FR
Politique de confidentialité
Introduction
Y4 Works Oy ("Suunta.ai", "nous", "notre" ou "nos") exploite la plateforme Suunta.ai, un service de planification stratégique alimenté par l'IA pour les entreprises. Cette Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations personnelles lorsque vous utilisez nos Services.
Suunta.ai est un service entre entreprises (B2B). Cette Politique de confidentialité s'applique aux représentants de nos clients professionnels et à leurs utilisateurs autorisés.
Responsable du traitement : Y4 Works Oy, Numéro d'entreprise : 2978296-6, Finlande, Courriel : privacy@suunta.ai
1. Informations que nous collectons
1.1 Informations que vous fournissez
Informations de compte
| Données | Requis | Objectif |
|---|---|---|
| Adresse électronique | Oui | Connexion au compte, communications |
| Prénom et nom | Non | Personnalisation |
| Numéro de téléphone | Non | Contact optionnel |
| Mot de passe | Oui* | Authentification |
| Photo de profil | Non | Personnalisation |
| Préférence linguistique | Oui (par défaut : Finnois) | Localisation |
| Fuseau horaire | Oui (par défaut : Europe/Helsinki) | Affichage de l'heure |
| Détails de profil supplémentaires | Non | Personnalisation |
Les utilisateurs SSO s'authentifient via Google ou Microsoft et n'ont pas de mot de passe Suunta.ai.
Informations sur l'organisation
| Données | Requis | Objectif |
|---|---|---|
| Nom de l'organisation | Oui | Identification du compte |
| Pays | Oui (par défaut : Finlande) | Localisation, conformité |
| Ville | Non | Localisation |
| Secteur d'activité | Non | Personnalisation du service |
| Taille de l'organisation | Non | Personnalisation du service |
| Site web | Non | Profil de l'organisation |
| Logo | Non | Image de marque |
| Détails du profil de l'organisation | Non | Personnalisation du service |
Données commerciales
- Documents et plans stratégiques
- OKRs (Objectifs et Résultats Clés)
- KPIs (Indicateurs Clés de Performance) et métriques
- Projets et tâches
- Documents pour l'analyse IA (sources RAG)
- Conversations de chat avec notre assistant IA
- Autres données commerciales soumises par vous
Ces données commerciales sont traitées pour vous fournir nos Services.
1.2 Informations collectées automatiquement
Données techniques
| Données | Objectif | Rétention |
|---|---|---|
| Adresse IP | Sécurité, prévention de la fraude | Écrasée lors de la nouvelle connexion |
| User agent (navigateur/appareil) | Sécurité, gestion de session | Durée de la session |
| Horodatages de connexion | Audit de sécurité | Écrasés |
| Données de session | État d'authentification | 14-30 jours |
| Tentatives de connexion échouées | Protection contre la force brute | Réinitialisées lors de la connexion réussie |
Données d'utilisation
| Données | Objectif | Rétention |
|---|---|---|
| Utilisation des fonctionnalités IA (tokens, modèle, latence) | Facturation, analyses | 365 jours |
| Journaux d'activité (actions effectuées) | Piste d'audit | 12-36 mois |
Important : Nous ne stockons PAS vos invites IA ou réponses générées par l'IA. Seules les métadonnées sur l'utilisation de l'IA (telles que les comptes de tokens et les temps de réponse) sont enregistrées.
1.3 Informations provenant de tiers
Authentification unique (SSO) Si vous vous connectez via Google ou Microsoft, nous recevons votre nom, votre adresse électronique et votre photo de profil du fournisseur SSO.
Informations de paiement Nous utilisons Stripe pour le traitement des paiements. Stripe collecte et traite directement vos informations de carte de paiement. Nous recevons uniquement votre ID client Stripe et le statut d'abonnement—jamais vos détails de carte.
Intégrations Si vous connectez des services tiers (Slack, Google Workspace, etc.), nous recevons les données nécessaires pour l'intégration telles que configurées par vous.
2. Comment nous utilisons vos informations
| Objectif | Base légale (RGPD) |
|---|---|
| Fournir les Services (gestion de compte, fonctionnalités IA, stockage de données) | Exécution du contrat (Article 6(1)(b)) |
| Traiter les paiements et gérer les abonnements | Exécution du contrat |
| Envoyer des courriels transactionnels (codes OTP, notifications) | Exécution du contrat |
| Assurer la sécurité et prévenir la fraude | Intérêt légitime (Article 6(1)(f)) |
| Maintenir les journaux d'audit pour la conformité | Intérêt légitime / Obligation légale |
| Améliorer les Services (analyses agrégées) | Intérêt légitime |
| Répondre aux demandes de support | Exécution du contrat |
| Se conformer aux obligations légales | Obligation légale (Article 6(1)(c)) |
Nous ne faisons PAS :
- Vendre vos informations personnelles
- Utiliser vos données pour la publicité
- Partager vos données avec des courtiers en données
- Utiliser vos données commerciales pour former des modèles IA (sans consentement explicite)
3. Traitement des données IA
3.1 Comment fonctionnent les fonctionnalités IA
- Vos invites et contexte sont envoyés à nos fournisseurs IA (Anthropic, OpenAI, Google, Mistral)
- Le fournisseur IA traite votre demande et renvoie une réponse
- Nous affichons la réponse pour vous
- Nous enregistrons uniquement les métadonnées (tokens utilisés, temps de traitement, coût)
3.2 Ce que nous stockons
| Stocké | Non stocké |
|---|---|
| Historique des conversations de chat (pour la continuité) | Invites IA brutes envoyées aux fournisseurs |
| Métadonnées d'utilisation IA (tokens, latence, coût) | Réponses des fournisseurs IA |
| Intégrations de documents (pour la recherche) | Texte original du document après l'indexation |
3.3 Gestion des données des fournisseurs IA
- OpenAI : drapeau store=False pour désactiver le stockage
- Anthropic : API standard sans formation sur les entrées
- Google Vertex AI : région UE lorsque disponible
- Mistral : fournisseur basé dans l'UE
Nous ne permettons pas à nos fournisseurs IA d'utiliser vos données pour la formation de modèles.
3.4 RAG (Analyse de documents)
- Le texte est extrait de votre document
- Le texte est converti en intégrations vectorielles
- Le texte original est effacé dans les 24 heures
- Les intégrations et fragments de texte sont conservés pour la fonctionnalité de recherche
- La suppression d'une source supprime toutes les données associées
4. Partage d'informations
4.1 Fournisseurs de services (Sous-traitants)
| Fournisseur | Objectif | Localisation |
|---|---|---|
| AWS | Hébergement d'infrastructure | UE (Stockholm) |
| Anthropic | Traitement IA | USA |
| OpenAI | Traitement IA | USA |
| Traitement IA | UE/USA | |
| Mistral | Traitement IA | UE (France) |
| Stripe | Traitement des paiements | USA/UE |
| Resend | Livraison d'emails | UE |
Pour la liste complète, consultez notre Liste des sous-traitants à https://suunta.ai/legal/subprocessors.
4.2 Intégrations initiées par le client
- Slack : Messages, notifications telles que configurées
- Google Workspace : Événements de calendrier, données de feuille de calcul telles que configurées
- Zapier/Make : Charges utiles de webhook telles que configurées
Vous contrôlez quelles intégrations sont activées et quelles données sont partagées.
4.3 Exigences légales
- Pour se conformer à la loi applicable ou à la procédure légale
- Pour répondre aux demandes légales des autorités publiques
- Pour protéger nos droits, confidentialité, sécurité ou propriété
- En relation avec une fusion, acquisition ou vente d'actifs
4.4 Avec votre consentement
Nous pouvons partager des informations avec des tiers lorsque vous avez donné un consentement explicite.
5. Transferts internationaux
5.1 Où nous traitons les données. Le traitement principal se produit dans l'UE (AWS Stockholm, eu-north-1). Le traitement IA peut se produire aux États-Unis via les fournisseurs IA.
5.2 Garanties de transfert. Pour les transferts vers des pays sans décision d'adéquation de l'UE, nous nous appuyons sur les Clauses contractuelles types (CCT) approuvées par la Commission européenne, des mesures supplémentaires incluant le chiffrement et les contrôles d'accès, et les certifications des fournisseurs (par exemple, SOC 2, ISO 27001).
6. Rétention des données
6.1 Périodes de rétention
| Type de données | Période de rétention |
|---|---|
| Comptes utilisateur actifs | Durée d'utilisation |
| Comptes utilisateur supprimés | Anonymisés immédiatement |
| Données d'organisation | Jusqu'à la suppression de l'organisation + 90 jours (sauvegardes) |
| Métadonnées d'utilisation IA | 365 jours |
| Journaux d'audit (standard) | 24 mois |
| Journaux d'audit (critiques) | 36 mois |
| Enregistrements de facturation | 6 ans (droit finlandais) |
| Sauvegardes | 30 jours |
6.2 Suppression de compte
- Vos informations personnelles sont anonymisées
- Votre adresse électronique est remplacée par un espace réservé
- Vos adhésions à l'organisation sont supprimées
- Vos sessions sont révoquées
- Les journaux d'audit sont conservés pour la conformité (avec ID d'acteur anonymisé)
6.3 Suppression d'organisation
- Période de grâce de 30 jours (annulable)
- Toutes les données de l'organisation sont définitivement supprimées
- Les comptes utilisateur restent mais perdent l'accès à l'organisation
- Une entrée de journal d'audit de conformité immuable est créée
7. Vos droits
En vertu du RGPD, vous avez les droits suivants et pouvez les exercer via Paramètres ou en contactant privacy@suunta.ai :
- Droit d'accès (Article 15) : Paramètres → Exporter les données
- Droit de rectification (Article 16) : Paramètres → Profil
- Droit à l'effacement (Article 17) : Paramètres → Supprimer le compte / Supprimer l'organisation
- Droit à la limitation (Article 18) : Courriel privacy@suunta.ai
- Droit à la portabilité des données (Article 20) : Paramètres → Exporter les données
- Droit d'opposition (Article 21) : Courriel privacy@suunta.ai
- Droit de retirer le consentement : Paramètres → Préférences marketing
Vous avez également le droit de déposer une plainte auprès d'une autorité de contrôle. En France, c'est :
CNIL
3 Place de Fontenoy, 75007 Paris
-
8. Cookies et technologies similaires
8.1 Cookies que nous utilisons
| Cookie | Type | Objectif | Durée |
|---|---|---|---|
| session | Essentiel | Authentification | 14-30 jours |
8.2 Ce que nous n'utilisons pas
- Google Analytics
- Facebook Pixel
- Cookies marketing
- Cookies de suivi tiers
8.3 Stockage local
| Clé | Objectif |
|---|---|
| sidebarCollapsed | Préférence UI |
| theme | Thème d'affichage |
| userTimezone | Affichage de l'heure |
8.4 Scripts tiers
- Stripe (js.stripe.com) : Traitement des paiements
- Google Fonts : Typographie
- Font Awesome : Icônes
Ces services peuvent définir leurs propres cookies. Consultez leurs politiques de confidentialité respectives.
9. Sécurité
9.1 Mesures techniques
- Chiffrement : TLS 1.2+ en transit, AES-256 au repos
- Sécurité des mots de passe : hachage PBKDF2-SHA256
- Sécurité de session : cookies HttpOnly, Secure, SameSite
- Contrôle d'accès : basé sur les rôles, isolé par organisation
9.2 Mesures organisationnelles
- Obligations de confidentialité pour le personnel
- Formation à la sensibilisation à la sécurité
- Procédures de réponse aux incidents
- Évaluations de sécurité régulières
9.3 Vos responsabilités
- Gardez votre mot de passe sécurisé
- Utilisez un mot de passe fort et unique
- Signalez immédiatement toute activité suspecte
- Déconnectez-vous sur les appareils partagés
10. Confidentialité des enfants
Suunta.ai est un service B2B destiné aux professionnels. Les Services ne sont pas destinés aux personnes de moins de 18 ans. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants.
11. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Nous vous informerons des modifications importantes par notification par courriel au moins 30 jours avant l'entrée en vigueur des modifications et par un avis proéminent sur notre site web. L'utilisation continue des Services après les modifications constitue une acceptation.
12. Contactez-nous
Pour les questions liées à la confidentialité ou pour exercer vos droits : Y4 Works Oy (Suunta.ai), Courriel : privacy@suunta.ai. Pour les demandes générales : team@suunta.ai.
13. Informations supplémentaires pour les utilisateurs de l'EEE
13.1 Résumé de la base légale
| Activité de traitement | Base légale |
|---|---|
| Gestion de compte | Contrat |
| Livraison de service | Contrat |
| Traitement des paiements | Contrat |
| Courriels transactionnels | Contrat |
| Mesures de sécurité | Intérêt légitime |
| Journalisation d'audit | Intérêt légitime / Obligation légale |
| Marketing (si opté) | Consentement |
13.2 Délégué à la protection des données
En tant que petite entreprise, nous n'avons pas nommé de DPO formel. Pour les demandes de protection des données, contactez : privacy@suunta.ai.
13.3 Prise de décision automatisée
Nous ne prenons pas de décisions automatisées qui produisent des effets juridiques ou vous affectent de manière similaire. Les fonctionnalités IA fournissent des recommandations et des analyses, mais les décisions finales sont prises par vous.