Confidentialité

Politique de données personnelles.

Cette politique explique comment Emett traite les données personnelles liées au site emett.ai, aux demandes de contact et à l'utilisation professionnelle du service Emett.

1. Identité et contact

Emett, société par actions simplifiée au capital de 1 000 euros, immatriculée au RCS de Nanterre sous le numéro 105 358 253, dont le siège social est situé 78 boulevard Bourdon, 92200 Neuilly-sur-Seine, France, édite le site emett.ai et le service Emett.

Pour toute question relative à cette politique ou pour exercer vos droits : privacy@emett.ai.

2. Rôles RGPD

Emett agit comme responsable de traitement pour les traitements nécessaires à l'édition du site, à la gestion des demandes entrantes, à la gestion des comptes, à la sécurité du service, au support et aux échanges liés au pilote.

Lorsqu'un client professionnel décide des contenus à traiter dans Emett, Emett peut agir comme sous-traitant du client. Les traitements sont alors encadrés par le contrat, le DPA ou les instructions documentées du client.

Lorsque vous connectez votre propre fournisseur d'IA, abonnement ou clé API, ce fournisseur peut traiter les données selon ses propres conditions. Votre organisation doit vérifier le cadre contractuel applicable.

3. Catégories de données traitées

Selon votre usage, Emett peut traiter :

  • données d'identification et de contact : nom, prénom, email, organisation, rôle ;
  • données de compte : identifiants, domaine email, paramètres, statut d'accès ;
  • données techniques : sessions, journaux, erreurs, métadonnées et sécurité ;
  • contenus transmis : prompts, questions, documents, extraits, réponses et fichiers ;
  • données de support, feedback, pilote, contrat et demandes entrantes.

Emett ne recherche pas de données sensibles, de données relatives à des infractions ou de contenus couverts par un secret professionnel. Si l'utilisateur en transmet, son organisation doit vérifier que cette transmission est autorisée.

4. Finalités et bases légales

Emett traite ces données pour :

  • répondre aux demandes entrantes et gérer les échanges associés ;
  • créer, administrer et sécuriser les comptes ;
  • fournir le service, générer les réponses et produire les traces utiles ;
  • assurer le support, diagnostiquer les erreurs et améliorer la qualité ;
  • prévenir les abus, protéger l'infrastructure et respecter la loi.

Les bases légales sont, selon les cas, le contrat, les mesures précontractuelles, l'intérêt légitime, l'obligation légale et, lorsque nécessaire, le consentement. Lorsque Emett agit comme sous-traitant, la base légale est déterminée par le client responsable de traitement.

5. IA, cookies et absence d'entraînement

Les questions, documents, prompts, réponses, extraits, fichiers et contenus transmis par les utilisateurs ne sont pas utilisés pour entraîner ou fine-tuner des modèles d'IA. Ils ne rejoignent pas le corpus commun, ne sont pas ajoutés à la doctrine Emett et ne sont pas réutilisés pour d'autres clients, sauf accord écrit contraire ou anonymisation empêchant la réidentification.

Dans la configuration standard du pilote, le fournisseur d'IA est OpenAI, avec traitement configuré en Europe. Des extraits strictement nécessaires peuvent lui être transmis pour produire la réponse demandée. Les modalités exactes peuvent être précisées au contrat ou dans un DPA.

Emett peut utiliser PostHog pour mesurer l'usage du site et du service, comprendre les parcours et améliorer le produit. Emett n'utilise pas de cookies publicitaires et ne fait pas de prospection par newsletter. Les traceurs non strictement nécessaires sont soumis au consentement lorsque la loi l'exige.

Emett peut produire des statistiques anonymes ou agrégées relatives à l'usage, à la performance, à la qualité et à la sécurité du service. Ces statistiques ne doivent pas permettre d'identifier un utilisateur ou un client et ne sont pas utilisées pour entraîner ou fine-tuner un modèle d'IA.

6. Durées de conservation

Par défaut, les logs de requêtes, prompts, réponses, extraits, fichiers et documents importés liés à une requête sont conservés pendant une durée maximale de trente (30) jours, sauf demande de suppression anticipée, obligation légale, nécessité de sécurité, défense d'un droit en justice ou stipulation contractuelle différente.

CatégorieDurée indicative
Données de compte et de piloteDurée du pilote, puis suppression ou anonymisation dans un délai court, sauf besoin contractuel, sécurité ou défense des droits.
Requêtes, prompts, réponses, extraits, fichiers et documents importés30 jours maximum par défaut.
Logs de sécurité et journaux techniquesDurée courte nécessaire à la sécurité, au diagnostic et à la preuve.
Support, feedback et signalements qualitéDurée nécessaire au traitement, puis suppression ou anonymisation, sauf suivi utile du pilote ou défense des droits.
Contrats, preuves et documents légauxDurée nécessaire aux obligations légales, contractuelles ou à la défense des droits.

Un contrat, DPA, pilote ou accord client peut prévoir une durée plus courte ou plus longue, notamment pour le support, la résolution d'incidents, la restitution, l'audit ou la décision de passage en production.

Les feedbacks, signalements qualité et échanges de support peuvent être conservés plus longtemps pour améliorer le produit, corriger les erreurs et documenter le pilote. Les données de contact liées aux demandes entrantes sont conservées pendant la durée nécessaire au traitement de la demande et au suivi de la relation.

7. Destinataires, sous-traitants et transferts

Les données sont accessibles aux personnes habilitées d'Emett, dans la limite de leurs besoins pour fournir, sécuriser, maintenir et améliorer le service. Emett ne vend pas les données personnelles des utilisateurs.

Emett peut recourir à des prestataires techniques, notamment pour l'hébergement, le stockage, l'observabilité, la génération IA, l'email transactionnel et la recherche. La liste exacte des sous-traitants peut être précisée dans un DPA, un contrat client ou une annexe dédiée.

Le pilote Emett est configuré pour un hébergement et un traitement en Europe, notamment avec AWS Europe et OpenAI configuré pour un traitement européen.

Lorsque, malgré cette configuration, un transfert de données hors EEE, c'est-à-dire hors de l'Espace économique européen, est nécessaire, Emett l'encadre par une décision d'adéquation, des clauses contractuelles types, un DPA ou toute autre garantie applicable au titre du RGPD.

Si un client connecte son propre fournisseur ou demande une configuration différente, il lui appartient de vérifier les conditions, localisations et garanties applicables à ce fournisseur.

8. Sécurité et droits

Emett met en œuvre des mesures techniques et organisationnelles visant à protéger les données traitées, notamment le chiffrement au repos AES-256, le chiffrement en transit TLS 1.3, des contrôles d'accès, une connexion par code à usage unique envoyé par email, des restrictions d'accès internes, le principe du moindre privilège, des journaux techniques et de sécurité, une séparation logique des espaces clients, des sauvegardes et des procédures de gestion d'incidents.

L'utilisateur doit également protéger ses accès, limiter les contenus transmis au strict nécessaire et signaler rapidement toute anomalie. En cas de violation de données personnelles, Emett applique ses obligations de notification et d'assistance conformément au RGPD et aux contrats applicables.

Dans les conditions prévues par le RGPD, vous pouvez demander l'accès à vos données, leur rectification, leur effacement, la limitation du traitement, leur portabilité lorsque ce droit s'applique, ou vous opposer à certains traitements. Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment pour l'avenir.

Pour exercer vos droits, écrivez à privacy@emett.ai. Emett pourra vous demander les informations nécessaires pour confirmer votre identité et traiter la demande.

Emett répond aux demandes dans un délai d'un mois à compter de leur réception. Ce délai peut être prolongé lorsque la complexité ou le nombre de demandes le justifie, conformément au RGPD.

Lorsque Emett agit comme sous-traitant d'un client, certaines demandes doivent être adressées au client responsable de traitement. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr.

9. Décisions automatisées, mineurs et modification

Emett ne prend pas de décision produisant des effets juridiques vous concernant sur le seul fondement d'un traitement automatisé. Les réponses générées par le service sont des aides à l'analyse et doivent faire l'objet d'un contrôle humain.

Le service Emett est destiné à des utilisateurs professionnels ou agissant dans un cadre organisationnel. Il n'est pas destiné aux mineurs.

Emett peut modifier la présente politique pour tenir compte de l'évolution du service, de ses traitements, de ses fournisseurs ou du cadre juridique applicable. La version publiée sur le site est la version en vigueur.