Ressources
Retrouvez l'ensemble de nos politiques et documents de référence :
Politique de confidentialité
Découvrez comment nous protégeons vos données personnelles
Politique d'utilisation de l'IA
Comprenez comment nous utilisons l'intelligence artificielle
Politique de gestion des cookies
Informations sur l'utilisation des cookies
Liste des sous-traitants
Découvrez tous nos prestataires et leurs garanties de conformité
Conformité RGPD
Chez RGPD START, la conformité RGPD est au cœur de notre mission. Nous appliquons une approche rigoureuse de protection des données, tant en tant que responsable de traitement que sous-traitant, et nous intégrons la conformité dans chaque étape de notre fonctionnement.
Les rôles RGPD
RGPD START peut intervenir en tant que responsable de traitement ou sous-traitant, selon l'activité concernée. Nous clarifions systématiquement notre rôle afin de garantir une conformité sans ambiguïté et un cadre opérationnel maîtrisé.
RGPD START Responsable de traitement
Nous sommes responsables de traitement pour les activités liées à la gestion de notre fonctionnement interne, notamment :
- gestion du site web et analyse d'audience,
- gestion commerciale (prospection B2B, suivi des prospects),
- contractualisation, facturation, relation client,
- communication externe (newsletter, évènements),
- gestion RH et recrutement.
Dans ces cas, nous déterminons les finalités et les moyens des traitements réalisés.
RGPD START Sous-traitant
Nous agissons comme sous-traitant lorsque nous traitons des données pour le compte de nos clients, dans les activités suivantes :
- missions d'audit RGPD,
- accompagnement juridique et conformité,
- missions de DPO externalisé,
- gestion de projet RGPD sur la Plateforme RGPD Start,
- traitement des données saisies par les utilisateurs dans la Plateforme RGPD Start,
- assistance documentaire et analytique IA.
Nous appliquons strictement leurs instructions documentées. Un DPA conforme à l'article 28 RGPD est inclus à nos contrats.
La gouvernance des données
Notre conformité repose sur une gouvernance solide : DPO identifié, registres documentés, processus claires, gestion des sous-traitants et formations internes systématiques.
Un DPO dédié
RGPD START dispose d'un Délégué à la protection des données chargé :
- de superviser la conformité,
- d'accompagner nos équipes,
- de contrôler les sous-traitants,
- d'assurer le suivi des demandes de droits.
Ses coordonnées figurent dans notre Politique de confidentialité.
Documentation et pilotage de la conformité
Nous maintenons une documentation complète, notamment :
- un registre des traitements (responsable de traitement),
- un registre des activités (sous-traitance),
- des analyses d'impact (PIA) lorsque nécessaire,
- une cartographie détaillée de nos données,
- des revues annuelles de conformité,
- une procédure de privacy by design & by default intégrée dans chaque évolution produit.
Nos registres Responsable de traitement (RT) et Sous-traitant (ST) sont mis à jour chaque année, et à chaque évolution significative de nos traitements, de nos services ou de notre organisation interne.
Formation & sensibilisation des équipes
Tous les collaborateurs RGPD START sont :
- formés à leur arrivée (livret RGPD / cybersécurité),
- formés annuellement (mise à jour réglementaire),
- sensibilisés à la gestion des risques et des bonnes pratiques,
- formés de manière renforcée pour les juristes et intervenants DPO.
Gestion des demandes de droits
Nous avons mis en place un processus structuré :
- identification et qualification de la demande,
- réponse sous 30 jours,
- conservation d'un registre des demandes (DSAR),
- coordination avec le client lorsque nous agissons en sous-traitance.
Nous appliquons une procédure documentée couvrant l'ensemble du cycle de traitement des demandes d'exercice de droits (DSAR) : identification, qualification, analyse, réponse sous 30 jours, archivage dans un registre interne et, lorsque nous agissons en sous-traitance, coordination avec le responsable de traitement.
Gestion des violations de données
Nous tenons un registre interne des violations :
- enregistrement systématique de chaque incident impliquant des données personnelles,
- description des causes, impacts et mesures correctives mises en œuvre,
- traçabilité des notifications réalisées (clients, CNIL, personnes concernées le cas échéant),
- suivi des actions préventives pour éviter la réapparition des incidents.
Nos engagements
Nous appliquons le principe d'accountability : documentation rigoureuse, minimisation, conservation maîtrisée, gestion des violations, réponses aux demandes de droit, privacy by design, contrôles réguliers.
Minimisation & licéité
Chaque traitement interne a été analysé pour garantir que :
- seules les données strictement nécessaires sont collectées,
- chaque traitement repose sur une base légale valide,
- les données ne sont jamais utilisées en dehors des finalités déclarées.
Durées de conservation maîtrisées
Nous disposons d'un référentiel précis de durées, appliqué dans nos systèmes pour garantir la suppression automatique des données lorsqu'elles ne sont plus nécessaires. En tant que responsable de traitement, nous appliquons un référentiel documenté définissant les durées de conservation applicables à chaque traitement et chaque finalité. Les données sont supprimées ou anonymisées dès qu'elles ne sont plus nécessaires.
Gestion des incidents & violations
Nous avons une procédure dédiée comprenant :
- détection et qualification des incidents,
- documentation dans un registre interne,
- notification au client (si nous sommes sous-traitant),
- notification à la CNIL et/ou aux personnes concernées si nécessaire.
Contrôles internes réguliers
Chaque année, RGPD START réalise :
- une revue complète de ses activités,
- une mise à jour de ses registres,
- une revue des sous-traitants,
- un audit interne de conformité.
Chaque année, RGPD START réalise une revue complète de l'ensemble de ses documents internes : registres RT/ST, référentiel des durées, analyses d'impact, politiques internes, procédures de sécurité et documentation contractuelle.
Privacy by design systématique
Nous intégrons systématiquement :
- prise en compte des évolutions réglementaires et bonnes pratiques,
- analyse systématique des nouveaux projets en privacy by design & by default,
- vérification de la minimisation des données, des mesures de sécurité et des impacts potentiels pour les personnes concernées.
Chaque nouvelle fonctionnalité ou évolution de la Plateforme fait l'objet d'une revue interne privacy by design. Nous analysons systématiquement la minimisation des données, la sécurité, les risques potentiels et l'impact pour les utilisateurs.
Protection de vos données
Nous garantissons un hébergement sécurisé dans l'UE, un encadrement strict des transferts hors UE et une transparence totale sur nos sous-traitants.
✓ Sous-traitants
Chaque sous-traitant fait l'objet :
- d'une évaluation préalable,
- d'un rapport de conformité,
- d'une documentation interne,
- d'un DPA conforme RGPD,
- d'un contrôle régulier,
- d'un suivi de sécurité.
Nous procédons également à une revue régulière de la conformité et de la sécurité de nos sous-traitants, afin de garantir que leurs pratiques restent alignées sur nos exigences contractuelles et réglementaires.
✓ Registre des activités de sous-traitance
Nous documentons :
- la nature des traitements opérés pour chaque client,
- les catégories de données,
- les sous-traitants ultérieurs,
- les mesures de sécurité appliquées,
- les encadrements contractuels prévus.
✓ Sécurité & Confidentialité renforcées
Toutes nos opérations de sous-traitance sont encadrées par :
- des habilitations strictes,
- des contrôles d'accès,
- une supervision humaine des traitements,
- une séparation stricte entre les environnements clients.
✓ Respect des instructions du client
En tant que sous-traitant :
- nous n'utilisons jamais les données pour d'autres finalités que celles prévues dans le contrat,
- nous ne transférons pas de données sans base légale claire,
- nous accompagnons le client dans ses obligations (aide au PIA, réponses aux droits, documentation, audit…).
✓ Encadrement des transferts hors UE
Selon le prestataire, les garanties mises en place incluent :
- Clauses Contractuelles Types (CCT)
- Data Processing Agreements (DPA)
- Data Privacy Framework (lorsqu'applicable)
- Transfer Impact Assessments (TIA) réalisés par RGPD START
✓ Absence de données sensibles
La Plateforme n'est pas destinée au traitement de données sensibles au sens de l'article 9 du RGPD. Les utilisateurs sont invités à ne pas saisir de telles données, sauf nécessité liée à leur activité et sous leur seule responsabilité.
Liste des sous-traitants
Chez RGPD Start, notre responsabilité principale est d'assurer un haut niveau d'intégrité, de sécurité et de confidentialité des données personnelles.
Parce que nous accompagnons des organisations dans leur conformité RGPD, nous appliquons à nous-mêmes des standards exigeants, supérieurs à la moyenne du marché.
Nous avons fait le choix : de la transparence, de la responsabilité, et d'une information claire des utilisateurs.
Le tableau ci-après recense les prestataires techniques susceptibles d'intervenir dans la fourniture de nos services. Leur intervention se fait exclusivement dans le cadre d'instructions contractuelles définies par RGPD Start, conformément à l'article 28 du RGPD, et dans le périmètre nécessaire à l'exécution de leurs missions.
Nous vérifions systématiquement qu'ils présentent des garanties juridiques, techniques et organisationnelles appropriées, proportionnées et conformes aux articles 28, 32 et suivants du RGPD.
Gouvernance RGPD appliquée aux sous-traitants
Avant tout référencement d'un prestataire, nous appliquons un processus rigoureux comprenant notamment :
- analyse de la conformité contractuelle (DPA, SCC, DPF),
- vérification de la localisation des infrastructures,
- revue du modèle d'accès aux données,
- analyse du risque de transfert (TIA),
- étude de proportionnalité et de minimisation,
- supervision interne des usages.
Engagements de sécurité et de confidentialité
Tous nos prestataires sont contractuellement tenus de :
- protéger la confidentialité,
- appliquer des mesures de sécurité conformes à l'article 32 RGPD,
- ne traiter les données que dans le périmètre défini contractuellement et selon nos instructions,
- s'interdire toute réutilisation à des fins commerciales, marketing ou d'exploitation non autorisée,
- limiter l'accès aux seules personnes habilitées,
- garantir des mesures de chiffrement et de contrôle d'accès,
- supprimer ou restituer les données au terme de la mission selon les dispositions contractuelles applicables.
Encadrement des transferts hors UE
Lorsque des transferts hors UE sont susceptibles d'avoir lieu, ils sont encadrés conformément aux articles 44 à 49 du RGPD, notamment via :
- Clauses Contractuelles Types (SCC),
- Data Privacy Framework,
- Data Processing Agreement,
- mesures organisationnelles et techniques supplémentaires.
Pourquoi avons-nous recours à ces prestataires ?
Le recours à ces prestataires est limité, justifié, documenté et encadré. Ils nous permettent de :
- assurer la qualité et la résilience de la plateforme,
- héberger nos données dans un environnement sécurisé,
- fournir des fonctionnalités IA supervisées par nos juristes,
- garantir la sécurité de nos infrastructures,
- gérer notre facturation légale,
- assurer une communication professionnelle strictement ciblée,
- automatiser certains processus internes,
- produire des supports pédagogiques anonymisés.
Hébergement, infrastructure technique et sécurité
Prestataires indispensables au fonctionnement de RGPD Start (plateforme, sécurité, hébergement, communication interne et stockage).
| Prestataire | Rôle et finalité | Localisation des serveurs | Transfert hors UE | Encadrement juridique | Mise à jour |
|---|---|---|---|---|---|
| Microsoft (Azure & M365) | Hébergement de RGPD Start, infrastructure cloud, stockage documentaire, messagerie, sécurité réseau, suivi contractuel | UE | Possible via redondance | SCC + DPA + Data Privacy Framework + TIA | 05/12/2025 |
| OVH | Hébergement du site web et des bases techniques associées, logs serveur, contrôle de disponibilité | UE | Non | Contrat + clauses de conformité RGPD | 05/12/2025 |
| Railway | Hébergement d'environnements applicatifs, infrastructure cloud pour le backend et services techniques nécessaires au fonctionnement | UE | Possible via redondance et support | SCC + DPA + TIA | 05/12/2025 |
Sous-traitants IA et automatisation
Intervenant pour les briques technologiques d'assistance IA, développement, optimisation et automatisation des tâches.
| Prestataire | Rôle et finalité | Localisation | Transfert hors UE | Encadrement | Mise à jour |
|---|---|---|---|---|---|
| OpenAI | Génération assistée, support rédactionnel supervisé, aide documentaire et traitement ponctuel sur instruction humaine | USA | Oui | SCC + DPA + DPF + TIA | 05/12/2025 |
| Cursor | Assistance IA pour développement, amélioration technique et optimisation de la plateforme RGPD Start | USA | Oui | SCC + DPA + TIA | 05/12/2025 |
| Microsoft Power Automate | Automatisation interne de processus techniques, optimisation interne des flux | UE | Possible | SCC + DPA + DPF + TIA | 05/12/2025 |
Sous-traitants en gestion administrative, comptable et contractuelle
| Prestataire | Finalité | Localisation | Transfert hors UE | Encadrement | Mise à jour |
|---|---|---|---|---|---|
| Pennylane | Gestion de la facturation, comptabilité légale, documents administratifs liés aux clients | UE | Non | Contrat + clauses RGPD | 05/12/2025 |
Sous-traitants commerciaux (prospection B2B limitée)
Prospection ciblée, raisonnable, strictement limitée à l'intérêt légitime professionnel B2B (article L.34-5 du CPCE).
| Prestataire | Finalité | Localisation | Transfert hors UE | Encadrement | Mise à jour |
|---|---|---|---|---|---|
| Lemlist | Gestion restreinte de contacts professionnels dans le cadre du développement commercial légitime | UE | Non | Contrat + clauses RGPD | 05/12/2025 |
FAQ Conformité
1. RGPD START est-elle conforme au RGPD ?
Oui. Nous appliquons l'ensemble des exigences du RGPD grâce à une gouvernance structurée : DPO identifié, registres complets, cartographie, PIA, politique privacy by design, revue annuelle, gestion stricte des sous-traitants et référentiel des durées. Notre conformité est documentée et mise à jour régulièrement.
2. Quel est le rôle de RGPD START : responsable de traitement ou sous-traitant ?
Cela dépend du traitement concerné :
- Responsable de traitement : site web, analytics, relation commerciale, facturation, RH, communication.
- Sous-traitant : accompagnement RGPD, missions DPO, audit, gestion du projet RGPD, traitements réalisés dans la Plateforme, fonctionnalités IA assistées.
Un DPA conforme à l'article 28 est inclus à nos contrats.
3. Comment RGPD START protège-t-elle les données personnelles ?
Nous appliquons des mesures techniques et organisationnelles strictes :
- hébergement en UE (OVH, Azure),
- chiffrement en transit,
- contrôles d'accès et habilitations,
- journalisation et supervision humaine,
- gestion des incidents,
- revues de sécurité et contrôles internes réguliers.
Les détails sont accessibles dans la page Sécurité du Trust Center.
4. Où mes données sont-elles hébergées et y a-t-il des transferts hors UE ?
Les données sont hébergées exclusivement dans l'Union européenne pour les services de base (OVH, Azure). Certains outils techniques (notamment IA ou hébergement secondaire) peuvent impliquer un transfert vers les États-Unis. Ces transferts sont systématiquement encadrés par : CCT + DPA + Data Privacy Framework (lorsqu'applicable) + évaluation d'impact (TIA) réalisée par RGPD START.
5. Comment RGPD START gère-t-elle les droits des personnes (DSAR) ?
Un processus structuré est en place :
- identification et vérification de la demande,
- réponse sous 30 jours maximum,
- conservation d'un registre interne,
- coordination avec le client lorsqu'un traitement est réalisé en sous-traitance.
Les modalités de contact figurent dans la Politique de confidentialité.
6. Comment mes données sont-elles restituées ou supprimées si je quitte RGPD START ?
En tant que sous-traitant, RGPD START applique strictement les instructions du client :
- restitution ou export des données,
- suppression sécurisée dans les délais contractuels,
- archivage limité à ce qui est nécessaire aux obligations légales ou à la preuve.
Aucune donnée n'est conservée au-delà de ce qui est justifié.
Sécurité
Chez RGPD START, la sécurité des données est un pilier essentiel de notre engagement de confiance. Nous appliquons des mesures techniques et organisationnelles robustes, alignées sur les bonnes pratiques du marché SaaS, afin de garantir la confidentialité, l'intégrité et la disponibilité des données qui nous sont confiées.
Notre approche repose sur une architecture sécurisée dans l'UE, un contrôle strict des accès, un suivi continu de la sécurité et une gestion rigoureuse des incidents.
Architecture & Hébergement
Nous mettons en œuvre une infrastructure moderne, redondante et sécurisée, hébergée principalement en Union européenne, avec des prestataires soumis à des exigences strictes de conformité.
Plateforme RGPD START
- Hébergement principal : OVH (France / UE)
- Données clients : bases de données, fichiers, documents liés à la conformité
- Sécurité physique assurée par OVH (ISO 27001, SOC)
- Redondance et haute disponibilité au niveau cluster
Services internes & stockage documentaire
- Hébergés via Microsoft Azure Europe
- Stockage des documents internes, messagerie, collaboration
- Chiffrement au repos et en transit
Développement & infrastructure complémentaire
- Environnements techniques et tests : Railway (UE et USA)
- Encadrement contractuel strict + SCC + DPF + TIA
- Aucun traitement de données sensibles, uniquement des données techniques ou pseudonymisées
Mesures de sécurité
Nous appliquons des mesures adaptées aux risques, conformes aux bonnes pratiques du secteur et régulièrement mises à jour.
Chiffrement
- En transit : TLS 1.2+
- Au repos : chiffrement appliqué par OVH et Azure
- IA : prompts chiffrés en transit vers l'API + journalisation interne sécurisée
Contrôles d'accès
- Gestion stricte des habilitations
- Accès limité au personnel autorisé
- Les politiques internes imposent des mots de passe robustes et non réutilisés
- Double authentification (2FA) déployée pour les environnements internes
- Séparation claire des environnements (prod / test / dév)
Journalisation & supervision
- Logs techniques centralisés et surveillés
- Traçabilité renforcée des accès sensibles
- Conservation limitée (6 à 12 mois)
Sauvegardes & disponibilité
- Sauvegardes quotidiennes sur infrastructures cloud européennes
- Procédures documentées de restauration
- Redondance au niveau infrastructure OVH & Azure
Tests, audits et évaluations
- Revues annuelles de sécurité
- Audits de conformité internes
- Tests réguliers sur les systèmes sensibles
- Évaluation systématique des sous-traitants (sécurité & RGPD)
Développement sécurisé
- Revue de code systématique
- Outils d'analyse statique et détection de vulnérabilités
- Pipeline CI/CD protégé
- Politique de gestion des dépendances et mises à jour de sécurité
La plateforme bénéficie de mises à jour régulières incluant correctifs de sécurité.
Gestion des incidents
Un processus documenté assure la détection, la qualification et la résolution rapide des incidents impliquant des données personnelles.
Procédure interne
- Détection automatique ou signalement interne
- Analyse immédiate du degré de gravité
- Enregistrement dans le registre des incidents
- Actions correctives + mesures préventives
Notifications
Selon les cas :
- notification au client (si nous agissons en sous-traitance),
- notification à la CNIL,
- notification aux personnes concernées.
Plan de réponse
Même si un PCA/PRA complet n'est pas encore formalisé, RGPD START applique : des procédures internes de continuité, des sauvegardes régulières, des mesures permettant d'assurer la disponibilité du service.
Engagements de sécurité
Nos engagements garantissent une maîtrise continue de la sécurité.
Évaluation systématique des sous-traitants
Chaque sous-traitant fait l'objet de :
- due diligence sécurité,
- DPA + SCC,
- TIA,
- revue annuelle de conformité.
Séparation des données
- Environnements isolés
- Espaces clients segmentés
- Politique stricte de non-mutualisation des fichiers sensibles
Confidentialité
- Accords de confidentialité pour tous les employés
- Accès basé sur le principe du « moindre privilège »
FAQ Sécurité
1. Les données sont-elles hébergées en Europe ?
Oui. La Plateforme et les services internes sont hébergés en Union européenne (OVH, Azure). Certains outils techniques (ex : IA OpenAI, Railway US) peuvent impliquer un transfert hors UE, toujours encadré juridiquement.
2. Les données sont-elles chiffrées ?
Oui :
- chiffrement TLS 1.2+ en transit,
- chiffrement au repos via les infrastructures OVH et Azure.
3. Comment RGPD START contrôle-t-elle les accès internes ?
Nous appliquons des mesures strictes : 2FA, habilitations revues régulièrement, segmentation des environnements, journalisation des accès.
4. Que se passe-t-il en cas d'incident de sécurité ?
Une procédure documentée est activée immédiatement : qualification, enregistrement, actions correctives, notification aux parties concernées selon les obligations légales.
5. Les sous-traitants sont-ils évalués ?
Oui. Chaque sous-traitant fait l'objet d'une évaluation sécurité + RGPD, d'un DPA/SCC, d'un TIA et d'une revue annuelle.
6. Comment les sauvegardes fonctionnent-elles ?
Nous effectuons des sauvegardes quotidiennes hébergées dans l'UE, avec procédures de restauration et redondance de l'infrastructure.
Intelligence Artificielle
Chez RGPD START, l'intelligence artificielle est utilisée comme un outil d'aide, conçu pour augmenter la qualité et l'efficacité de nos services tout en garantissant un contrôle humain total.
L'IA n'intervient jamais seule : chaque action est déclenchée, supervisée, vérifiée et validée par un professionnel RGPD START ou par l'utilisateur.
Notre approche repose sur trois principes :
- ✓ transparence,
- ✓ maîtrise humaine systématique,
- ✓ protection stricte des données.
Notre philosophie & cadre d'usage
Une utilisation responsable, contrôlée et alignée sur le RGPD
L'IA n'a pas vocation à remplacer l'humain, mais à renforcer l'analyse, la rédaction, la cohérence documentaire et le pilotage des missions de conformité.
Nous veillons à ce que l'IA reste strictement encadrée :
- aucune décision automatisée (art. 22 RGPD),
- supervision humaine obligatoire,
- refus de générer du contenu illicite ou discriminatoire,
- limitation proactive des biais,
- transparence totale envers les utilisateurs.
L'objectif : offrir plus de précision, plus de rapidité, plus de cohérence, tout en assurant une maîtrise juridique totale.
Comment fonctionne l'IA dans la Plateforme ?
Des fonctionnalités conçues pour assister, jamais pour décider
L'IA est intégrée dans plusieurs modules, toujours comme un outil d'aide :
- analyse RGPD, suggestion de risques et mesures,
- assistance à la rédaction, reformulation et structuration de documents,
- génération assistée (registre, politiques, matrices…),
- extraction d'informations d'un texte fourni,
- synthèse, rapport, statistiques, pilotage,
- catégorisation assistée (jamais automatique).
L'IA :
- ✓ ne déclenche rien sans un humain,
- ✓ ne génère aucun document final sans validation,
- ✓ ne transmet rien automatiquement à un tiers,
- ✓ n'impose jamais un résultat.
L'utilisation est activée par défaut car elle fait partie intégrante de l'expérience RGPD START, et ne peut pas être désactivée au niveau client.
Garanties & protections appliquées aux données
Une IA conforme, sécurisée et encadrée contractuellement. Les traitements IA respectent strictement le RGPD et les bonnes pratiques du secteur.
Types de données traitées
Selon l'usage, l'IA peut traiter :
- données professionnelles (nom, email, fonction),
- données organisationnelles (processus internes, organigrammes),
- contenus textuels fournis par l'utilisateur,
- extraits de documents intégrés dans la Plateforme.
Données interdites ou déconseillées
La Plateforme n'est pas destinée au traitement de données sensibles (art. 9 RGPD). Les utilisateurs sont invités à ne pas saisir de données de santé, infractions, données RH sensibles, etc.
Sécurité
- chiffrement en transit (TLS 1.2+),
- journalisation interne sécurisée,
- stockage uniquement sur nos infrastructures (OVH / Azure),
- suppression ou conservation limitée selon les finalités.
Pas d'utilisation des données pour entraîner l'IA
Les modèles utilisés (OpenAI) sont configurés pour ne jamais utiliser les prompts ou données clients pour entraîner les modèles. RGPD START réalise également ses propres TIA pour chaque sous-traitant IA.
Transferts hors UE
Certains outils IA peuvent impliquer un transfert vers les États-Unis. Chaque transfert est encadré par :
- CCT,
- DPA,
- Data Privacy Framework (quand applicable),
- TIA réalisé par RGPD START.
Conformité & gouvernance de l'IA
Une IA supervisée, documentée et conforme au cadre européen. RGPD START applique une gouvernance stricte de ses fonctionnalités d'intelligence artificielle, conformément au RGPD et au futur cadre européen applicable aux systèmes d'IA.
Transparence
Nous vous informons systématiquement lorsqu'une fonctionnalité repose sur un système d'IA. Cette transparence est assurée via :
- la Politique d'utilisation de l'IA régulièrement mise à jour,
- les interfaces de la Plateforme,
- la documentation produit.
Vous pouvez consulter notre Politique d'utilisation de l'IA pour en savoir plus.
Documentation & maîtrise des risques
Nous tenons à jour une documentation complète permettant d'évaluer :
- le fonctionnement des modules IA,
- les catégories de données concernées,
- le niveau de risque associé,
- les mesures de réduction des risques mises en place.
Chaque fonctionnalité IA fait l'objet d'une analyse préalable garantissant un niveau de risque acceptable et un respect strict des réglementations applicables.
Surveillance après mise en production
Toutes les fonctionnalités IA sont testées avant leur mise à disposition. Une surveillance continue est ensuite assurée pour :
- vérifier leur bon fonctionnement,
- identifier d'éventuels risques,
- améliorer la stabilité, la sécurité et la pertinence des résultats.
Instructions d'usage
Chaque module IA est accompagné d'instructions claires permettant aux utilisateurs :
- d'appréhender ses capacités et ses limites,
- d'utiliser les résultats en connaissance de cause,
- de conserver un contrôle humain total sur les décisions.
Absence d'utilisation des données pour entraîner les modèles
Les données d'entrée et de sortie traitées par nos fonctionnalités IA : ne sont jamais utilisées par RGPD START pour entraîner des modèles, ne sont pas utilisées par nos fournisseurs pour l'entraînement ou l'amélioration de leurs modèles, conformément aux engagements contractuels applicables aux usages API.
Souveraineté & contrôle de vos données
Vous restez pleinement propriétaire de vos données
Vous demeurez à tout moment propriétaire des données que vous saisissez dans la Plateforme RGPD START. Ce principe est inscrit dans nos Conditions Générales.
Afin de vous fournir nos services, vous nous accordez un droit d'utilisation strictement limité, uniquement pour permettre : le fonctionnement de la Plateforme, l'exécution des prestations contractuelles, les traitements nécessaires à la conformité RGPD.
Ce droit n'autorise aucune réutilisation, aucune monétisation et aucun usage non prévu contractuellement.
Aucun partage non justifié
Vos données ne sont jamais partagées avec des tiers, hors sous-traitants essentiels au fonctionnement de la Plateforme et dûment encadrés contractuellement. Elles ne sont pas utilisées pour entraîner des modèles d'IA, ni par RGPD START ni par nos prestataires.
Restitution & réversibilité
En cas de fin de contrat, vous pouvez demander :
- l'export de vos données,
- la restitution des documents nécessaires,
- la suppression des données selon les obligations légales applicables.
RGPD START ne conserve aucune donnée au-delà de ce qui est strictement nécessaire.
Responsabilités & engagements
Une IA sous contrôle humain, avec responsabilités clairement réparties
Responsabilité RGPD START
Nous garantissons :
- supervision humaine systématique,
- respect strict des instructions du client (lorsque nous sommes sous-traitant),
- sécurité renforcée autour des prompts et résultats,
- transparence totale sur les outils utilisés,
- aucune réutilisation des données au-delà de la prestation.
Responsabilité du client
Le client demeure responsable :
- des données qu'il saisit dans l'IA,
- de l'absence de données sensibles non nécessaires,
- de la validation et vérification des résultats générés avant utilisation,
- de l'usage opérationnel des contenus produits.
Limitation de responsabilité
L'IA pouvant produire des approximations, les résultats générés doivent systématiquement être vérifiés avant toute utilisation. RGPD START ne peut être tenue responsable d'un usage non conforme ou non vérifié des contenus produits par l'IA.
FAQ — Intelligence Artificielle
1. L'IA prend-elle des décisions pour moi ?
Non. L'IA n'effectue aucune prise de décision automatisée : tout est supervisé et validé par un humain.
2. OpenAI utilise-t-il mes données pour entraîner son modèle ?
Non. Les données envoyées via nos intégrations ne sont pas utilisées pour l'entraînement.
3. Quelles données peuvent être traitées par l'IA ?
Des données professionnelles, des contenus textuels et des informations liées au projet RGPD. Les données sensibles ne doivent pas être saisies.
4. Où sont envoyées les données traitées par l'IA ?
Les prompts sont transmis de manière sécurisée à nos sous-traitants IA (principalement OpenAI). Certains traitements peuvent impliquer un transfert USA, toujours encadré.
5. Les résultats IA sont-ils stockés ?
Oui, uniquement lorsqu'ils sont validés par l'utilisateur ou par la juriste RGPD START.
6. Puis-je désactiver l'IA ?
Non. L'IA fait partie intégrante de la Plateforme et contribue à la qualité, cohérence et rapidité des livrables.