FR-CA
Politique de confidentialité
Introduction
Y4 Works Oy ("Suunta.ai", "nous" ou "notre") exploite la plateforme Suunta.ai, un service de planification stratégique propulsé par l'IA pour les entreprises. La présente Politique de confidentialité explique comment nous recueillons, utilisons, divulguons et protégeons vos renseignements personnels lorsque vous utilisez nos Services.
Suunta.ai est un service business-to-business (B2B). Cette Politique de confidentialité s'applique aux représentants de nos clients d'affaires et à leurs Utilisateurs autorisés.
Responsable du traitement : Y4 Works Oy, Business ID: 2978296-6, Finlande, Courriel : privacy@suunta.ai
1. Renseignements que nous recueillons
1.1 Renseignements que vous fournissez
Renseignements sur le compte
| Données | Requis | Finalité |
|---|---|---|
| Adresse courriel | Oui | Connexion au compte, communications |
| Prénom et nom | Non | Personnalisation |
| Numéro de téléphone | Non | Contact facultatif |
| Mot de passe | Oui* | Authentification |
| Photo de profil | Non | Personnalisation |
| Préférence linguistique | Oui (par défaut : finnois) | Localisation |
| Fuseau horaire | Oui (par défaut : Europe/Helsinki) | Affichage du temps |
| Détails supplémentaires du profil | Non | Personnalisation |
Les utilisateurs SSO s'authentifient via Google ou Microsoft et n'ont pas de mot de passe Suunta.ai.
Renseignements sur l'organisation
| Données | Requis | Finalité |
|---|---|---|
| Nom de l'organisation | Oui | Identification du compte |
| Pays | Oui (par défaut : Finlande) | Localisation, conformité |
| Ville | Non | Localisation |
| Secteur | Non | Personnalisation du service |
| Taille de l'organisation | Non | Personnalisation du service |
| Site Web | Non | Profil de l'organisation |
| Logo | Non | Image de marque |
| Détails du profil de l'organisation | Non | Personnalisation du service |
Données d'affaires
- Documents et plans stratégiques
- OKR (Objectifs et Résultats clés)
- KPI (Indicateurs clés de performance) et métriques
- Projets et tâches
- Documents pour analyse IA (sources RAG)
- Conversations de clavardage avec notre assistant IA
- Autres données d'affaires que vous soumettez
Ces données d'affaires sont traitées pour vous fournir nos Services.
1.2 Renseignements recueillis automatiquement
Données techniques
| Données | Finalité | Conservation |
|---|---|---|
| Adresse IP | Sécurité, prévention de la fraude | Écrasée lors d'une nouvelle connexion |
| User agent (navigateur/appareil) | Sécurité, gestion de session | Durée de la session |
| Horodatages de connexion | Audit de sécurité | Écrasés |
| Données de session | État d'authentification | 14-30 jours |
| Tentatives de connexion échouées | Protection contre le brute-force | Réinitialisées après une connexion réussie |
Données d'utilisation
| Données | Finalité | Conservation |
|---|---|---|
| Utilisation des fonctions d'IA (tokens, modèle, latence) | Facturation, analyses | 365 jours |
| Journaux d'activité (actions effectuées) | Traçabilité d'audit | 12-36 mois |
Important : Nous NE stockons pas vos prompts IA ni les réponses générées. Seules des métadonnées sur l'usage de l'IA (comme le nombre de tokens et les temps de réponse) sont consignées.
1.3 Renseignements provenant de tiers
Single Sign-On (SSO) Si vous vous connectez via Google ou Microsoft, nous recevons votre nom, votre adresse courriel et votre photo de profil du fournisseur SSO.
Renseignements de paiement Nous utilisons Stripe pour le traitement des paiements. Stripe collecte et traite directement les informations de votre carte. Nous recevons uniquement votre Stripe Customer ID et le statut de l'abonnement — jamais les détails de la carte.
Intégrations Si vous connectez des services tiers (Slack, Google Workspace, etc.), nous recevons les données nécessaires à l'intégration selon votre configuration.
2. Comment nous utilisons vos informations
| Finalité | Base juridique (RGPD) |
|---|---|
| Fourniture des Services (gestion de compte, fonctionnalités d'IA, stockage de données) | Exécution du contrat (Article 6(1)(b)) |
| Traitement des paiements et gestion des abonnements | Exécution du contrat |
| Envoi de courriels transactionnels (codes OTP, notifications) | Exécution du contrat |
| Assurer la sécurité et prévenir la fraude | Intérêt légitime (Article 6(1)(f)) |
| Tenir des journaux d'audit pour la conformité | Intérêt légitime / Obligation légale |
| Améliorer les Services (analyses agrégées) | Intérêt légitime |
| Répondre aux demandes d'assistance | Exécution du contrat |
| Se conformer aux obligations légales | Obligation légale (Article 6(1)(c)) |
Nous NE faisons PAS :
- Vendre vos renseignements personnels
- Utiliser vos données pour la publicité
- Partager vos données avec des courtiers en données
- Utiliser vos données d'affaires pour entraîner des modèles d'IA (sans consentement explicite)
3. Traitement des données d'IA
3.1 Fonctionnement des fonctionnalités d'IA
- Vos prompts et votre contexte sont envoyés à nos fournisseurs d'IA (Anthropic, OpenAI, Google, Mistral)
- Le fournisseur d'IA traite votre demande et renvoie une réponse
- Nous vous affichons la réponse
- Nous ne consignons que des métadonnées (tokens utilisés, temps de traitement, coût)
3.2 Ce que nous stockons
| Stocké | Non stocké |
|---|---|
| Historique des conversations (pour continuité) | Prompts IA envoyés aux fournisseurs |
| Métadonnées d'utilisation de l'IA (tokens, latence, coût) | Réponses des fournisseurs d'IA |
| Embeddings de documents (pour recherche) | Texte original du document après indexation |
3.3 Gestion des données par les fournisseurs d'IA
- OpenAI : indicateur store=False pour désactiver le stockage
- Anthropic : API standard sans entraînement sur les entrées
- Google Vertex AI : région UE lorsque disponible
- Mistral : fournisseur basé dans l'UE
Nous ne permettons pas à nos fournisseurs d'IA d'utiliser vos données pour l'entraînement des modèles.
3.4 RAG (Analyse de documents)
- Le texte est extrait de votre document
- Le texte est converti en embeddings vectoriels
- Le texte original est supprimé dans les 24 heures
- Les embeddings et les fragments de texte sont conservés pour la fonctionnalité de recherche
- La suppression d'une source retire toutes les données associées
4. Partage d'information
4.1 Fournisseurs de services (Sous-traitants)
| Fournisseur | Finalité | Lieu |
|---|---|---|
| AWS | Hébergement de l'infrastructure | UE (Stockholm) |
| Anthropic | Traitement IA | États-Unis |
| OpenAI | Traitement IA | États-Unis |
| Traitement IA | UE/États-Unis | |
| Mistral | Traitement IA | UE (France) |
| Stripe | Traitement des paiements | États-Unis/UE |
| Resend | Envoi de courriels | UE |
Pour la liste complète, voir notre Liste des sous-traitants à https://suunta.ai/legal/subprocessors.
4.2 Intégrations initiées par le Client
- Slack : messages, notifications selon la configuration
- Google Workspace : événements de calendrier, données de feuilles selon la configuration
- Zapier/Make : charges utiles de webhooks selon la configuration
Vous contrôlez quelles intégrations sont activées et quelles données sont partagées.
4.3 Exigences légales
- Pour se conformer à la loi applicable ou à un processus légal
- Pour répondre aux demandes légales des autorités publiques
- Pour protéger nos droits, la confidentialité, la sécurité ou la propriété
- Dans le cadre d'une fusion, acquisition ou vente d'actifs
4.4 Avec votre consentement
Nous pouvons partager des informations avec des tiers lorsque vous avez donné un consentement explicite.
5. Transferts internationaux
5.1 Où nous traitons les données. Le traitement principal a lieu dans l'UE (AWS Stockholm, eu-north-1). Le traitement IA peut avoir lieu aux États-Unis via des fournisseurs d'IA.
5.2 Garanties de transfert. Pour les transferts hors de l'EEE, nous nous appuyons sur les Clauses contractuelles types (SCC) approuvées par la Commission européenne, des mesures supplémentaires comme le chiffrement et les contrôles d'accès, et les certifications des fournisseurs (p. ex., SOC 2, ISO 27001).
6. Conservation des données
6.1 Périodes de conservation
| Type de données | Période de conservation |
|---|---|
| Comptes utilisateurs actifs | Durée d'utilisation |
| Comptes utilisateurs supprimés | Anonymisés immédiatement |
| Données de l'organisation | Jusqu'à la suppression de l'organisation + 90 jours (sauvegardes) |
| Métadonnées d'utilisation de l'IA | 365 jours |
| Journaux d'audit (standard) | 24 mois |
| Journaux d'audit (critiques) | 36 mois |
| Enregistrements de facturation | 6 ans (loi finlandaise) |
| Sauvegardes | 30 jours |
6.2 Suppression de compte
- Vos renseignements personnels sont anonymisés
- Votre adresse courriel est remplacée par un substitut
- Vos appartenances à l'organisation sont supprimées
- Vos sessions sont révoquées
- Les journaux d'audit sont conservés pour la conformité (avec ID d'acteur anonymisé)
6.3 Suppression de l'organisation
- Période de grâce de 30 jours (annulable)
- Toutes les données de l'organisation sont supprimées définitivement
- Les comptes utilisateurs demeurent mais perdent l'accès à l'organisation
- Une entrée d'audit de conformité immuable est créée
7. Vos droits
En vertu du RGPD, vous disposez des droits suivants et pouvez les exercer via Paramètres ou en contactant privacy@suunta.ai :
- Droit d'accès (Article 15) : Paramètres → Exporter les données
- Droit de rectification (Article 16) : Paramètres → Profil
- Droit à l'effacement (Article 17) : Paramètres → Supprimer le compte / Supprimer l'organisation
- Droit à la limitation (Article 18) : Courriel privacy@suunta.ai
- Droit à la portabilité des données (Article 20) : Paramètres → Exporter les données
- Droit d'opposition (Article 21) : Courriel privacy@suunta.ai
- Droit de retirer le consentement : Paramètres → Préférences marketing
Vous avez également le droit de déposer une plainte auprès d'une autorité de contrôle. En Finlande, il s'agit de :
Tietosuojavaltuutetun toimisto
Lintulahdenkuja 4, 00530 Helsinki
tietosuoja@om.fi
Pour le Québec, vous pouvez contacter la Commission d'accès à l'information (CAI).
8. Cookies et technologies similaires
8.1 Cookies que nous utilisons
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
| session | Essentiel | Authentification | 14-30 jours |
8.2 Ce que nous n'utilisons pas
- Google Analytics
- Facebook Pixel
- Cookies marketing
- Cookies de suivi tiers
8.3 Stockage local
| Clé | Finalité |
|---|---|
| sidebarCollapsed | Préférence d'interface |
| theme | Thème d'affichage |
| userTimezone | Affichage du temps |
8.4 Scripts tiers
- Stripe (js.stripe.com) : traitement des paiements
- Google Fonts : typographie
- Font Awesome : icônes
Ces services peuvent définir leurs propres cookies. Consultez leurs politiques de confidentialité.
9. Sécurité
9.1 Mesures techniques
- Chiffrement : TLS 1.2+ en transit, AES-256 au repos
- Sécurité des mots de passe : hachage PBKDF2-SHA256
- Sécurité des sessions : cookies HttpOnly, Secure, SameSite
- Contrôle d'accès : basé sur les rôles, isolation par organisation
9.2 Mesures organisationnelles
- Obligations de confidentialité pour le personnel
- Formation à la sécurité
- Procédures de réponse aux incidents
- Évaluations de sécurité régulières
9.3 Vos responsabilités
- Gardez votre mot de passe sécuritaire
- Utilisez un mot de passe fort et unique
- Signalez immédiatement toute activité suspecte
- Déconnectez-vous sur les appareils partagés
10. Protection des enfants
Suunta.ai est un service B2B destiné aux professionnels. Les Services ne sont pas destinés aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de renseignements personnels auprès d'enfants.
11. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Nous vous aviserons des changements importants par courriel au moins 30 jours avant leur entrée en vigueur et par un avis bien visible sur notre site Web. L'utilisation continue des Services après ces changements constitue une acceptation.
12. Nous contacter
Pour toute question liée à la confidentialité ou pour exercer vos droits : Y4 Works Oy (Suunta.ai), Courriel : privacy@suunta.ai. Pour les demandes générales : team@suunta.ai.
13. Informations supplémentaires pour les utilisateurs de l'EEE
13.1 Résumé des bases juridiques
| Activité de traitement | Base juridique |
|---|---|
| Gestion de compte | Contrat |
| Prestation du service | Contrat |
| Traitement des paiements | Contrat |
| Courriels transactionnels | Contrat |
| Mesures de sécurité | Intérêt légitime |
| Journaux d'audit | Intérêt légitime / Obligation légale |
| Marketing (si consentement) | Consentement |
13.2 Responsable de la protection des données
En tant que petite entreprise, nous n'avons pas nommé de DPO formel. Pour les questions de protection des données, contactez : privacy@suunta.ai.
13.3 Prise de décision automatisée
Nous ne prenons pas de décisions automatisées produisant des effets juridiques ou similaires. Les fonctionnalités d'IA fournissent des recommandations et des analyses, mais les décisions finales sont prises par vous.