Politique de Confidentialite
Derniere mise a jour : mars 2026
Conforme au Reglement (UE) 2016/679 (RGPD), a la Directive ePrivacy 2002/58/CE, au EU AI Act (Reglement UE 2024/1689) et a la Directive NIS2 (UE 2022/2555).
1. Responsable du traitement
Chatbotaurus S.a r.l., societe de droit luxembourgeois.
Siege social : Luxembourg, Grand-Duche de Luxembourg.
Email du responsable : contact@chatbotaurus.com
Delegue a la Protection des Donnees (DPO) :
Email : dpo@chatbotaurus.com
Le DPO est joignable pour toute question relative au traitement de vos donnees personnelles, a l'exercice de vos droits, ou pour signaler une violation de donnees.
2. Donnees collectees et finalites
Nous appliquons le principe de minimisation des donnees (Art. 5.1.c RGPD). Seules les donnees strictement necessaires sont collectees.
Donnees d'identification
Nom, prenom, email professionnel, nom d'entreprise, secteur d'activite.
Finalite : creation et gestion du compte, personnalisation du service.
Base legale : execution du contrat (Art. 6.1.b RGPD).
Donnees de connexion et techniques
Adresse IP, User-Agent, logs d'acces, horodatage des sessions.
Finalite : securite, detection d'intrusion, audit trail.
Base legale : interet legitime (Art. 6.1.f) et obligation legale NIS2 (Art. 6.1.c).
Donnees d'utilisation
Workflows crees, configurations MCP, historique de conversations avec l'IA.
Finalite : fourniture du service, amelioration de la qualite.
Base legale : execution du contrat (Art. 6.1.b).
Donnees de facturation
Adresse de facturation, historique des paiements (via Mollie EU).
Finalite : facturation, comptabilite.
Base legale : obligation legale (Art. 6.1.c) et execution du contrat (Art. 6.1.b).
Donnees de newsletter
Email, date d'inscription, preferences de communication.
Finalite : envoi de communications marketing.
Base legale : consentement explicite (Art. 6.1.a).
Nous ne collectons jamais de donnees sensibles (Art. 9 RGPD) sauf consentement explicite pour les fonctionnalites biometriques optionnelles (voix).
3. Hebergement, securite et sous-traitants
Toutes les donnees sont hebergees exclusivement dans l'Union Europeenne. Aucun transfert hors UE/EEE n'est effectue.
Sous-traitants techniques (Art. 28 RGPD) :
- •Hostinger International Ltd (LT/LU) — hebergement infrastructure principale
- •OVHcloud (FR) — services complementaires et stockage
- •Scaleway / Iliad Group (FR) — calcul GPU pour entrainement IA
- •Mollie B.V. (NL) — traitement des paiements
- •Hetzner Online GmbH (DE) — sauvegardes chiffrees
Un accord de traitement des donnees (DPA) conforme a l'Art. 28 RGPD est signe avec chaque sous-traitant. Liste complete disponible sur demande aupres du DPO.
Mesures de securite techniques (Art. 32 RGPD) :
- Chiffrement au repos AES-256-GCM et en transit TLS 1.3
- Cryptographie post-quantique (Kyber768 / Dilithium3)
- Chiffrement homomorphe (FHE) pour le traitement sur donnees chiffrees
- Preuves zero-knowledge (ZKP) pour la verification sans divulgation
- Authentification multi-facteurs (Authentik SSO + TOTP)
- Gestion des secrets via HashiCorp Vault (AppRole, cles non-extractibles)
- Scan de vulnerabilites Trivy sur chaque image conteneur
- Architecture Zero Trust triple (mTLS + JWT + HMAC)
- Isolation reseau par conteneur (Podman rootless, AppArmor, seccomp BPF)
- Sauvegardes chiffrees quotidiennes avec verification d'integrite SHA-256
4. Duree de conservation
| Type de donnees | Duree | Justification |
|---|---|---|
| Compte utilisateur | Duree du contrat + 30 jours | Execution contractuelle |
| Logs techniques | 12 mois | Securite, NIS2 Art. 21 |
| Logs d'audit securite | 24 mois | NIS2, detection d'incidents |
| Donnees de facturation | 10 ans | Obligation legale (Code de commerce LU) |
| Conversations IA | Duree du contrat + 30 jours | Execution contractuelle |
| Consentement cookies | 13 mois | Directive ePrivacy |
| Newsletter | Jusqu'au desabonnement | Consentement |
| Donnees de prospect | 36 mois apres dernier contact | Interet legitime |
A l'expiration de ces delais, les donnees sont supprimees de maniere securisee (effacement cryptographique ou ecrasement multi-passes).
5. Vos droits (RGPD Art. 15 a 22)
Conformement au RGPD, vous disposez des droits suivants :
- Art. 15Droit d'acces — obtenir une copie de vos donnees personnelles
- Art. 16Droit de rectification — corriger des donnees inexactes
- Art. 17Droit a l'effacement (droit a l'oubli) — suppression de vos donnees
- Art. 18Droit a la limitation du traitement
- Art. 20Droit a la portabilite — export de vos donnees en format structure (JSON)
- Art. 21Droit d'opposition au traitement
- Art. 22Droit de ne pas faire l'objet d'une decision automatisee
Pour exercer vos droits : envoyez un email a dpo@chatbotaurus.com. Delai de reponse : 30 jours maximum (Art. 12.3 RGPD). Fonctionnalites en libre-service disponibles dans votre espace Compte (export RGPD, suppression de compte).
6. Cookies et traceurs
| Cookie | Type | Duree | Finalite |
|---|---|---|---|
| cookie_consent | Essentiel | 13 mois | Memoriser vos choix cookies |
| connect.sid | Essentiel | Session | Session d'authentification |
| token / refreshToken | Essentiel | 15 min / 7 jours | Authentification JWT |
| _pk_id / _pk_ses | Analytique | 13 mois / 30 min | Matomo (auto-heberge EU) |
Aucun cookie de tracking tiers (Google Analytics, Facebook Pixel, etc.) n'est utilise. L'analytics est assuree par Matomo, auto-heberge en Union Europeenne, conforme RGPD. Les cookies analytiques ne sont deposes qu'apres votre consentement explicite via le bandeau cookies.
7. Transferts internationaux
Aucun transfert de donnees personnelles hors de l'Union Europeenne / Espace Economique Europeen.
Tous nos sous-traitants, fournisseurs d'hebergement, prestataires de paiement et services d'intelligence artificielle sont etablis dans l'UE/EEE. Les modeles IA sont entraines et executes localement sur notre infrastructure europeenne (Ollama, modeles open-source). Aucun appel vers des API de geants de la Tech extra-europeens.
8. Notification de violation (Art. 33-34 RGPD)
En cas de violation de donnees personnelles, Chatbotaurus s'engage a :
- Notifier la CNPD dans les 72 heures (Art. 33 RGPD)
- Notifier les personnes concernees sans delai indu si risque eleve (Art. 34 RGPD)
- Notifier les autorites competentes dans les 24 heures (NIS2 Art. 23)
- Documenter l'incident dans le registre des violations
9. Analyse d'impact (DPIA — Art. 35 RGPD)
Conformement a l'article 35 du RGPD, Chatbotaurus realise une Analyse d'Impact relative a la Protection des Donnees (DPIA) pour tout traitement susceptible d'engendrer un risque eleve pour les droits et libertes des personnes concernees.
- DPIA realisee pour le traitement des conversations IA (inference locale, modeles open-source)
- DPIA realisee pour le systeme d'authentification et de gestion des acces (2FA, RBAC)
- Revue annuelle des DPIA existantes ou lors de tout changement significatif
- Consultation de la CNPD si le risque residuel reste eleve (Art. 36 RGPD)
Les DPIA sont disponibles sur demande aupres du DPO : dpo@chatbotaurus.com
10. Contact et reclamation
Pour toute question relative a cette politique :
DPO : dpo@chatbotaurus.com
Contact general : contact@chatbotaurus.com
Si vous estimez que le traitement de vos donnees constitue une violation du RGPD, vous avez le droit d'introduire une reclamation aupres de l'autorite de controle :
Commission Nationale pour la Protection des Donnees (CNPD)
15, Boulevard du Jazz, L-4370 Belvaux, Luxembourg
https://cnpd.public.lu
Cette politique est revisee au minimum annuellement et mise a jour en cas de changement significatif dans nos pratiques de traitement.
Besoin d'une reponse immediate ?
Notre assistant MCP est disponible 24/7 pour repondre a vos questions techniques, vous guider dans votre projet ou resoudre vos problemes.