ISMS Copilot
Sécurité

Confidentialité des données et conformité au RGPD - Mise à jour

Vue d'ensemble

ISMS Copilot est pleinement conforme au Règlement Général sur la Protection des Données (RGPD) et respecte des principes stricts en matière de confidentialité des données. Cet article explique vos droits en matière de vie privée, comment nous traitons vos données, et les contrôles dont vous disposez sur vos informations.

À qui cela s'adresse

Cet article est destiné à :

  • Utilisateurs basés dans l'UE soucieux de la conformité au RGPD

  • Délégués à la protection des données évaluant ISMS Copilot

  • Consultants en conformité gérant des données clients sous RGPD

  • Toute personne souhaitant comprendre ses droits en matière de vie privée

Présentation de la conformité au RGPD

Comment ISMS Copilot répond aux exigences du RGPD

Minimisation des données (Article 5(1)(c))

ISMS Copilot collecte uniquement les données minimales nécessaires pour fournir le service :

  • Adresse e-mail pour l'identification du compte, l'authentification et les communications essentielles

  • Identifiants d'authentification (mots de passe hachés ou jetons OAuth)

  • Historique des conversations pour fournir des réponses IA contextualisées

  • Documents téléchargés pour analyse et évaluation des écarts de conformité

  • Métadonnées d'utilisation pour la facturation et l'amélioration du service

  • Données d'engagement par e-mail (ouvertures, clics) pour les e-mails d'intégration et de mise à jour produit (les utilisateurs peuvent se désabonner)

ISMS Copilot ne collecte pas d'informations personnelles inutiles telles que numéros de téléphone, adresses ou données démographiques. Seules les données essentielles à la prestation du service sont stockées.

Limitation de la finalité (Article 5(1)(b))

Vos données sont utilisées exclusivement pour :

  • Fournir une assistance à la conformité basée sur l'IA

  • Gérer votre compte et votre abonnement

  • Améliorer la performance et la fiabilité du service

  • Respecter les obligations légales

ISMS Copilot n'utilise jamais vos données pour le marketing, la publicité ou la vente à des tiers. Vos conversations et documents téléchargés ne sont jamais utilisés pour entraîner les modèles IA.

Limitation de la conservation (Article 5(1)(e))

Vous avez un contrôle complet sur la durée de conservation de vos données :

  • Définissez des périodes de conservation de 1 jour à 7 ans, ou à vie

  • Suppression automatique quotidienne des données expirées

  • Demandez la suppression immédiate du compte et des données à tout moment

Protection des données dès la conception (Article 25)

La sécurité et la confidentialité sont intégrées à chaque fonctionnalité d'ISMS Copilot :

  • Chiffrement de bout en bout pour toutes les données

  • Sécurité au niveau des lignes empêchant tout accès non autorisé

  • Isolation des espaces de travail pour séparer les données clients

  • Authentification sécurisée avec support OAuth

Vos droits RGPD

Droit d'accès (Article 15)

Vous avez le droit d'accéder à toutes vos données personnelles stockées dans ISMS Copilot.

Ce que vous pouvez consulter :

  • Informations de votre compte (e-mail, paramètres)

  • Tout l'historique des conversations dans les espaces de travail

  • Documents et fichiers téléchargés

  • Métadonnées d'utilisation et horodatages

Comment accéder à vos données :

  1. Connectez-vous à votre compte ISMS Copilot

  2. Naviguez dans vos espaces de travail pour voir les conversations

  3. Consultez les fichiers téléchargés dans chaque fil de conversation

  4. Pour une exportation complète des données, contactez le support via le Centre d'aide

Droit de rectification (Article 16)

Vous pouvez mettre à jour ou corriger vos informations personnelles à tout moment.

Comment mettre à jour vos informations :

  1. Cliquez sur l'icône du menu utilisateur (en haut à droite)

  2. Sélectionnez Paramètres

  3. Votre adresse e-mail est affichée (pour la modifier, contactez le support)

  4. Modifiez vos préférences de conservation des données

  5. Cliquez sur Enregistrer les paramètres

Résultat attendu : La fenêtre des paramètres se ferme et vos modifications sont enregistrées immédiatement.

Droit à l'effacement / « Droit à l'oubli » (Article 17)

Vous pouvez demander la suppression complète de votre compte et de toutes les données associées.

Comment supprimer vos données :

  1. Cliquez sur l'icône du menu utilisateur

  2. Sélectionnez Centre d'aideContacter le support

  3. Soumettez une demande de suppression de données

  4. Le support vérifiera votre identité et confirmera la demande

  5. Toutes les données sont supprimées définitivement sous 30 jours

La suppression du compte est définitive et irréversible. Tous les espaces de travail, conversations, fichiers téléchargés et paramètres du compte seront effacés définitivement. Veillez à exporter les données nécessaires avant de demander la suppression.

Ce qui est supprimé :

  • Votre compte et adresse e-mail

  • Tous les espaces de travail et historiques de conversation

  • Tous les documents et fichiers téléchargés

  • Instructions personnalisées des espaces de travail

  • Métadonnées et journaux d'utilisation

Ce qui peut être conservé :

  • Factures anonymisées (exigées pour conformité fiscale et comptable)

  • Données analytiques anonymisées (sans informations personnelles identifiables)

Droit à la portabilité des données (Article 20)

Vous avez le droit de recevoir vos données dans un format structuré, lisible par machine.

Comment exporter vos données :

  1. Contactez le support via le Centre d'aide

  2. Demandez une exportation de données

  3. Le support fournira vos données au format JSON comprenant :

    • Informations du compte

    • Historique des conversations

    • Configurations des espaces de travail

    • Métadonnées des fichiers téléchargés

  4. Téléchargez le fichier d'export pour utilisation dans d'autres systèmes

Les exportations de données sont généralement fournies sous 72 heures. Pour les comptes volumineux avec un grand historique, cela peut prendre jusqu'à 5 jours ouvrables.

Droit de restreindre le traitement (Article 18)

Vous pouvez demander la suspension temporaire du traitement des données pendant la résolution de litiges.

Quand pouvez-vous restreindre le traitement :

  • Vous contestez l'exactitude des données personnelles

  • Le traitement est illégal mais vous ne souhaitez pas la suppression des données

  • Vous avez besoin des données pour des réclamations légales

  • Vous vous êtes opposé au traitement en attendant la vérification

Comment demander une restriction :

  1. Contactez le support via le Centre d'aide

  2. Expliquez la raison de la restriction

  3. Le support examinera et appliquera les restrictions appropriées

Droit d'opposition (Article 21)

Vous pouvez vous opposer à certains types de traitement des données.

À quoi pouvez-vous vous opposer :

  • Traitement pour le marketing direct (ISMS Copilot ne réalise pas de traitement marketing)

  • Traitement fondé sur des intérêts légitimes

  • Prise de décision automatisée (non utilisée actuellement par ISMS Copilot)

Comment s'opposer :

  1. Contactez le support via le Centre d'aide

  2. Précisez le traitement auquel vous vous opposez

  3. Le support étudiera et répondra dans les 30 jours

Détails du traitement des données

Base légale du traitement

ISMS Copilot traite vos données sur les bases légales suivantes :

Exécution du contrat (Article 6(1)(b))

  • Traitement nécessaire pour fournir le service de conformité IA

  • Gestion de votre compte et abonnement

  • Fourniture des fonctionnalités demandées

Intérêts légitimes (Article 6(1)(f))

  • Amélioration de la performance et fiabilité du service

  • Détection et prévention de fraudes ou abus

  • Garantir la sécurité du système

  • Envoi de mises à jour produit et guides d'intégration pour améliorer l'expérience

Obligation légale (Article 6(1)(c))

  • Conservation des factures pour conformité fiscale

  • Réponses aux demandes légales des autorités

Transferts de données

Résidence des données dans l'UE

Tous les stockage de bases de données ISMS Copilot se fait exclusivement dans l'Union européenne :

  • Stockage principal : AWS Francfort, Allemagne

  • Fournisseur de base de données : Supabase (région UE)

  • Historique des conversations : Stocké dans l'UE indépendamment du fournisseur IA

Emplacement du traitement IA (contrôlé par l'utilisateur)

Le lieu de traitement IA dépend de votre configuration du mode de protection avancée des données :

  • Protection des données avancée désactivée (par défaut) : Traitement IA aux États-Unis via xAI/OpenAI avec conservation de 30 jours

  • Protection des données avancée activée : Traitement 100 % UE via Mistral AI avec conservation zéro

Lorsque le mode de protection avancée est activé, le traitement principal (stockage base de données et IA) a lieu dans l'UE sans retention par le fournisseur IA. Notez que les communications e-mail sont toujours gérées par des fournisseurs américains avec clauses contractuelles types.

En mode par défaut, bien que le stockage base de données reste dans l'UE, le contenu des conversations est envoyé aux fournisseurs IA américains (xAI/OpenAI) pour traitement. Ces fournisseurs conservent les données 30 jours mais ne les utilisent pas pour l'entraînement des modèles IA.

Sous-traitants tiers

Les services tiers suivants ont un accès limité aux données :

Fournisseurs de traitement IA (configurable par l'utilisateur avec basculement automatique)

Vous pouvez choisir quel fournisseur IA traite vos conversations via le mode de protection avancée et la sélection du fournisseur IA. ISMS Copilot inclut plusieurs options de modèles IA et un basculement automatique pour assurer la continuité du service en cas de panne :

  • Mode par défaut (protection avancée désactivée) : Anthropic Claude (chat), xAI Grok-3 (génération de documents) et OpenAI GPT (détection) avec basculement vers Mistral

    • Localisation : États-Unis (avec basculement UE)

    • Conservation : 30 jours (cache temporaire) ; conservation zéro en basculement Mistral

    • Entraînement : les données API ne sont PAS utilisées pour entraîner les modèles IA

    • Usage : travaux standards de conformité avec fiabilité renforcée

    • Basculement automatique : En cas de panne OpenAI, vos requêtes sont automatiquement redirigées vers Mistral AI (basé en UE, sans conservation) sans interruption de service

  • Mode protection avancée (activé) : Mistral AI

    • Localisation : Union européenne

    • Conservation : zéro (pas de conservation)

    • Entraînement : NON utilisé pour l'entraînement IA

    • Usage : confidentialité maximale, exigences de souveraineté des données en UE

Mise à jour de décembre 2025 : Le basculement automatique assure la continuité même lors de pannes OpenAI. En basculement, le traitement se fait automatiquement via Mistral en UE sans conservation.

Les organisations avec exigences strictes de résidence des données UE peuvent activer ce mode pour garantir un traitement 100 % UE sans conservation par le fournisseur IA. Découvrez comment activer cette fonction.

Autres services tiers

  • Stripe (traitement des paiements) : informations de paiement et facturation uniquement. Conforme RGPD avec accord de traitement des données UE.

  • PostHog (analytics) : données d'usage anonymisées uniquement. Hébergé en UE. Aucune conversation personnelle ni document partagé.

  • Sentry (surveillance des erreurs) : journaux d'erreurs, traces de pile et identifiants utilisateurs (UUID uniquement en production) pour dépannage. Basé en Allemagne. Adresses e-mail, contenu des conversations et autres données personnelles filtrés avant envoi.

  • Communications e-mail : SendGrid et Kit gèrent les e-mails transactionnels, mises à jour légales et séquences d'intégration. Basés aux États-Unis avec clauses contractuelles types. Les utilisateurs peuvent se désabonner des e-mails non essentiels.

Mode de protection avancée des données

ISMS Copilot vous permet de contrôler où vos conversations IA sont traitées et la durée de conservation des données par les fournisseurs IA.

Deux options de traitement :

  1. Mode par défaut (protection avancée désactivée) : xAI/OpenAI traitent les conversations aux États-Unis avec conservation 30 jours

  2. Mode UE uniquement (protection avancée activée) : Mistral AI traite les conversations en UE sans conservation

Quand activer la protection avancée :

  • Votre organisation a des exigences obligatoires de résidence des données UE

  • Vous traitez des données clients très sensibles

  • La conformité RGPD exige de minimiser les transferts hors UE

  • Les contrats clients interdisent le traitement aux États-Unis

  • Vous souhaitez une confidentialité maximale avec conservation zéro des données IA

Les consultants en conformité travaillant avec des clients européens devraient envisager d'activer ce mode pour respecter les strictes exigences de souveraineté. Découvrez comment configurer ce paramètre.

Distinction importante :

La protection avancée contrôle la conservation par le fournisseur IA (30 jours vs zéro). La conservation de l'historique ISMS Copilot est gérée séparément via vos paramètres utilisateur (1 jour à 7 ans). Ces paramètres fonctionnent indépendamment.

Transferts internationaux de données

L'approche ISMS Copilot dépend de votre configuration :

Traitement principal des données

  • Stockage base de données : toujours en UE (Francfort, Allemagne)

  • Traitement IA : UE ou US selon mode protection avancée

  • Analytique : points de terminaison UE uniquement (PostHog UE, Sentry Allemagne)

  • Conversion de fichiers : point de terminaison UE (ConvertAPI)

ISMS Copilot a réalisé une évaluation d'impact des transferts (TIA) pour les transferts vers les États-Unis. Les organisations peuvent s'appuyer sur cette évaluation ou réaliser la leur. Consultez notre Évaluation d'Impact des Transferts pour plus de détails.

Communications e-mail (basées aux US avec garanties)

Les adresses e-mail et données d'engagement sont transférées aux fournisseurs américains (SendGrid et Kit) pour les e-mails transactionnels, mises à jour légales et séquences d'intégration. Ces transferts sont protégés par des Clauses Contractuelles Types approuvées par la Commission européenne.

Les utilisateurs peuvent se désabonner des e-mails non essentiels à tout moment pour minimiser les transferts. Les notifications de service essentielles (alertes sécurité, modifications de compte) peuvent être envoyées selon la loi ou contrat.

Pour les organisations avec exigences strictes de résidence UE uniquement, vous devriez :

  • Activer le mode de protection avancée pour garder le traitement IA dans l'UE (élimine les besoins de TIA pour l'IA)

  • Se désabonner des e-mails marketing/produits pour minimiser les transferts US

  • Documenter les transferts restants dans vos registres de traitement de données

  • Consulter notre Évaluation d'Impact des Transferts pour comprendre les garanties

Périodes de conservation des données

Données actives

  • Historique des conversations : selon votre période définie (1 jour à 7 ans ou à vie)

  • Documents téléchargés : identique à l'historique

  • Informations de compte : conservées tant que le compte est actif

Après suppression du compte

  • Données personnelles : supprimées sous 30 jours

  • Factures anonymisées : 7 ans (exigence fiscale)

  • Données de sauvegarde : écrasées sous 90 jours

Fonctionnalités Privacy by Design

Mode de réduction des PII (Informations Personnelles Identifiables)

ISMS Copilot offre une suppression automatique des PII pour protéger les données sensibles avant traitement IA. Activé, le système détecte et masque les motifs PII courants dans vos messages et documents téléchargés.

Ce qui est masqué :

  • Noms personnels (ex. "John Smith" → "[REDACTED_NAME]")

  • Noms d’entreprises et d’organisations

  • Adresses e-mail (ex. "[email protected]" → "[REDACTED_EMAIL]")

  • Numéros de téléphone sous divers formats

Comment activer la réduction des PII :

  1. Allez dans Paramètres → Confidentialité ou Protection des données

  2. Activez "Activer la réduction des PII"

  3. Lisez la confirmation expliquant les limites basées sur des motifs

  4. Cherchez l'icône de bouclier vert dans votre saisie de chat pour confirmer l'activation

Quand la réduction PII est active, une icône de bouclier vert apparaît dans la saisie de chat comme confirmation visuelle du masquage.

Limitations importantes :

  • Détection basée sur des motifs : utilise des expressions régulières et peut ne pas détecter toutes les informations sensibles

  • Pas 100 % fiable : certains PII peuvent passer, certains textes légitimes peuvent être masqués

  • Pas un substitut à la minimisation des données : vérifiez toujours les données avant téléchargement et évitez d'inclure des PII inutiles

  • Appliqué avant traitement IA : le masquage se fait avant que les données n'atteignent les fournisseurs IA

La réduction PII améliore la confidentialité mais ne garantit pas une anonymisation complète. Vérifiez toujours les résultats selon les normes officielles et évitez de télécharger des données personnelles inutiles. Cette couche s'ajoute à la minimisation des données.

Cas d'utilisation :

  • Traitement de rapports d'audit clients contenant des noms d'employés

  • Analyse des politiques de conformité avec informations de contact

  • Travail sur les politiques RH ou rapports d'incidents

  • Protection privacy supplémentaire en mode protection avancée des données

Combinaison avec protection avancée des données :

Pour une confidentialité maximale, activez les deux :

  • Réduction des PII : masque les données personnelles avant traitement IA

  • Mode de protection avancée : garantit un traitement uniquement en UE sans conservation IA

Ces fonctionnalités offrent ensemble une forte protection pour les travaux sensibles de conformité.

Isolation des espaces de travail

Les espaces de travail assurent une séparation des données pour les scénarios multi-clients :

  • Chaque espace de travail conserve son propre historique de conversations

  • Les fichiers téléchargés sont liés à des espaces spécifiques

  • Les instructions personnalisées sont propres à l’espace de travail

  • La suppression d’un espace supprime toutes les données associées

Les consultants en conformité devraient créer des espaces séparés pour chaque client. Cela garantit l'isolation des données clients et facilite la conformité aux obligations de confidentialité.

Aucun partage de données inter-utilisateurs

ISMS Copilot applique des frontières strictes aux données :

  • Les utilisateurs ne peuvent pas accéder aux données d’autres utilisateurs

  • Les réponses IA sont générées indépendamment pour chaque utilisateur

  • Les requêtes base de données sont automatiquement filtrées par identifiant utilisateur authentifié

  • Les administrateurs système respectent aussi le principe du moindre privilège

Pas d'entraînement IA sur données utilisateur

Vos données sensibles de conformité ne sont jamais utilisées pour entraîner l'IA :

  • Les conversations ne sont pas stockées par OpenAI ou autres fournisseurs IA

  • Les documents téléchargés restent confidentiels

  • Les informations clients ne contribuent pas à l’amélioration des modèles

  • Chaque conversation est traitée isolément

Cela différencie ISMS Copilot des outils IA généralistes comme ChatGPT gratuit qui peuvent utiliser les conversations pour entraîner l’IA. ISMS Copilot garantit la confidentialité totale de vos données de conformité.

Demandes des personnes concernées

Comment soumettre une demande RGPD

  1. Cliquez sur l’icône du menu utilisateur (en haut à droite)

  2. Sélectionnez Centre d’aideContacter le support

  3. Décrivez clairement votre demande :

    • "Je demande l’accès à toutes mes données personnelles selon l’article 15 du RGPD"

    • "Je demande la suppression de mon compte selon l’article 17 du RGPD"

    • "Je demande une exportation de mes données selon l’article 20 du RGPD"

  4. Le support vérifiera votre identité et traitera la demande

Délais de réponse

ISMS Copilot répond aux demandes RGPD selon les délais réglementaires :

  • Accusé de réception : sous 24 à 48 heures

  • Demandes d’accès : sous 30 jours (habituellement sous 72 heures)

  • Demandes de suppression : sous 30 jours

  • Portabilité des données : sous 30 jours (habituellement sous 72 heures)

  • Demandes de rectification : immédiates pour champs modifiables par utilisateur ; sous 30 jours pour les autres

Si un délai doit être prolongé (ex. pour demandes complexes), vous serez informé sous 30 jours avec explication et date estimée de traitement.

Vérification d’identité

Pour protéger vos données contre les accès non autorisés, ISMS Copilot peut vérifier votre identité :

  • Vous devez soumettre vos demandes depuis votre adresse e-mail enregistrée

  • Pour les demandes sensibles, une vérification supplémentaire peut être demandée

  • Le support peut poser des questions de sécurité sur votre compte

Confidentialité des mineurs

ISMS Copilot n’est pas destiné aux moins de 16 ans :

  • Service conçu pour les professionnels de la conformité et entreprises

  • Aucun mécanisme de consentement parental fourni

  • En cas d’utilisation par un mineur détectée, le compte sera clôturé et les données supprimées

Mises à jour de la politique de confidentialité

Comment vous serez informé

En cas de changement de pratiques RGPD, ISMS Copilot :

  • Envoie un e-mail à votre adresse enregistrée

  • Affiche une notification dans l’application au prochain connexion

  • Met à jour la politique de confidentialité avec une date "Dernière mise à jour"

  • Fournit un préavis d’au moins 30 jours pour les changements majeurs

Vos options

Si vous n’acceptez pas les changements :

  • Demandez la suppression du compte avant leur entrée en vigueur

  • Exportez vos données avant la date effective

  • Contactez le support pour discuter

Autorité de contrôle

En tant que service basé dans l’UE, ISMS Copilot est soumis à la surveillance en protection des données.

Droit de déposer une plainte

Si vous pensez qu’ISMS Copilot a violé vos droits de confidentialité, vous pouvez :

  1. Contacter le support ISMS Copilot pour résoudre le problème directement

  2. Déposer une plainte auprès de votre autorité locale de protection des données

  3. Déposer une plainte auprès de la CNIL où ISMS Copilot est établi

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Site web : https://www.cnil.fr/en

  • Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France

  • Téléphone : +33 1 53 73 22 22

Bonnes pratiques pour la conformité

Pour les consultants gérant les données clients

  • Créez des espaces de travail séparés pour chaque client

  • Définissez des périodes de conservation adaptées aux contrats clients

  • Anonymisez les données personnelles sensibles avant upload

  • Informez les clients de l’utilisation d’ISMS Copilot pour la conformité

  • Intégrez ISMS Copilot dans vos accords de traitement des données

  • Activez le mode de protection avancée si les clients exigent un traitement uniquement UE

Pour les organisations

  • Documentez ISMS Copilot dans votre registre des traitements (voir notre Registre des Traitements pour référence)

  • Intégrez dans les analyses d’impact relatives à la protection des données (AIPD) si traitement de données sensibles

  • Formez le personnel à la bonne gestion des données dans ISMS Copilot

  • Configurez les durées de conservation selon votre politique

Besoin d’aide pour votre documentation RGPD ? ISMS Copilot peut aider à créer des accords de traitement, politiques de confidentialité et modèles d’AIPD adaptés à votre organisation.

Transparence & Confiance

Documentation de sécurité

Pour des informations détaillées sur les pratiques de sécurité et confidentialité d’ISMS Copilot, visitez notre Collection Sécurité :

  • Descriptions détaillées des traitements de données

  • Documentation des mesures de sécurité

  • Liste complète des sous-traitants avec localisation et statut DPA

  • Certifications de conformité

  • Politiques de gouvernance IA

Vous pouvez aussi consulter notre registre complet des traitements (RopA) pour les mesures techniques et organisationnelles détaillées.

Statut du système

Surveillez la disponibilité et incidents de service sur la Page de statut :

  • Surveillance en temps réel via BetterStack

  • Notifications d’incident et mises à jour

  • Calendriers de maintenance planifiée

  • Données historiques de disponibilité

  • Classification transparente des incidents et escalades

Limitations

Fonctionnalités privacy actuelles

  • Export automatisé des données non disponible (doit être demandé au support)

  • Changement d’adresse e-mail nécessite l’aide du support

  • Pas de suppression de compte en libre-service (contact support requis)

  • Aucune bannière de consentement aux cookies implémentée (pas de cookies de tracking utilisés)

Et après

  • Découvrez les mesures de sécurité et chiffrement

  • Configurez des espaces de travail pour isoler les données clients

  • Consultez notre Évaluation d'Impact des Transferts

  • Créez un compte sécurisé avec authentification forte

  • Consultez notre Collection Sécurité pour la documentation privacy détaillée

Besoin d’aide

Pour questions liées à la confidentialité ou demandes RGPD :

  • Contactez le support via le menu Centre d’Aide

  • Envoyez un e-mail depuis votre adresse enregistrée

  • Incluez "Demande RGPD" dans l’objet pour un traitement rapide

  • Consultez notre Collection Sécurité pour la documentation complète

Cela vous a-t-il été utile ?