Politique de Confidentialité — EvidencAI
Dernière mise à jour : 16 octobre 2025 - Version : 1.0
1. Responsable du Traitement
Société : CORA
Forme juridique : SARL
Capital social : 1 000 €
SIRET : 804 283 687 00023
RCS : Romans-sur-Isère 804 283 687
N° TVA intracommunautaire : FR32804283687
Siège social : 200 impasse Cheyssans, 26300 Châteauneuf-sur-Isère, France
Directeur de publication : Stéphane Commenge
Contact RGPD : stephane@commenge.net
Hébergeur : Supabase (coordonnées disponibles sur supabase.com)
2. Champ d'Application
Cette politique de confidentialité s'applique à :
- L'extension Chrome EvidencAI (assistant d'aide à la décision pour ChatGPT)
- L'application web EvidencAI (plateforme complète d'analyse et vérification)
- Les services API associés
Elle décrit comment nous collectons, utilisons, partageons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et aux exigences du Chrome Web Store.
3. Données Collectées
3.1 Via l'Extension Chrome
Permissions requises :
- activeTab : Accès à l'onglet actif pour capturer le contenu que vous partagez volontairement
- storage : Stockage local de vos préférences et tokens d'authentification
- clipboardWrite : Copie des résultats d'analyse dans le presse-papiers
- https://chatgpt.com/* : Accès aux plateformes ChatGPT pour la fonctionnalité "Share to EvidencAI"
Données collectées automatiquement :
- IDs de conversations ChatGPT que vous partagez
- Contenu partagé : Prompts et réponses que vous choisissez d'analyser
- Préférences locales (stockées sur votre appareil)
- Tokens d'authentification Supabase
Important : L'extension ne collecte aucun historique de navigation ni communications personnelles en dehors du contenu que vous partagez explicitement.
3.2 Via l'Application Web
Données de compte (obligatoires)
- Email : Pour la création de compte et communications
- Mot de passe : Chiffré par Supabase avec bcrypt (jamais stocké en clair)
- ID utilisateur : Identifiant unique généré automatiquement (UUID)
Données d'abonnement et paiement
- Informations Stripe : Customer ID, carte bancaire tokenisée
- Type d'abonnement : Free, Essentiel, Expert 200, Expert 400
- Adresse de facturation : Nécessaire pour la facturation
- Historique des paiements : Conservation 7 ans (obligation légale)
- 4 derniers chiffres de carte (le numéro complet n'est jamais stocké)
3.3 Durées de conservation
| Plan | Données de compte et contenu | Base légale |
|---|---|---|
| Free | 30 jours après la dernière utilisation | Intérêt légitime |
| Essentiel | 180 jours après la fin de l'abonnement | Exécution du contrat |
| Expert 200/400 | 365 jours après la fin de l'abonnement | Exécution du contrat |
| Historique paiements | 7 ans (tous plans) | Obligation légale |
4. Finalités et Bases Légales
| Finalité | Base légale | Détails |
|---|---|---|
| Gestion du compte | Exécution du contrat | Fourniture du service EvidencAI |
| Paiements | Exécution du contrat | Abonnements payants |
| Analyse IA | Exécution du contrat | Génération de réponses avec preuves |
| Amélioration du service | Intérêt légitime | Statistiques anonymisées |
| Marketing (opt-in) | Consentement | Newsletters, offres |
5. Destinataires et Sous-traitants
Vos données sont accessibles uniquement à nos sous-traitants conformes RGPD avec DPA signés :
🇪🇺 Supabase Inc. (Union européenne)
- Rôle : Hébergement de la base de données et authentification
- Localisation : Francfort, Allemagne (EU-Central-1)
- Données : Comptes utilisateurs, contenu analysé, logs techniques
- Garanties : DPA RGPD, chiffrement AES-256, ISO 27001
- Lien DPA : https://supabase.com/dpa
🇺🇸🇪🇺 Stripe Inc. (États-Unis / Union européenne)
- Rôle : Traitement des paiements et gestion des abonnements
- Localisation : États-Unis (avec infrastructure EU)
- Données : Informations de paiement (carte tokenisée), adresse de facturation
- Garanties : PCI-DSS Level 1, SCCs, transfert encadré vers USA
- Important : CORA ne stocke jamais vos numéros de carte complets
- Lien DPA : https://stripe.com/fr/privacy-center/legal
🇺🇸 OpenAI OpCo LLC (États-Unis)
- Rôle : Analyse IA des textes via modèles GPT
- Localisation : États-Unis
- Données : Textes soumis pour analyse (avec UUID anonymisé uniquement)
- Garanties : SCCs 2021/914, chiffrement TLS 1.3 et AES-256
- Rétention : 30 jours maximum (API avec DPA)
- Engagement : Ne pas utiliser les données pour entraînement de modèles
- Lien : https://openai.com/enterprise-privacy/
🇪🇺 Resend (Union européenne)
- Rôle : Envoi d'emails transactionnels
- Localisation : Union européenne
- Données : Adresses email, contenu des emails (confirmations, rappels)
- Garanties : DPA RGPD, serveurs EU
ENGAGEMENTS :
- ✅ Tous nos sous-traitants ont signé un DPA (Data Processing Agreement)
- ✅ Nous NE vendons JAMAIS vos données
- ✅ Nous NE partageons PAS avec des courtiers en données
- ✅ Transferts hors-UE encadrés par Clauses Contractuelles Types
6. Transferts de Données hors de l'Union Européenne
Certains de nos sous-traitants sont situés en dehors de l'Espace Économique Européen (EEE).
Transferts vers les États-Unis
Mécanisme : Clauses contractuelles types de la Commission européenne (décision 2021/914)
Évaluation d'impact : Transfer Impact Assessment (TIA) réalisée conformément aux recommandations du CEPD
Garanties supplémentaires :
- Chiffrement en transit (TLS 1.3) et au repos (AES-256)
- Seuls les prompts et ID utilisateur anonymisé (UUID) sont envoyés
- Engagement contractuel de ne pas utiliser les données pour l'entraînement
- Rétention maximale de 30 jours
Consultation : Vous pouvez obtenir copie des clauses contractuelles en nous contactant à stephane@commenge.net
7. Sécurité des Données
🔐 Chiffrement
En transit : HTTPS (TLS 1.3)
Au repos : AES-256 (base de données, documents)
Mots de passe : Hachage bcrypt (jamais en clair)
👥 Contrôles d'accès
• RBAC (accès par rôle)
• Authentification forte
• Journalisation des accès (2 ans)
• 2FA disponible
🚨 En cas de violation de données
Conformément à l'article 33 du RGPD, nous nous engageons à :
- Notifier la CNIL dans les 72 heures suivant la découverte
- Vous informer sans délai si vos données sont concernées et si un risque élevé existe
- Documenter tous les incidents dans un registre interne
8. Cookies et Technologies Similaires
8.1 Cookies essentiels (aucun consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
| sb-access-token | Session d'authentification Supabase | 1 heure |
| sb-refresh-token | Renouvellement de session | 30 jours |
| language | Préférence de langue (FR/EN) | 1 an |
🔒 Analytics internes anonymes
Nous utilisons des analytics purement techniques et anonymes stockés dans notre base Supabase.
Important : Nous n'utilisons AUCUN outil d'analytics tiers (pas de Google Analytics, Posthog, Amplitude, etc.)
9. Vos Droits (RGPD)
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
📖 Droit d'accès (Art. 15)
Obtenir une copie de toutes vos données personnelles
Comment : Mon compte > Paramètres > Télécharger mes données
✏️ Droit de rectification (Art. 16)
Corriger vos données inexactes ou incomplètes
Comment : Mon compte > Profil > Modifier
🗑️ Droit à l'effacement (Art. 17)
Demander la suppression de vos données
Comment : Mon compte > Paramètres > Supprimer mon compte
📤 Droit à la portabilité (Art. 20)
Récupérer vos données en format JSON/CSV
Comment : Mon compte > Paramètres > Exporter
⛔ Droit d'opposition (Art. 21)
Vous opposer au traitement fondé sur l'intérêt légitime
Comment : Contact stephane@commenge.net
🔓 Retrait du consentement (Art. 7)
Retirer votre consentement pour le marketing
Comment : Lien "Se désabonner" dans les emails
⏱️ Délai de réponse : 1 mois (prolongeable de 2 mois si complexe, avec notification)
10. Dispositions Spécifiques Chrome Web Store
10.1 Principe de minimisation des données
Nous collectons uniquement les données strictement nécessaires au fonctionnement de l'extension.
10.2 Divulgation proéminente
Lors de la première utilisation de l'extension, un pop-up vous informe clairement :
- Des types de données collectées
- Des finalités de collecte
- Des sous-traitants impliqués (notamment OpenAI)
Vous devez accepter explicitement avant d'utiliser le service.
10.3 Limitation d'usage (Limited Use Policy)
Nous nous engageons à :
- ✅ Ne jamais vendre vos données à des tiers
- ✅ Ne jamais transférer vos données à des courtiers en données
- ✅ Ne jamais utiliser vos données pour de la publicité personnalisée sans rapport avec le service
11. Dispositions Spécifiques pour l'Essai Gratuit 14 Jours
11.1 Consentement explicite
Lors de votre inscription à l'essai gratuit, vous devez :
- Fournir une carte bancaire (via Stripe) pour l'authentification
- Accepter explicitement les conditions (9,90 €/mois après 14 jours)
- Confirmer la possibilité d'annulation en 3 clics
11.2 Rappels avant débit
Nous vous envoyons 2 rappels par email :
- J-3 : « Votre essai gratuit se termine dans 3 jours »
- J-1 : « Votre essai gratuit se termine demain »
Chaque email contient le montant exact (9,90 €), la date de prélèvement et un lien pour annuler en 1 clic.
11.3 Résiliation en ligne "3 clics" (France)
Conformément à la loi n° 2022-1158 du 16 août 2022 :
- Étape 1 : Mon compte > Abonnement > Résilier
- Étape 2 : Confirmation de la résiliation
- Étape 3 : Email de confirmation envoyé
Important : Le bouton de résiliation est visible, direct et permanent (accessible 24h/24, 7j/7).
12. Données Concernant les Mineurs
EvidencAI ne s'adresse pas aux personnes de moins de 16 ans.
Si vous avez moins de 16 ans, vous ne pouvez pas créer de compte sans le consentement explicite d'un titulaire de l'autorité parentale.
Parents : Si vous pensez que votre enfant nous a fourni des données sans votre consentement, contactez-nous à stephane@commenge.net.
13. Modifications de la Politique de Confidentialité
Nous pouvons mettre à jour cette politique pour refléter des évolutions légales, nouvelles fonctionnalités ou changements de sous-traitants.
Notifications des modifications
En cas de modifications substantielles, nous vous informons par :
- Email à votre adresse de contact (30 jours avant l'entrée en vigueur)
- Notification in-app lors de votre prochaine connexion
- Bandeau sur le site web pendant 30 jours
14. Contact et Exercice de vos Droits
Email : stephane@commenge.net
Objet : « RGPD - [Votre demande] »
Postal : CORA - Service RGPD - 200 impasse Cheyssans, 26300 Châteauneuf-sur-Isère, France
Contact RGPD : Stéphane Commenge
14.3 Réclamation auprès de la CNIL
En cas de litige persistant, vous pouvez saisir la Commission Nationale de l'Informatique et des Libertés (CNIL) :
En ligne : https://www.cnil.fr/fr/plaintes
Par courrier : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Par téléphone : 01 53 73 22 22
Pour toute question : stephane@commenge.net