Politique de confidentialité de Melya
Préambule
La présente politique de confidentialité a pour objet de définir les modalités de collecte, de traitement, de conservation et de protection des données à caractère personnel réalisées par la société Ensilog SAS (« Ensilog », « nous », « notre »), établissement dont le siège social est situé 20 place Saint Étienne, 71000 Mâcon, France, en qualité de sous-traitant au sens du Règlement (UE) 2016/679 (ci-après « RGPD ») pour le compte de Melya.
Article 1 - Définitions
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
- Client : personne physique ou morale utilisant la plateforme d'Ensilog.
- Données extraites : contenus des questionnaires (intitulés, types, choix multiples, etc.).
- Métadonnées : données techniques (horodatage, identifiants de session, logs, IP).
Article 2 - Finalités du traitement
En qualité de sous-traitant :
- Digitalisation et structuration : transformation en données structurées pour analyses statistiques.
- Support technique et maintenance : conservation des Métadonnées pendant six mois pour debug et amélioration, sans entraînement IA.
Article 3 - Bases légales
- Exécution du contrat client (art. 6 §1 b) RGPD)
- Respect d'obligations légales (art. 6 §1 c) RGPD)
- Intérêts légitimes d'Ensilog (art. 6 §1 f) RGPD)
Article 4 - Nature des données
- Données extraites: contenus des questionnaires soumis par le Client.
- Métadonnées: horodatage, logs, ID de session, IP.
Le Client reste responsable de la licéité du contenu transmis.
Article 5 - Durées de conservation
Données extraites : durée définie par le Client.
Métadonnées : supprimées au plus tard six mois après collecte.
Article 6 - Destinataires et sous-traitants
Les données sont accessibles aux équipes techniques d'Ensilog et aux sous-traitants suivants :
| Sous-traitant | Traitement | Localisation | Transfert hors UE |
|---|---|---|---|
| Supabase (AWS EU) | Base opérationnelle | UE (EU-West) | Non |
| Microsoft Azure | Backups | Europe | Non |
| PostHog | Analyse anonymisée | UE | Non |
| OpenAI | IA multimodale | Global | Oui (logs temporaires) |
Article 7 - Transferts hors UE
Les données traitées par OpenAI sont transmises de manière transitoire et ne sont pas stockées hors UE. Ensilog négocie actuellement la mise en place de Clauses Contractuelles Types pour ces prestataires.
Article 8 - Sécurité des données
- Chiffrement TLS en transit et AES-256 au repos.
- Contrôle d'accès, journalisation et audit.
- Procédure de notification des violations sous 72 heures.
Article 9 - Cookies et traceurs
Nous utilisons des cookies et traceurs pour l'analyse anonymisée du comportement des utilisateurs, conformément aux recommandations de la CNIL. Aucun cookie marketing ou de ciblage n'est déployé. L'utilisateur peut les refuser ou les supprimer via son navigateur.
Article 10 - Droits des personnes concernées
Conformément aux articles 15-22 du RGPD, les personnes concernées disposent des droits suivants :
- Accès, rectification, effacement, limitation, opposition, portabilité.
- Exercice via contact@ensilog.com.
- Réponse sous 1 mois, prorogeable de 2 mois si nécessaire.
Article 11 - Contact et réclamations
Responsable vie privée :
contact@ensilog.com
Autorité de contrôle : CNIL (www.cnil.fr).