Politique de confidentialité de VURTO
Version : 06/04/2025 – dernière mise à jour :
Préambule
La présente Politique de Confidentialité explique, conformément au RGPD, pourquoi AGL DIFFUSION, en tant qu’éditeur du site et des logiciels VURTO, traite vos données personnelles, comment elles sont protégées, vos droits et la manière de les exercer.
Elle couvre : (i) les sites web du domaine vurto.ai ; (ii) les personnes qui s’inscrivent à nos évènements ou reçoivent nos communications ; (iii) les utilisateurs de nos services (y compris via les formulaires d’inscription du tableau de bord).
Pour les données traitées pour le compte de nos clients (sous-traitance), VURTO agit comme sous-traitant au sens de l’article 28 RGPD. Reportez-vous également à l’Accord de sous-traitance des Conditions Générales.
AGL DIFFUSION peut modifier cette Politique à tout moment. La version en ligne fait foi.
Sommaire
- Finalités et bases juridiques
- Données traitées
- Destinataires
- Transferts hors UE
- Durées de conservation
- Prospection
- Sécurité & données sensibles
- Dispositions spécifiques Google (OAuth, Analytics)
- Vos droits
- Mentions sur l’éditeur
1. Finalités et bases juridiques
| Finalités | Base juridique |
|---|---|
| Gestion des inscriptions et créations de compte | Exécution de mesures précontractuelles/contractuelles. Votre consentement si vous utilisez Google pour vous connecter. |
| Service d’horodatage, cachets & signatures électroniques, preuves associées | Exécution du contrat |
| Gestion des logs et journaux de connexion | Intérêt légitime (sécurité du service, prévention des abus) |
| Gestion des contrats, paiements, facturation, comptabilité | Exécution du contrat & obligations légales |
| Support & réponses aux demandes de contact | Intérêt légitime à répondre |
| Notifications de mise à jour du service / statut du compte | Intérêt légitime à informer |
| Prospection commerciale & newsletters | Consentement (particuliers) / Intérêt légitime (professionnels) + droit d’opposition |
| Statistiques d’usage (mesures agrégées) | Intérêt légitime (amélioration du service) |
| Prévention de la fraude et des abus | Intérêt légitime |
| Gestion des demandes d’exercice de droits (RGPD) | Obligation légale |
2. Données traitées
2.1 Données que vous nous communiquez
- Formulaires (création de compte, abonnements, commentaires, support)
- Informations contractuelles et de facturation (via Stripe – nous ne stockons pas vos numéros de carte)
- Inscriptions à nos communications (email, téléphone le cas échéant)
2.2 Connexion/Inscription avec Google (OAuth)
Accès : uniquement après votre consentement explicite sur l’écran OAuth.
Scopes minimaux utilisés :
openid,email,profile: créer/valider votre compte et vous connecter.https://www.googleapis.com/auth/drive.readonly(optionnel) : sélectionner un fichier Google Drive et calculer localement son empreinte (SHA-256) dans votre navigateur pour certains usages de preuve. Le contenu du fichier n’est pas transféré à nos serveurs.https://www.googleapis.com/auth/analytics.readonly(optionnel) : si vous connectez votre compte Google Analytics, nous lisons en lecture seule les rapports de trafic afin d’identifier les référents (ex. trafic issu des LLM). Aucun changement n’est effectué dans votre propriété GA.
Stockage : nous conservons l’email et l’ID de votre compte pour l’authentification. Les jetons sont chiffrés et renouvelés automatiquement.
2.3 Données collectées automatiquement
Lors de la navigation : identifiants techniques, pages vues, identifiants de session, adresse IP tronquée, événements techniques. Voir notre Politique Cookies.
3. Destinataires
Accès limité au personnel habilité d’AGL DIFFUSION et à des sous-traitants encadrés contractuellement (RGPD, confidentialité, sécurité) selon la stricte nécessité :
- Paiements & facturation : Stripe (politique)
- Support / Communication : HubSpot, Brevo (Sendinblue), Crisp, MessageBird
- Analytics & mesures : Google Analytics (lecture seule, si connecté)
- Conseils juridiques / conformité : DPO ou prestataire DPO
- Expertise comptable / contrôle : cabinet d’expertise, CAC si applicable
4. Transferts hors UE
Certains sous-traitants peuvent héberger ou accéder aux données depuis des pays hors UE. Dans ce cas, nous nous appuyons sur une décision d’adéquation, ou sur les Clauses Contractuelles Types de la Commission Européenne et des mesures additionnelles de sécurité.
5. Durées de conservation
| Finalité | Durée |
|---|---|
| Comptabilité / factures | 10 ans |
| Pièce d’identité (droits RGPD) | 1 an (jusqu’à 6 ans si nécessaire à la preuve) |
| Comptes utilisateurs | Jusqu’à suppression par l’utilisateur ; comptes inactifs supprimés après 24 mois |
| Logs de connexion | Jusqu’à 12 mois |
| Contrats | Pendant la relation puis 5 ans (10 ans pour les contrats électroniques ≥ 120 €) |
| Demandes de contact / support | Jusqu’à 3 ans après le dernier échange (ou durée contractuelle) |
| Prospection / newsletters | 3 ans après le dernier contact ou jusqu’au retrait/opposition |
| Statistiques d’usage agrégées | Durée nécessaire ou jusqu’à opposition lorsque applicable |
| Prévention fraude / abus | Durée nécessaire aux contrôles |
6. Prospection
Vous pouvez vous désinscrire à tout moment via le lien présent dans chaque message ou vous opposer en nous écrivant (voir contact).
7. Sécurité & protection des données (y compris données sensibles)
Notre principe : minimisation des données, limitation des accès, chiffrement systématique en transit, journalisation, et suppression à l’échéance.
- Chiffrement : TLS 1.2+ en transit ; bases chiffrées au repos ; secrets gérés de façon sécurisée.
- Contrôles d’accès : authentification forte des personnels, séparation des environnements, least privilege, révisions périodiques.
- Journalisation & traçabilité : logs d’accès administrateur et opérations sensibles, alertes d’anomalie.
- Résilience : sauvegardes régulières chiffrées, continuité d’activité, mises à jour de sécurité.
- Tests : correctifs de sécurité, durcissement, et audits quand nécessaires.
- Données sensibles / catégories particulières : nous ne recherchons pas activement à collecter des données relevant des articles 9 et 10 RGPD. Si des documents fournis par les clients en contiennent, nous agissons comme sous-traitant et mettons en œuvre des mesures renforcées (chiffrement, accès restreints, suppression à première demande du client, registres d’accès). Aucun traitement incompatible n’est effectué.
- Violation de données : procédure interne de notification (CNIL et personnes concernées) conformément aux articles 33–34 RGPD.
- Mineurs : le service ne vise pas les moins de 15 ans ; pas d’inscription volontaire de mineurs.
8. Dispositions spécifiques Google (OAuth & Analytics)
Lorsque vous connectez un compte Google, nous respectons la Google API Services User Data Policy, y compris les exigences Limited Use.
- Usage limité : les données obtenues via les API Google ne sont utilisées que pour fournir ou améliorer les fonctionnalités orientées utilisateur décrites ci-dessus (authentification de votre compte ; lecture de rapports Analytics en lecture seule ; calcul local d’empreinte d’un fichier Drive).
- Pas de vente / partage : aucune vente de données, pas d’usage pour la publicité comportementale, pas de transfert à des tiers hors sous-traitants nécessaires au service.
- Accès humain restreint : aucun accès humain au contenu obtenu via les API Google, sauf (i) si vous y consentez explicitement, (ii) si c’est nécessaire pour des raisons de sécurité (détection, prévention des abus), (iii) pour nous conformer à la loi, ou (iv) pour opérer/déboguer une fonctionnalité avec votre accord.
- Stockage des jetons : jetons d’accès chiffrés, rotation/expiration standard, révocables à tout moment via votre compte Google.
- Drive : pour la fonctionnalité d’empreinte, le calcul se fait dans votre navigateur ; nous ne téléchargeons ni ne stockons le fichier.
- Analytics : l’accès est lecture seule pour visualiser les référents et volumes de trafic (dont trafic LLM). Aucun changement n’est apporté à votre propriété GA.
- Révocation : vous pouvez retirer l’accès dans votre compte Google (Sécurité > Applications tierces) et/ou dans votre espace VURTO.
9. Vos droits & exercice
Conformément au RGPD, vous disposez des droits d’accès, rectification, effacement, limitation, portabilité, opposition ainsi que du droit de retirer votre consentement et de formuler des directives post-mortem. Plus d’informations sur cnil.fr.
Exercer vos droits
Écrivez-nous avec l’objet de votre demande (accès, opposition, etc.), un justificatif d’identité et l’adresse de réponse souhaitée :
- E-mail : contact@vurto.ai
- Courrier : AGL DIFFUSION – À l’attention du DPO, 38 Rue Saint-Hilaire, 94210 Saint-Maur-des-Fossés, France
Délai de réponse : 1 mois (prolongeable de 2 mois selon la complexité / le nombre de demandes). Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07).
10. Informations légales sur l’éditeur
Raison sociale : AGL DIFFUSION (SAS/SASU) – Capital : 5 000 €
SIREN : 840 152 409 – SIRET : 840 152 409 00024 – TVA : FR24 840 152 409
RCS : Créteil – Siège : 38 Rue Saint-Hilaire, 94210 Saint-Maur-des-Fossés, France
Présidence : SARL GD CAPITAL, représentée par M. Grégory Dilouya
11. Cookies
Pour les détails sur les traceurs (finalités, durées, paramétrage), consultez notre Politique Cookies.
12. Paiements
Les paiements sont traités par Stripe. Nous ne conservons pas vos informations de carte. Politique Stripe : https://stripe.com/privacy.