Politique de confidentialité
Dernière mise à jour : février 2025
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées par le service PrestaSAV est la société SASU AIKINI.
- Adresse : 12 rue Antoine Re, 13010 Marseille, France
- Email : [email protected]
- Délégué à la protection des données (DPO) : [email protected]
2. Données collectées
Dans le cadre de la fourniture du service PrestaSAV, les catégories de données personnelles suivantes sont collectées et traitées :
2.1 Données du compte utilisateur
- Nom et prénom
- Adresse email
- Mot de passe (hashé avec l'algorithme bcrypt)
- Rôle au sein de l'organisation (administrateur, agent)
2.2 Données de la boutique PrestaShop
- URL de la boutique PrestaShop
- Clé API Webservices PrestaShop (chiffrée avec AES-256-GCM)
- Configuration email IMAP/SMTP : serveur, port, identifiants (credentials chiffrés avec AES-256-GCM)
- Version de PrestaShop
2.3 Données des tickets
- Emails clients : adresse de l'expéditeur, objet, contenu du message, pièces jointes
- Classification IA : catégorie attribuée, score d'urgence, analyse de sentiment
- Réponses : brouillons générés par l'IA, réponses validées et envoyées
- Métadonnées : dates de réception, de traitement et d'envoi, agent assigné
2.4 Données de navigation
- Cookies techniques nécessaires au fonctionnement du service
- Données de mesure d'audience anonymes via Umami (aucun cookie, aucune donnée personnelle)
3. Finalités du traitement
Les données personnelles sont collectées et traitées pour les finalités suivantes :
- Fourniture du service : création et gestion du compte utilisateur, connexion à la boutique PrestaShop et à la boîte email, fonctionnement du tableau de bord
- Classification et enrichissement des tickets : catégorisation automatique par IA, scoring d'urgence, récupération du contexte commande et client depuis PrestaShop
- Génération de réponses IA : création de brouillons de réponse à partir du contenu du ticket et du contexte enrichi
- Statistiques d'utilisation : suivi du volume de tickets, temps de traitement, indicateurs de performance du SAV
- Amélioration du service : analyse anonymisée des usages pour optimiser les fonctionnalités et l'expérience utilisateur
- Facturation : gestion de l'abonnement, émission des factures
4. Base légale du traitement
Le traitement des données personnelles repose sur les bases légales suivantes :
| Finalité | Base légale |
|---|---|
| Fourniture du service, classification, enrichissement, réponses IA, facturation | Exécution du contrat (article 6.1.b du RGPD) |
| Sécurité du service, prévention des abus, journalisation | Intérêt légitime (article 6.1.f du RGPD) |
| Conservation des données de facturation | Obligation légale (article 6.1.c du RGPD) |
5. Durée de conservation
Les données personnelles sont conservées pendant les durées suivantes :
| Catégorie de données | Durée de conservation |
|---|---|
| Données du compte utilisateur | Durée de l'abonnement + 3 ans (prescription) |
| Données des tickets et réponses | Durée de l'abonnement + 1 an |
| Credentials chiffrés (clé API, IMAP/SMTP) | Supprimés immédiatement à la résiliation du compte |
| Logs d'activité et journalisation | 12 mois |
| Données de facturation | 10 ans (obligation légale — Code de commerce) |
6. Destinataires des données
Les données personnelles peuvent être communiquées aux destinataires suivants, dans le cadre strict des finalités décrites ci-dessus :
| Destinataire | Finalité | Localisation |
|---|---|---|
| Anthropic (API Claude) | Traitement IA des tickets — classification, génération de réponses. Les données transmises sont limitées au strict nécessaire (contenu du ticket, contexte commande anonymisé). | États-Unis — Clauses contractuelles types (CCT) |
| OpenAI (API ChatGPT) | Traitement IA des tickets — classification, génération de réponses (fournisseur alternatif sélectionnable par l'utilisateur). | États-Unis — Clauses contractuelles types (CCT) |
| Mistral AI (API Mistral) | Traitement IA des tickets — classification, génération de réponses (fournisseur alternatif sélectionnable par l'utilisateur). | France / Union européenne |
| Google (API Gemini) | Traitement IA des tickets — classification, génération de réponses (fournisseur alternatif sélectionnable par l'utilisateur). | États-Unis — Clauses contractuelles types (CCT) |
| Stripe | Traitement des paiements par carte bancaire et gestion de la facturation | États-Unis — Clauses contractuelles types (CCT) |
| Hébergeur | Hébergement de l'infrastructure (serveurs, base de données, sauvegardes) | France / Union européenne |
Aucun transfert de données hors de l'Union européenne n'est effectué sans la mise en place de garanties appropriées (clauses contractuelles types de la Commission européenne) conformément aux articles 46 et suivants du RGPD.
7. Sécurité des données
PrestaSAV met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données personnelles :
- Chiffrement AES-256-GCM de toutes les données sensibles (clés API, mots de passe IMAP/SMTP) avec clés de chiffrement dérivées par tenant
- SSL/TLS pour toutes les communications en transit (HTTPS, IMAPS, SMTPS)
- Isolation multi-tenant par Row-Level Security (RLS) PostgreSQL — chaque boutique ne peut accéder qu'à ses propres données
- Sauvegardes chiffrées quotidiennes de la base de données
- Authentification JWT avec expiration et accès restreint par rôles
- Hashage bcrypt (10 rounds) des mots de passe utilisateurs
Pour plus de détails sur les mesures de sécurité, consultez notre Politique de sécurité.
8. Droits des personnes concernées
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
- Droit de rectification : demander la correction de données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de vos données dans les conditions prévues par la réglementation
- Droit à la limitation du traitement : demander la suspension du traitement de vos données dans certains cas
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes
Pour exercer l'un de ces droits, veuillez contacter notre délégué à la protection des données :
- Email : [email protected]
Nous nous engageons à répondre à votre demande dans un délai de 30 jours à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité de la demande, auquel cas vous en serez informé.
En cas de réponse insatisfaisante, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.
9. Cookies
Le site PrestaSAV utilise des cookies strictement nécessaires au fonctionnement du service. Voici la liste des cookies utilisés :
| Nom du cookie | Type | Finalité | Durée |
|---|---|---|---|
| Session JWT | Technique (essentiel) | Authentification et maintien de la session utilisateur | 24 heures |
Les cookies techniques sont indispensables au fonctionnement du service et ne peuvent pas être désactivés.
PrestaSAV utilise Umami pour la mesure d'audience. Umami ne dépose aucun cookie et ne collecte aucune donnée personnelle identifiante. Aucun consentement n'est requis.
10. Sous-traitants
PrestaSAV fait appel aux sous-traitants suivants pour la fourniture du service :
| Sous-traitant | Prestation | Localisation / Garanties |
|---|---|---|
| Anthropic | Intelligence artificielle — classification des tickets et génération de réponses (API Claude) | États-Unis — Clauses contractuelles types (CCT) |
| OpenAI | Intelligence artificielle — classification des tickets et génération de réponses (API ChatGPT) | États-Unis — Clauses contractuelles types (CCT) |
| Mistral AI | Intelligence artificielle — classification des tickets et génération de réponses (API Mistral) | France / Union européenne |
| Intelligence artificielle — classification des tickets et génération de réponses (API Gemini) | États-Unis — Clauses contractuelles types (CCT) | |
| Stripe | Traitement des paiements par carte bancaire | États-Unis — Clauses contractuelles types (CCT) |
| Hébergeur | Hébergement de l'infrastructure technique (serveurs, base de données) | France / Union européenne |
Chaque sous-traitant est lié par un accord de traitement des données conforme à l'article 28 du RGPD.
11. Modification de la politique
PrestaSAV se réserve le droit de modifier la présente politique de confidentialité à tout moment afin de la mettre en conformité avec les évolutions réglementaires ou les évolutions du service.
En cas de modification substantielle affectant le traitement de vos données personnelles, vous serez notifié par email au minimum 30 jours avant l'entrée en vigueur des modifications.
La date de dernière mise à jour est indiquée en haut de cette page.
12. Contact
Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter :
- Délégué à la protection des données : [email protected]
- Contact général : [email protected]