Politique de Confidentialité — EvidencAI
Dernière mise à jour : 16 octobre 2025 - Version : 1.0
11. Responsable du traitement
Société : CORA
Forme juridique : SARL (Société à responsabilité limitée)
Capital social : 1 000 €
SIRET : 804 283 687 00023
RCS : Romans-sur-Isère 804 283 687
Numéro de TVA UE : FR32804283687
Siège social : 200 impasse Cheyssans, 26300 Châteauneuf-sur-Isère, France
Directeur de publication : Stéphane Commenge
Contact RGPD : info@evidencai.com
Hébergeur : Supabase (détails disponibles sur supabase.com)
22. Champ d'application
Cette politique de confidentialité s'applique à :
- L'extension Chrome EvidencAI (assistant d'aide à la décision pour ChatGPT, Claude, Gemini, Grok, Le Chat)
- L'application web EvidencAI (plateforme complète d'analyse et de vérification)
- Services API associés
Elle décrit comment nous collectons, utilisons, partageons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et aux exigences du Chrome Web Store.
33. Données Collectées
3.1 Via l'Extension Chrome
Permissions requises :
- activeTab : Accès à l'onglet actif pour capturer le contenu que vous partagez volontairement
- storage : Stockage local de vos préférences et tokens d'authentification
- clipboardWrite : Copie des résultats d'analyse dans le presse-papiers
- Domaines autorisés : chatgpt.com, claude.ai, gemini.google.com, grok.x.ai, chat.mistral.ai
Données collectées automatiquement :
- IDs de conversations que vous partagez
- Contenu partagé : Prompts et réponses que vous choisissez d'analyser
- Préférences locales (stockées sur votre appareil)
- Tokens d'authentification Supabase
Important : L'extension ne collecte aucun historique de navigation ni communications personnelles en dehors du contenu que vous partagez explicitement. Aucune télémétrie ou analyse n'est collectée par l'extension.
3.2 Via l'Application Web
Données de compte (obligatoires) :
- •Email : Pour la création de compte et communications
- •Mot de passe : Chiffré par Supabase avec bcrypt (jamais stocké en clair)
- •ID utilisateur : Identifiant unique généré automatiquement (UUID)
Données d'abonnement et paiement (abonnés payants uniquement) :
- •Informations Stripe : Customer ID, carte bancaire tokenisée
- •Type d'abonnement : CodirIA 200, CodirIA 500, Expert
- •Adresse de facturation : Nécessaire pour la facturation
- •Historique des paiements : Conservation 7 ans (obligation légale)
- •4 derniers chiffres de carte (le numéro complet n'est jamais stocké)
- •Note : Les utilisateurs gratuits et ceux en période d'essai gratuit ne fournissent aucune donnée de paiement.
3.3 Durées de conservation
| Plan | Données de compte et contenu | Base légale |
|---|---|---|
| Free | 30 jours après la dernière utilisation | Intérêt légitime |
| CodirIA 200 | 180 jours après la fin de l'abonnement | Exécution du contrat |
| CodirIA 500 | 180 jours après la fin de l'abonnement | Exécution du contrat |
| Expert | 365 jours après la fin de l'abonnement | Exécution du contrat |
| Historique paiements | 7 ans (tous plans payants) | Obligation légale |
44. Finalités et bases légales
| Finalité | Base légale | Détails |
|---|---|---|
| Gestion du compte | Exécution du contrat | Fourniture du service EvidencAI |
| Paiements | Exécution du contrat | Abonnements payants |
| Analyse IA | Exécution du contrat | Génération de réponses basées sur des preuves |
| Amélioration du service | Intérêt légitime | Statistiques anonymisées |
| Marketing (opt-in) | Consentement | Newsletters, offres |
55. Destinataires et Sous-traitants
Vos données sont accessibles uniquement à nos sous-traitants conformes RGPD avec DPA signés :
🇪🇺 Supabase Inc. (Union européenne)
- Rôle : Hébergement de la base de données et authentification
- Localisation : Francfort, Allemagne (EU-Central-1)
- Données : Comptes utilisateurs, contenu analysé, logs techniques
- Garanties : DPA RGPD, chiffrement AES-256, ISO 27001
- Lien DPA : https://supabase.com/dpa
🇺🇸🇪🇺 Stripe Inc. (États-Unis / Union européenne)
- Rôle : Traitement des paiements et gestion des abonnements
- Localisation : États-Unis (avec infrastructure EU)
- Données : Informations de paiement (carte tokenisée), adresse de facturation
- Garanties : PCI-DSS Level 1, SCCs, transfert encadré vers USA
- S'applique à : Abonnés payants uniquement
- Lien DPA : https://stripe.com/fr/privacy-center/legal#data-processing-agreement
🇺🇸 OpenAI OpCo LLC (États-Unis)
- Rôle : Analyse IA des textes via modèle GPT-4o
- Localisation : États-Unis
- Données : Textes soumis pour analyse (UUID anonymisé uniquement)
- Garanties : SCCs 2021/914, chiffrement TLS 1.3 et AES-256
- Rétention : 30 jours maximum (API avec DPA)
- Engagement : Ne pas utiliser les données pour l’entraînement des modèles
- Lien : https://openai.com/enterprise-privacy/
🇪🇺 Resend (Union européenne)
- Rôle : Envoi d'emails transactionnels
- Localisation : Union européenne
- Données : Adresses email, contenu des emails (confirmations, rappels)
- Garanties : DPA RGPD, serveurs EU
ENGAGEMENTS :
- •✅ Tous nos sous-traitants ont signé un DPA (Data Processing Agreement)
- •✅ Nous NE vendons JAMAIS vos données
- •✅ Nous NE partageons PAS avec des courtiers en données
- •✅ Transferts hors-UE encadrés par Clauses Contractuelles Types
66. Transferts de données hors de l'Union européenne
Certains de nos sous-traitants sont situés en dehors de l'Espace économique européen (EEE).
Transferts vers les États-Unis
Mécanisme : Clauses contractuelles types de la Commission européenne (Décision 2021/914)
Évaluation d'impact : Évaluation d'impact sur le transfert (TIA) réalisée conformément aux recommandations du EDPB
Garanties supplémentaires :
- Chiffrement en transit (TLS 1.3) et au repos (AES-256)
- Seuls les prompts et l'identifiant utilisateur anonymisé (UUID) sont envoyés
- Engagement contractuel de ne pas utiliser les données pour l’entraînement
- Durée maximale de conservation : 30 jours
Accès : Vous pouvez obtenir une copie des clauses contractuelles en nous contactant à info@evidencai.com
77. Sécurité des Données
🔐 Chiffrement
En transit : HTTPS (TLS 1.3)
Au repos : AES-256 (base de données, documents)
Mots de passe : Hachage bcrypt (jamais en clair)
👥 Contrôles d'accès
• RBAC (accès par rôle)
• Authentification forte
• Journalisation des accès (2 ans)
• 2FA disponible
🚨 En cas de violation de données
Conformément à l'article 33 du RGPD, nous nous engageons à :
- Notifier la CNIL dans les 72 heures suivant la découverte
- Vous informer sans délai si vos données sont concernées et si un risque élevé existe
- Documenter tous les incidents dans un registre interne
88. Cookies et technologies similaires
8.1 Cookies essentiels (aucun consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
| sb-access-token | Session d'authentification Supabase | 1 heure |
| sb-refresh-token | Renouvellement de session | 30 jours |
| language | Préférence de langue (FR/EN) | 1 an |
🔒 Analytique interne anonyme
Nous utilisons des analyses purement techniques et anonymes stockées dans notre base de données Supabase.
Important : Nous n'utilisons AUCUN outil d'analyse tiers (pas de Google Analytics, Posthog, Amplitude, etc.)
99. Vos droits (RGPD)
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
📖 Droit d'accès (Art. 15)
Obtenir une copie de toutes vos données personnelles
Comment : Mon compte > Paramètres > Télécharger mes données
✏️ Droit de rectification (Art. 16)
Corriger les données inexactes ou incomplètes
Comment : Mon compte > Profil > Modifier
🗑️ Droit à l'effacement (Art. 17)
Demander la suppression de vos données
Comment : Mon compte > Paramètres > Supprimer mon compte
📤 Droit à la portabilité (Art. 20)
Récupérer vos données au format JSON/CSV
Comment : Mon compte > Paramètres > Exporter
⛔ Droit d'opposition (Art. 21)
S'opposer au traitement basé sur l'intérêt légitime
Comment : Contactez info@evidencai.com
🔓 Retrait du consentement (Art. 7)
Retirer votre consentement pour le marketing
Comment : Lien « Se désabonner » dans les emails
⏱️ Délai de réponse : 1 mois (prolongeable de 2 mois si complexe, avec notification)
1010. Dispositions spécifiques au Chrome Web Store
10.1 Principe de minimisation des données
Nous ne collectons que les données strictement nécessaires au fonctionnement de l'extension.
10.2 Information préalable
Lors de la première utilisation de l'extension, une fenêtre contextuelle vous informe clairement de :
- Les types de données collectées
- Les finalités de la collecte
- Les sous-traitants impliqués (notamment OpenAI)
Vous devez accepter explicitement avant d'utiliser le service.
10.3 Politique d'utilisation limitée
Nous nous engageons à :
- • ✅ Ne jamais vendre vos données à des tiers
- • ✅ Ne jamais transférer vos données à des courtiers en données
- • ✅ Ne jamais utiliser vos données pour de la publicité personnalisée non liée au service
1111. Dispositions spécifiques à l'essai gratuit de 15 jours
11.1 Inscription sans carte bancaire
L'essai gratuit de 15 jours est accessible sans fournir de carte bancaire. Vous bénéficiez d'un accès complet aux fonctionnalités CodirIA 200 pendant cette période.
11.2 Rappels avant la fin de l'essai
Nous vous envoyons 2 emails de rappel :
- J-3 : "Votre essai gratuit se termine dans 3 jours"
- J-1 : "Votre essai gratuit se termine demain"
Chaque email contient les options disponibles pour continuer à utiliser EvidencAI (abonnement ou passage au plan gratuit).
11.3 Fin de l'essai gratuit et abonnement payant
À la fin des 15 jours :
- • Si vous ne vous êtes pas abonné : Votre compte passe automatiquement au plan gratuit (4 crédits/jour, 7 modules)
- • Si vous vous abonnez : Votre abonnement démarre à la date de souscription. Aucun prélèvement automatique n’est effectué sans action explicite de votre part.
11.4 Souscription à un plan payant
Pour souscrire à un plan payant (CodirIA 200, CodirIA 500 ou Expert), vous devrez fournir un moyen de paiement via notre prestataire Stripe. Les données de paiement sont collectées conformément à la section 3.2 de cette politique.
11.5 Annulation en ligne « 3 clics » (France)
Conformément à la loi française n°2022-1158 du 16 août 2022 :
- Étape 1 : Mon compte > Abonnement > Annuler
- Étape 2 : Confirmation de l'annulation
- Étape 3 : Email de confirmation envoyé
Important : Le bouton d'annulation est visible, direct et permanent (accessible 24h/24 et 7j/7).
1212. Données Concernant les Mineurs
EvidencAI ne s'adresse pas aux personnes de moins de 16 ans.
Si vous avez moins de 16 ans, vous ne pouvez pas créer de compte sans le consentement explicite d'un titulaire de l'autorité parentale.
Parents : Si vous pensez que votre enfant nous a fourni des données sans votre consentement, contactez-nous à info@evidencai.com
1313. Modifications de la Politique de Confidentialité
Nous pouvons mettre à jour cette politique afin de refléter les évolutions légales, les nouvelles fonctionnalités ou les changements de sous-traitants.
Notification des modifications
En cas de changements substantiels, nous vous informerons par :
- Email à votre adresse de contact (30 jours avant la date d'entrée en vigueur)
- Notification dans l'application lors de votre prochaine connexion
- Bannière sur le site web pendant 30 jours
1414. Contact et Exercice de Vos Droits
Email : info@evidencai.com
Objet : "RGPD - [Votre demande]"
Postal : CORA - Service RGPD - 200 impasse Cheyssans, 26300 Châteauneuf-sur-Isère, France
Contact RGPD : Stéphane Commenge
14.1 Plainte auprès de la CNIL
En cas de litige persistant, vous pouvez contacter la Commission Nationale de l'Informatique et des Libertés (CNIL) :
En ligne : https://www.cnil.fr/fr/plaintes
Par courrier : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Par téléphone : +33 1 53 73 22 22
Pour toute question : stephane@commenge.net