Politique de confidentialité

Article 13 RGPD

1. Identité du responsable de traitement

Le responsable de traitement des données collectées sur le site netaix.fr et via la plateforme app.netaix.fr est :

Responsable de traitement

Emmanuel LE QUEC — NETAIX

Micro-entreprise — SIREN : 103 298 394
4 rue Elvire, 73100 Mouxy, France
Site web : netaix.fr
Contact RGPD : contact@netaix.fr

NETAIX est une entreprise française dont l'activité principale est l'édition du logiciel SaaS Netaix, une plateforme d'IA collaborative destinée aux PME françaises.

Articles 5, 6 & 13 RGPD

2. Données collectées et bases légales

Netaix ne collecte que les données strictement nécessaires à son fonctionnement (principe de minimisation, article 5.1.c RGPD). Le tableau ci-dessous détaille chaque traitement, la finalité poursuivie et la base légale applicable.

Traitement	Données concernées	Finalité	Base légale (art. 6 RGPD)
Formulaire de contact	Nom, adresse email, contenu du message	Répondre aux demandes d'information et de support	Intérêt légitime (art. 6.1.f) — répondre à une demande initiée par la personne concernée
Formulaire d'inscription	Adresse email, nom, nom de l'entreprise	Création d'un compte sur app.netaix.fr et exécution du contrat SaaS	Exécution du contrat (art. 6.1.b)
Logs techniques	Adresse IP, horodatage, pages consultées	Sécurité, détection d'anomalies, maintenance du service	Intérêt légitime (art. 6.1.f) — sécurité du système d'information
Préférence de thème	Valeur « clair » ou « sombre » stockée en `localStorage`	Mémoriser l'affichage choisi par l'utilisateur (purement fonctionnel)	Intérêt légitime (art. 6.1.f) — fonctionnalité demandée par l'utilisateur, pas de traitement de données personnelles

Pas de profilage ni de publicité ciblée. Netaix ne traite aucune donnée à des fins de profilage commercial, de ciblage publicitaire ou de revente à des tiers. Aucune donnée n'est transmise à des régies publicitaires.

Les données fournies via le formulaire de contact sont transmises à notre backend hébergé en France et ne sont utilisées qu'aux fins décrites ci-dessus. Le champ « message » est traité par les équipes NETAIX uniquement pour répondre à la demande formulée.

Article 5.1.e RGPD

3. Durées de conservation

Les données ne sont conservées que le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées (principe de limitation de la conservation, article 5.1.e du RGPD).

Données	Durée de conservation	Justification
Demandes de contact (email + message)	3 ans à compter du dernier échange	Prescription civile courante — suivi des relations commerciales
Données de compte inscrit (email, nom)	Durée de la relation contractuelle + 3 ans	Exécution du contrat, puis prescription applicable
Logs techniques (IP, horodatage)	12 mois	Conformité à la recommandation CNIL sur les logs de connexion
Conversations IA	Durée de l'abonnement + 30 jours après résiliation	Exécution du contrat, puis suppression conformément aux CGV (art. 11)
Données de facturation	10 ans	Obligation légale comptable (art. L.123-22 du Code de commerce)
Préférence de thème (`localStorage`)	Jusqu'à effacement manuel par l'utilisateur dans son navigateur	Stockage local uniquement, aucun traitement côté serveur

Au terme de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible. Aucune donnée n'est archivée au-delà des délais légaux.

Articles 15 à 22 RGPD

4. Vos droits

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), vous disposez des droits suivants sur les données vous concernant :

Droit d'accès (art. 15 RGPD) — Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
Droit de rectification (art. 16 RGPD) — Faire corriger des données inexactes ou incomplètes vous concernant.
Droit à l'effacement (art. 17 RGPD) — Demander la suppression de vos données dans les cas prévus par le règlement (retrait du consentement, données non nécessaires, etc.).
Droit à la limitation du traitement (art. 18 RGPD) — Demander la suspension temporaire du traitement de vos données.
Droit à la portabilité (art. 20 RGPD) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, lorsque le traitement est fondé sur le contrat ou le consentement.
Droit d'opposition (art. 21 RGPD) — Vous opposer à un traitement fondé sur notre intérêt légitime, pour des raisons tenant à votre situation particulière.
Droit de retrait du consentement — Si un traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment sans que cela ne remette en cause la licéité du traitement antérieur.

Pour exercer l'un de ces droits, adressez votre demande par email à contact@netaix.fr. Nous traiterons votre demande dans un délai d'un mois à compter de sa réception (délai pouvant être porté à trois mois pour les demandes complexes, avec information préalable).

Si vous estimez que le traitement de vos données ne respecte pas la réglementation en vigueur, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : cnil.fr/fr/plaintes — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

Directive ePrivacy — Délib. CNIL 2020-091

5. Cookies et stockage local

Ce site n'utilise aucun cookie de traçage. Aucun cookie analytique, publicitaire ou de suivi comportemental n'est déposé sur votre appareil. Aucun outil tiers de mesure d'audience (Google Analytics, Matomo, Hotjar, etc.) n'est intégré.

Le seul mécanisme de stockage côté navigateur utilisé par ce site est le localStorage de votre navigateur, exclusivement pour mémoriser votre préférence d'affichage (mode clair ou mode sombre).

Cette donnée est :

Stockée uniquement dans votre navigateur — jamais transmise à nos serveurs
Non associée à votre identité ni à aucun identifiant de session
Non partagée avec des tiers
Supprimable à tout moment depuis les paramètres de votre navigateur

Cette utilisation relève de la fonctionnalité strictement nécessaire au sens de la délibération CNIL n° 2020-091 du 17 septembre 2020 relative aux cookies et traceurs. Elle ne requiert pas de consentement préalable de votre part et n'est donc pas couverte par une bannière de consentement.

Transparence totale : si vous souhaitez effacer cette préférence, rendez-vous dans les paramètres de votre navigateur sous « Stockage local » ou « Données du site » et supprimez l'entrée associée au domaine netaix.fr. La clé stockée est : netaix_theme.

Articles 28 & 46 RGPD

6. Hébergement et sous-traitants

Le site netaix.fr et la plateforme app.netaix.fr sont hébergés exclusivement sur des infrastructures situées en France :

Hébergeur

OVHcloud

2 rue Kellermann — 59100 Roubaix, France
Serveurs localisés en France (zone EU-WEST)
ovhcloud.com

Vos données ne sont pas hébergées hors de l'Union européenne dans le cadre de l'utilisation du site vitrine netaix.fr.

La plateforme Netaix (app.netaix.fr) implique l'acheminement des échanges de conversation IA vers des fournisseurs de modèles de langage, dont certains sont établis hors de l'UE. Ces traitements sont documentés dans les Conditions Générales de Vente et dans l'Accord de Traitement des Données Personnelles (DPA) disponible à l'adresse netaix.fr/dpa. Des clauses contractuelles types (CCT) conformes à la décision d'exécution (UE) 2021/914 de la Commission européenne encadrent ces transferts.

NETAIX agit en qualité de responsable de traitement pour les données collectées sur le site vitrine netaix.fr et les données de gestion des comptes utilisateurs. NETAIX agit en qualité de sous-traitant au sens de l'article 28 RGPD lorsqu'elle traite des données personnelles pour le compte de ses clients (responsables de traitement) via la plateforme app.netaix.fr. Le DPA encadrant cette relation est disponible à l'adresse netaix.fr/dpa.

Articles 13, 14 & 28 RGPD — Google API Services User Data Policy

7. Utilisation des données Google (OAuth)

Netaix permet aux utilisateurs de connecter leur compte Google (Gmail et Google Calendar) afin d'interagir avec leurs emails et leur calendrier directement depuis le chat IA. Cette connexion s'effectue via le protocole OAuth 2.0 et requiert votre consentement explicite avant toute autorisation d'accès.

7.1. Autorisations demandées (scopes OAuth)

Autorisation (scope)	Finalité
gmail.readonly	Lire vos emails afin de les résumer, trier ou rechercher via l'assistant IA, à votre demande explicite dans le chat.
gmail.compose	Envoyer des emails que vous dictez et validez via le chat IA. Aucun email n'est envoyé sans votre confirmation.
calendar.readonly	Consulter vos événements de calendrier pour vous les présenter ou les résumer dans le chat IA.
calendar.events	Créer ou modifier des événements dans votre calendrier, à votre demande explicite via le chat IA.

Chaque autorisation est strictement limitée à la finalité décrite ci-dessus. Netaix ne demande jamais d'accès supplémentaire au-delà de ces quatre autorisations.

7.2. Traitement des données Google

Lorsque vous utilisez une fonctionnalité impliquant vos données Google (lecture d'emails, consultation du calendrier, envoi de messages), les données concernées sont transmises en temps réel aux fournisseurs de modèles d'intelligence artificielle (voir section 7.3) pour générer la réponse à votre demande.

Aucun contenu d'email ou d'événement de calendrier n'est stocké en base de données par Netaix. Les données Google transitent uniquement en mémoire vive le temps du traitement de votre requête, puis sont immédiatement supprimées. Seuls les tokens d'authentification OAuth sont conservés (voir section 7.4).

Netaix n'utilise vos données Google que pour répondre à vos instructions explicites dans le chat. Vos données Google ne sont jamais utilisées pour :

Entraîner des modèles d'intelligence artificielle ou de machine learning
Afficher de la publicité ou effectuer du ciblage publicitaire
Établir des profils utilisateurs, du scoring ou de la segmentation marketing
Revendre ou transférer à des tiers à des fins autres que la fourniture du service
Indexer, analyser ou stocker vos contenus à des fins statistiques internes

7.3. Partage avec des tiers (fournisseurs IA)

Pour fournir les fonctionnalités d'assistant IA, vos données Google sont transmises aux fournisseurs de modèles de langage suivants, exclusivement dans le cadre du traitement de vos requêtes :

Fournisseur	Localisation	Garanties
Anthropic (Claude)	États-Unis	Clauses contractuelles types (CCT) — Décision UE 2021/914
OpenAI (GPT)	États-Unis	Clauses contractuelles types (CCT) — Décision UE 2021/914
Mistral AI	France (UE)	Traitement intra-UE, pas de transfert hors UE
Google (Gemini)	États-Unis / UE	Clauses contractuelles types (CCT) — Décision UE 2021/914

Ces fournisseurs agissent en qualité de sous-traitants au sens de l'article 28 du RGPD. Leurs conditions d'utilisation interdisent l'utilisation des données transmises via API pour entraîner leurs modèles. Les transferts vers les États-Unis sont encadrés par des clauses contractuelles types conformes à la décision d'exécution (UE) 2021/914.

En dehors de ces fournisseurs IA, aucun tiers n'a accès à vos données Google.

7.4. Conservation et sécurité

Donnée	Durée de conservation	Protection
Tokens OAuth (access & refresh)	Tant que la connexion Google est active	Chiffrement Fernet (AES-128-CBC + HMAC) au repos en base de données
Contenu des emails	Non stocké — transit en mémoire uniquement	TLS 1.2+ en transit, aucune persistence
Événements du calendrier	Non stocké — transit en mémoire uniquement	TLS 1.2+ en transit, aucune persistence

7.5. Révocation et suppression

Vous pouvez à tout moment révoquer l'accès de Netaix à votre compte Google :

Depuis Netaix : rendez-vous dans Paramètres > Connexions, puis cliquez sur « Déconnecter » à côté de votre compte Google. Les tokens OAuth sont immédiatement et irréversiblement supprimés de nos serveurs.
Depuis Google : accédez à myaccount.google.com/permissions et retirez Netaix de la liste des applications autorisées.
Par email : envoyez une demande à contact@netaix.fr avec l'objet [RGPD] Révocation Google OAuth. Nous supprimerons vos tokens dans un délai de 48 heures.

La révocation entraîne la suppression définitive des tokens OAuth stockés. Aucun contenu d'email ou de calendrier n'étant conservé, il n'y a aucune donnée Google résiduelle à supprimer.

7.6. Conformité Google API Services User Data Policy

Déclaration de conformité « Limited Use »

L'utilisation par Netaix des informations reçues via les API Google respecte la Google API Services User Data Policy, y compris les exigences de la section « Limited Use » (utilisation limitée).

En particulier, Netaix s'engage à ce que :

Les données Google ne soient utilisées que pour fournir ou améliorer les fonctionnalités visibles par l'utilisateur et demandées par celui-ci.
Les données Google ne soient jamais transférées à des tiers, sauf si cela est nécessaire pour fournir ou améliorer les fonctionnalités visibles par l'utilisateur, pour se conformer à une obligation légale, ou dans le cadre d'une fusion/acquisition avec consentement préalable de l'utilisateur.
Les données Google ne soient jamais utilisées pour diffuser de la publicité, y compris de la publicité personnalisée ou du reciblage.
Aucun être humain ne lise les données Google des utilisateurs, sauf en cas de consentement explicite de l'utilisateur, de nécessité à des fins de sécurité, de conformité à une obligation légale, ou lorsque les données sont agrégées et anonymisées.

Articles 13, 14 & 28 RGPD — Canva Developer Terms

8. Utilisation des données Canva (OAuth)

Netaix permet aux utilisateurs de connecter leur compte Canva afin de créer, rechercher et exporter des designs directement depuis le chat IA. Cette connexion s'effectue via le protocole OAuth 2.0 avec PKCE et requiert votre consentement explicite avant toute autorisation d'accès.

8.1. Autorisations demandées (scopes OAuth)

Autorisation (scope)	Finalité
design:content:read	Lire le contenu de vos designs existants afin de les rechercher et les afficher dans le chat IA.
design:content:write	Créer de nouveaux designs (présentations, visuels, documents) à votre demande explicite dans le chat IA.
design:meta:read	Accéder aux métadonnées de vos designs (titre, type, date de modification) pour l'affichage dans le chat.
asset:read	Lire les métadonnées de vos assets (images, vidéos) pour les intégrer dans les designs créés.
brandtemplate:meta:read	Lister vos brand kits (couleurs, polices, logos) pour créer des designs conformes à votre identité visuelle.
profile:read	Identifier votre compte Canva connecté (nom affiché) dans les paramètres de Netaix.

8.2. Traitement des données Canva

Lorsque vous utilisez les fonctionnalités Canva via Netaix, les données suivantes sont traitées de manière transitoire :

Métadonnées de designs (titre, type, thumbnail) : affichées dans le chat, non stockées en base de données.
Contenu des designs : transmis à l'IA pour répondre à vos demandes. Non conservé après la session de chat.
Brand kits : listés à la volée, non stockés.
Fichiers exportés : générés par Canva et téléchargés directement par l'utilisateur. Non hébergés sur les serveurs Netaix.

Stockage persistant : seuls le jeton d'accès chiffré (Fernet AES-128-CBC) et le nom du compte connecté sont stockés en base de données. Aucun design, image ou contenu créatif n'est conservé sur nos serveurs.

8.3. Partage avec des tiers

Les données Canva ne sont jamais partagées avec des tiers, excepté :

Le fournisseur d'IA (Anthropic, OpenAI ou Mistral) qui traite le contenu des designs dans le cadre de votre conversation IA. Ce traitement est couvert par les accords DPA de chaque fournisseur.

Les données Canva ne sont jamais utilisées pour la publicité, le profilage, la revente à des tiers ou tout autre usage non lié au fonctionnement du service.

8.4. Durée de conservation

Jetons d'accès : conservés tant que la connexion est active. Supprimés immédiatement à la révocation.
Contenu de designs : traité en mémoire uniquement, jamais persisté.

8.5. Révocation de l'accès

Vous pouvez révoquer l'accès de Netaix à votre compte Canva à tout moment :

Depuis Netaix : Paramètres > Connecteurs > Canva > Révoquer
Depuis Canva : Paramètres du compte > Applications connectées > Supprimer l'accès

La révocation entraîne la suppression immédiate des jetons stockés sur nos serveurs.

Article 13.1.b RGPD

9. Contact RGPD

NETAIX ne dispose pas d'un délégué à la protection des données (DPO) désigné à titre obligatoire. La désignation volontaire d'un DPO est envisagée dans le cadre de notre démarche de certification ISO 27001.

En attendant, toute question ou demande relative à la protection de vos données personnelles doit être adressée directement au responsable de traitement :

Point de contact RGPD

Emmanuel LE QUEC — NETAIX

Email : contact@netaix.fr
Objet recommandé : [RGPD] Votre demande
Délai de réponse : 1 mois maximum (art. 12.3 RGPD)

Si vous n'obtenez pas de réponse satisfaisante, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

La présente politique de confidentialité est susceptible d'être mise à jour pour refléter l'évolution de nos pratiques ou de la réglementation applicable. En cas de modification substantielle, nous en informerons nos utilisateurs inscrits par email. La date de dernière mise à jour figure en haut de ce document.