ATOOL← Retour à l'accueil

RGPD & Vie privée

Politique de confidentialité

En vigueur au 29 mars 2026

Préambule

[NOM PRÉNOM], auto-entrepreneur, ci-après l'« Éditeur », s'engage à protéger la vie privée des utilisateurs de la Plateforme ATOOL. La présente Politique de Confidentialité décrit les conditions dans lesquelles les données à caractère personnel sont collectées et traitées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données, ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

Article 1 – Responsable du traitement

Le responsable du traitement des données à caractère personnel est :

Nom[À COMPLÉTER]
StatutAuto-entrepreneur
SIRET[À COMPLÉTER]
Adresse[À COMPLÉTER]
Courriel[À COMPLÉTER]

Article 2 – Données collectées

2.1 Données d'identification et d'authentification

  • Adresse électronique professionnelle ;
  • Mot de passe (stocké sous forme hashée via Supabase Auth).

2.2 Données d'activité professionnelle

  • Chiffres et statistiques d'activité de l'office de tourisme (fréquentation, événements, budget, etc.) ;
  • Données de saisie mensuelle ;
  • Photographies et documents visuels uploadés par l'Utilisateur.

2.3 Données techniques

  • Logs de génération et données de rate limiting ;
  • Données de connexion (adresse IP, horodatage, navigateur utilisé).

Article 3 – Finalités et bases légales du traitement

FinalitéBase légale
Fourniture et gestion du Service (création de compte, génération de bilans)Exécution du contrat (art. 6.1.b RGPD)
Génération de textes via l'API AnthropicExécution du contrat (art. 6.1.b RGPD)
Gestion de la facturation et des paiementsExécution du contrat et obligations légales (art. 6.1.b et 6.1.c RGPD)
Sécurité de la Plateforme (rate limiting, logs)Intérêt légitime (art. 6.1.f RGPD)
Amélioration du ServiceIntérêt légitime (art. 6.1.f RGPD)
Respect des obligations légales (conservation comptable)Obligation légale (art. 6.1.c RGPD)

Article 4 – Destinataires des données

4.1 Sous-traitants techniques

  • Supabase, Inc. (Union Européenne) : hébergement de la base de données, authentification et stockage de fichiers. Les données sont hébergées au sein de l'Union Européenne ;
  • Railway Corporation (États-Unis) : hébergement de l'application. Ce transfert en dehors de l'Union Européenne est encadré conformément à l'article 5 ci-dessous ;
  • Anthropic, PBC (États-Unis) : traitement des données saisies par l'Utilisateur pour la génération de textes via l'API Claude. Ce transfert en dehors de l'Union Européenne est encadré conformément à l'article 5 ci-dessous.

4.2 Politique de non-stockage d'Anthropic
Conformément à la politique de confidentialité d'Anthropic applicable à son API commerciale, les données transmises via l'API :

  • Ne sont pas utilisées pour entraîner les modèles d'intelligence artificielle d'Anthropic ;
  • Ne sont conservées que pour une durée limitée nécessaire à la détection d'abus (généralement 30 jours maximum), conformément aux conditions d'Anthropic en vigueur ;
  • Ne sont pas communiquées à des tiers par Anthropic.

Article 5 – Transferts de données hors Union Européenne

Certaines données sont transférées vers les États-Unis dans le cadre des services fournis par Railway Corporation et Anthropic, PBC. Ces transferts sont encadrés par les mécanismes suivants, conformément au chapitre V du RGPD :

  • L'existence d'une décision d'adéquation de la Commission européenne concernant le EU-U.S. Data Privacy Framework, lorsque le destinataire est certifié ;
  • À défaut, la mise en place de Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution 2021/914 du 4 juin 2021) ;
  • Le cas échéant, des mesures supplémentaires (chiffrement, pseudonymisation) conformément aux recommandations 01/2020 du Comité Européen de la Protection des Données (CEPD).

L'Utilisateur peut obtenir une copie des garanties mises en place en contactant l'Éditeur à l'adresse indiquée à l'article 1.

Article 6 – Durée de conservation

  • Données d'identification : pendant toute la durée de l'abonnement, puis supprimées dans un délai de trente (30) jours après la clôture du compte, sous réserve des obligations légales de conservation ;
  • Données d'activité et photographies : pendant toute la durée de l'abonnement, puis supprimées dans un délai de trente (30) jours après la clôture du compte ;
  • Données techniques (logs) : douze (12) mois maximum ;
  • Données de facturation : dix (10) ans conformément aux obligations comptables et fiscales (article L. 123-22 du Code de commerce).

Article 7 – Sécurité des données

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données, conformément à l'article 32 du RGPD, et notamment :

  • Chiffrement des communications via le protocole HTTPS/TLS ;
  • Hashage des mots de passe (algorithme bcrypt via Supabase Auth) ;
  • Mise en œuvre de politiques de sécurité au niveau de la base de données (Row Level Security sur Supabase) ;
  • Limitation du taux de requêtes (rate limiting) pour prévenir les abus ;
  • Sauvegardes régulières des données ;
  • Accès restreint aux données selon le principe du moindre privilège.

Malgré les mesures de sécurité mises en œuvre, l'Éditeur ne peut garantir une sécurité absolue des données, aucun système informatique n'étant infaillible. L'Éditeur s'engage à notifier toute violation de données à la CNIL et aux personnes concernées dans les conditions prévues aux articles 33 et 34 du RGPD.

Article 8 – Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, l'Utilisateur dispose des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation que des données le concernant sont traitées et en recevoir une copie ;
  • Droit de rectification (art. 16) : obtenir la correction de données inexactes ou incomplètes ;
  • Droit à l'effacement (art. 17) : obtenir la suppression de ses données, sous réserve des obligations légales de conservation ;
  • Droit à la limitation du traitement (art. 18) : obtenir la limitation du traitement dans les cas prévus par le RGPD ;
  • Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine ;
  • Droit d'opposition (art. 21) : s'opposer au traitement de ses données pour des motifs légitimes ;
  • Droit de définir des directives relatives au sort de ses données après son décès (article 85 de la loi Informatique et Libertés).

Pour exercer ces droits, l'Utilisateur peut adresser sa demande par courriel à : [À COMPLÉTER]. L'Éditeur s'engage à répondre dans un délai d'un (1) mois, conformément à l'article 12 du RGPD.

En cas de difficulté, l'Utilisateur peut introduire une réclamation auprès de la CNIL : 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 – www.cnil.fr.

Article 9 – Cookies

La Plateforme utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (cookies de session, d'authentification). Ces cookies ne nécessitent pas le consentement de l'Utilisateur conformément à l'article 82 de la loi Informatique et Libertés.

Si des cookies analytiques ou de mesure d'audience étaient mis en place à l'avenir, l'Utilisateur en serait informé et son consentement préalable serait recueilli conformément aux recommandations de la CNIL.

Article 10 – Modification de la Politique de Confidentialité

L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. Les modifications substantielles seront notifiées à l'Utilisateur par courriel ou par affichage sur la Plateforme. La dernière version en vigueur est celle accessible sur la Plateforme.