opere par [A completer: denomination legale exacte], ci-apres l'"Editeur". Les coordonnees completes du responsable du traitement, l'adresse de contact privacy et, le cas echeant, les coordonnees du DPO doivent etre completes avant publication.
- Entite: [A completer]
- Numero d'entreprise: [A completer]
- Adresse du siege: [A completer]
- Email privacy: [A completer]
- Site du service: https://cfo.takionic.ai
Categories de donnees traitees
L'Editeur peut traiter plusieurs categories de donnees personnelles et donnees d'entreprise lorsque cela est necessaire a l'execution du service.
- Donnees de compte: nom, prenom, adresse email, mot de passe sous forme hachee, statut MFA et horodatages de creation ou mise a jour.
- Donnees de securite: adresses IP, user agents, journaux de connexion, evenements de securite, identifiants de session et traces techniques limitees.
- Donnees d'integration: jetons OAuth comptables, scopes, identifiants techniques de connexion, etat de synchronisation et erreurs techniques.
- Donnees financieres et comptables: clients, fournisseurs, factures, paiements, soldes, indicateurs, snapshots analytiques et alertes derives des sources connectees.
- Donnees conversationnelles: prompts, instructions et reponses associees au chat CFO, dans la limite necessaire a la fourniture du service.
Sources et modalites de collecte
Les donnees sont collecte es soit directement aupres de l'utilisateur, soit aupres des systemes tiers autorises, soit generees techniquement par l'utilisation du service.
- Collecte directe lors de l'inscription, de la connexion et des interactions dans l'interface.
- Collecte indirecte via OAuth lorsque l'utilisateur autorise la connexion a sa solution comptable.
- Collecte technique lors des acces au service, des ouvertures de session, des erreurs et des journaux de securite.
- Collecte derivee lorsque le service calcule des KPI, des alertes, des syntheses et des recommandations a partir des donnees sources.
Finalites et bases juridiques
Les donnees sont traitees pour des finalites precises et legitimes. Selon le cas, le traitement repose sur l'execution du contrat, l'interet legitime, le respect d'obligations legales ou le consentement explicite.
- Creation et gestion du compte utilisateur: execution du contrat.
- Authentification, journalisation, lutte contre les acces non autorises et surveillance de securite: interet legitime et securite du service.
- Connexion a la solution comptable, synchronisation des donnees et execution des analyses: execution du contrat et instructions de l'utilisateur.
- Traitement des prompts et generation de reponses CFO assistees par IA: execution du contrat, sous reserve de la minimisation des donnees transmises.
- Retention limitee de certaines traces en cas d'incident, demande legale ou exigence de conformite: obligation legale ou interet legitime.
Destinataires et sous-traitants
Les donnees ne sont partagees qu'avec les personnes habilitees et les prestataires strictement necessaires a l'exploitation du service.
- Solution comptable connectee: pour etablir la connexion OAuth et lire les donnees autorisees par l'utilisateur.
- OpenAI: pour produire les analyses et reponses assistees par IA a partir d'un contexte limite et pertinent.
- Cloudflare: pour l'hebergement applicatif, les Workers, la base D1, la protection perimetrique et la diffusion du service.
- Prestataires complementaires eventuels: uniquement lorsque necessaire au support, a la surveillance ou a la securite, et sur base contractuelle appropriee.
Transferts internationaux
Certains sous-traitants peuvent traiter ou rendre accessibles certaines donnees en dehors de l'Espace economique europeen. Dans ce cas, l'Editeur doit mettre en place des garanties appropriees, telles que les Clauses Contractuelles Types de la Commission europeenne ou tout autre mecanisme reconnu.
Conservation des donnees
Les donnees sont conservees pendant une duree proportionnee a la finalite poursuivie, puis supprimees ou anonymisees, sous reserve des obligations legales de conservation et des besoins legitimes de preuve et de securite.
- Comptes utilisateurs: jusqu'a suppression du compte ou fin de la relation contractuelle.
- Logs de securite et traces d'acces: jusqu'a 12 mois, sauf conservation plus longue en cas d'incident ou de demande legale.
- Historique de chat: jusqu'a 12 mois, sauf suppression demandee plus tot ou retention technique justifiee.
- Donnees synchronisees depuis la solution comptable: tant que l'integration est active, puis au maximum 90 jours apres deconnexion, sauf demande contraire ou contrainte legale.
- Tokens OAuth: jusqu'a revocation, expiration ou deconnexion de l'integration.
Droits des personnes concernees
Sous reserve des conditions prevues par la legislation applicable, chaque personne concernee dispose d'un droit d'acces, de rectification, d'effacement, de limitation, d'opposition et de portabilite. Lorsque le traitement repose sur le consentement, celui-ci peut etre retire a tout moment sans porter atteinte a la lic eite du traitement anterieur.
- Demander l'acces aux donnees traitees.
- Demander la rectification des donnees inexactes ou incompletes.
- Demander la suppression du compte, des messages ou de la connexion comptable.
- Retirer un consentement donne precedemment, lorsqu'il constitue la base juridique du traitement.
- Introduire une reclamation aupres de l'autorite de controle competente, notamment l'Autorite de protection des donnees en Belgique, si applicable.
Mesures de securite
L'Editeur met en oeuvre des mesures techniques et organisationnelles appropriees pour proteger les donnees contre l'acces non autorise, la perte, la destruction, la divulgation ou l'alteration accidentelle ou illicite.
- Hachage des mots de passe.
- Cookies de session HttpOnly avec duree limitee.
- Chiffrement des tokens OAuth et gestion separee des secrets.
- Journalisation des evenements de securite et tra cabilite des acces.
- Principe de minimisation des donnees transmises au moteur IA.
Contact, suppression et reclamations
Toute question relative a la presente politique, toute demande d'exercice de droits ou toute demande de suppression doit etre adressee a [A completer: email privacy/support]. Une reclamation peut egalement etre introduite aupres de l'autorite de controle competente.