Politique de confidentialité
Comment Logitopia SAS collecte, utilise et protège vos données personnelles dans le cadre du service Paul, conformément au RGPD.
Dernière mise à jour : 11 mai 2026
1.Préambule et qualification des rôles
La présente politique décrit comment Logitopia SAS(ci-après « Logitopia » ou « Nous ») traite les données personnelles dans le cadre du service Paul(askpaul.app), conformément au Règlement européen 2016/679 du 27 avril 2016 (RGPD) et à la Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
Selon les flux de données concernés, Logitopia agit :
- en qualité de responsable de traitement pour les données de Compte (identifiants, informations de facturation, journaux techniques) et les données commerciales utilisées par Logitopia pour ses propres finalités ;
- en qualité de sous-traitantau sens de l’article 28 du RGPD pour les données personnelles que ses Clients lui confient via le Contenu Client (notamment les données contenues dans les Templates, prompts et documents joints). Le Client est, dans ce cas, responsable de traitement.
Un accord de traitement des données personnelles (DPA) propre à Logitopia est disponible sur demande à rgpd@logitopia.fr.
2.Responsable du traitement et contact RGPD
Le responsable du traitement pour les données dont Logitopia détermine les finalités est :
Logitopia
35 rue Saint-Placide, 75006 Paris
RCS Paris – 992 794 735
Pour toute question, demande d’exercice de vos droits ou réclamation relative au traitement de vos données personnelles :
Email : rgpd@logitopia.fr
Courrier : Logitopia, 35 rue Saint-Placide, 75006 Paris, à l’attention du Référent RGPD
Logitopia n’est pas tenue, en l’état de son activité, de désigner un délégué à la protection des données (DPO) au sens de l’article 37 du RGPD. Un référent RGPD interne assure le suivi des demandes et la conformité continue.
3.Données collectées
Dans le cadre de l’utilisation du Service, nous collectons les catégories de données suivantes :
- Données d’identification : nom, prénom, adresse email professionnelle, mot de passe (chiffré), organisation d’appartenance, rôle.
- Données de connexion : adresse IP, user-agent du navigateur, horodatage des connexions, jetons de session.
- Contenu Client : Templates PowerPoint, prompts soumis par les Utilisateurs, documents joints (PDF, Excel, texte), présentations générées et leurs versions successives, commentaires d’édition. Ces données peuvent contenir incidemment des données personnelles relatives à des employés, prospects ou clients du Client.
- Données de facturation : raison sociale, adresse, numéro de TVA intracommunautaire, historique des commandes et factures.
- Données de paiement : les données de carte bancaire ne transitent pas par nos serveurs. Elles sont collectées et traitées directement par notre prestataire de paiement Stripe.
- Données techniques et de support : logs d’erreur (anonymisés ou pseudonymisés), échanges avec le support, métriques d’usage agrégées.
4.Finalités et bases légales
Chaque traitement est rattaché à une base légale parmi celles énumérées à l’article 6 du RGPD.
| Finalité | Base légale | Données concernées |
|---|---|---|
| Création et gestion du Compte utilisateur | Exécution du contrat (art. 6.1.b) | Identification, connexion |
| Génération et stockage des présentations à partir du Contenu Client | Exécution du contrat (art. 6.1.b) | Contenu Client, connexion |
| Facturation et comptabilité | Obligation légale (art. 6.1.c) | Facturation, identification |
| Sécurité du service, prévention des fraudes | Intérêt légitime (art. 6.1.f) | Connexion, technique |
| Amélioration du service (agrégats anonymisés uniquement) | Intérêt légitime (art. 6.1.f) | Métriques techniques agrégées |
| Support et réponse aux demandes | Exécution du contrat (art. 6.1.b) | Support, identification |
| Communications transactionnelles (mots de passe, factures, alertes) | Exécution du contrat (art. 6.1.b) | Identification |
| Communications commerciales (newsletter optionnelle) | Consentement (art. 6.1.a) | Identification, préférences |
Aucune décision automatiséeproduisant des effets juridiques ou similaires significatifs n’est prise par le Service au sens de l’article 22 du RGPD.
5.Sous-traitants et destinataires
Logitopia fait appel à des sous-traitants pour fournir certaines fonctionnalités du Service. Chaque sous-traitant est encadré par un accord de traitement des données (DPA) conforme à l’article 28 du RGPD.
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données + stockage + authentification | Union européenne (Francfort / Paris) | DPA + chiffrement TLS + repos chiffré AES-256 |
| Railway Corp. | Serveur applicatif | Union européenne (Pays-Bas) | DPA + isolation par projet |
| Stripe Payments Europe Ltd | Traitement des paiements | Irlande (UE) | DPA + certification PCI-DSS |
| OpenAI, L.L.C. | Modèles de génération (LLM) | États-Unis | DPA + clauses contractuelles types (SCC) + Data Privacy Framework + opt-out training |
| Anthropic, PBC | Modèles de génération (LLM) | États-Unis | DPA + SCC + DPF + opt-out training |
| Mistral AI | Modèles de génération (LLM) | France (UE) | DPA + opt-out training |
| Resend, Inc. | Envoi d’emails transactionnels | UE / États-Unis | DPA + SCC + DPF |
| Sentry / Functional Software Inc. | Supervision et monitoring d’erreurs | UE (région) / États-Unis | DPA + SCC + scrubbing PII |
La liste à jour des sous-traitants est tenue à disposition à l’adresse rgpd@logitopia.fr. Le Client peut s’opposer à l’ajout d’un nouveau sous-traitant pour des motifs légitimes, dans un délai de trente (30) jours suivant notification.
6.Transferts hors Union européenne
Les serveurs applicatif et de base de données traitant le Contenu Client sont localisés en Union européenne. Toutefois, certains sous-traitants (notamment OpenAI, Anthropic, Resend, Sentry) peuvent traiter des données aux États-Unis dans le cadre limité de leur prestation.
Tout transfert hors Union européenne est encadré par :
- les Clauses contractuelles types(Standard Contractual Clauses) adoptées par la Commission européenne (décision 2021/914) ;
- le mécanisme du Data Privacy Framework (DPF) lorsque le sous-traitant en bénéficie ;
- une analyse d’impact des transferts (Transfer Impact Assessment) conforme aux recommandations du Comité européen de la protection des données.
Le Contenu Client utilisé pour la génération est transmis aux LLM dans des conditions de minimisation et de chiffrement en transit, avec opt-out training explicite. Les prompts et outputs ne sont pas conservés à long terme par les fournisseurs de LLM (conservation éphémère pour la durée de l’inférence).
7.Durées de conservation
| Catégorie | Durée active | Archivage légal |
|---|---|---|
| Données de Compte et Contenu Client | Durée de la relation contractuelle | Suppression définitive sous 30 jours après clôture |
| Factures et données comptables | Durée de la relation | 10 ans (article L123-22 C. com.) |
| Logs de connexion et de sécurité | 12 mois (recommandation CNIL) | — |
| Logs applicatifs (debug, erreur) | 30 jours | — |
| Données de prospection commerciale (newsletter) | 3 ans à compter du dernier contact | — |
À l’issue des durées indiquées, les données sont soit supprimées de façon sécurisée, soit anonymisées de manière irréversible.
8.Sécurité
Logitopia met en œuvre des mesures techniques et organisationnelles destinées à préserver la confidentialité, l’intégrité et la disponibilité des données traitées, conformément à l’article 32 du RGPD.
- Chiffrement en transit : TLS 1.2 et supérieur sur l’ensemble des canaux de communication, HSTS strict avec preload.
- Chiffrement au repos : AES-256 sur la base de données et le stockage objet.
- Cloisonnement : Row Level Security (RLS) au niveau de la base de données, garantissant qu’une requête ne peut pas traverser les frontières d’Organisation.
- Authentification : jetons JWT signés ES256, sessions courtes, rotation automatique.
- Politique de mots de passe : complexité minimale, vérification contre les bases de compromission.
- Contrôle d’accès : principe du moindre privilège, séparation des environnements (production / staging), journalisation des accès administratifs.
- Supervision : monitoring d’erreurs avec scrubbing automatique des informations personnelles, alerting sur les anomalies.
- Sauvegardes : sauvegardes automatiques quotidiennes avec rétention de 30 jours, tests de restauration périodiques.
- Audit interne : revue de sécurité couvrant treize domaines de cybersécurité réalisée en avril 2026, plan de remédiation suivi.
En cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, Logitopia notifie la CNIL dans un délai de soixante-douze (72) heures et, le cas échéant, les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
9.Droits des personnes concernées
Vous disposez, à tout moment, des droits suivants :
- Droit d’accès(art. 15 RGPD) : obtenir confirmation que des données vous concernant sont traitées et en obtenir une copie.
- Droit de rectification(art. 16) : faire corriger les données inexactes ou incomplètes.
- Droit à l’effacement(art. 17) : obtenir la suppression de vos données, dans les conditions prévues par le RGPD.
- Droit à la limitation(art. 18) : obtenir la limitation temporaire du traitement.
- Droit à la portabilité(art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d’opposition(art. 21) : vous opposer à un traitement fondé sur l’intérêt légitime, pour des raisons tenant à votre situation particulière.
- Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci, sans que cela affecte la licéité du traitement antérieur.
- Directives post-mortem(art. 84-86 LIL) : définir le sort de vos données après votre décès.
Pour exercer ces droits, contactez-nous à rgpd@logitopia.fr. Nous répondrons dans un délai d’un (1) mois à compter de la réception de votre demande, prorogeable de deux (2) mois supplémentaires si la complexité ou le nombre de demandes le justifie.
Si vous estimez que vos droits ne sont pas respectés, vous disposez du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07, www.cnil.fr.
10.Cookies et traceurs
Le site askpaul.app utilise uniquement des cookies et traceurs strictement nécessaires à son fonctionnement, qui sont exemptés de consentement préalable au sens de l’article 82 de la Loi Informatique et Libertés (cf. recommandations CNIL).
| Cookie / Traceur | Finalité | Durée | Émetteur |
|---|---|---|---|
sb-access-token, sb-refresh-token | Authentification et maintien de session | Session / 7 jours | Supabase |
__stripe_mid, __stripe_sid | Sécurisation des paiements (anti-fraude) | 1 an / 30 min | Stripe (lors d’un paiement) |
| Préférences UI | Persistance des préférences d’affichage (mode clair/sombre, langue) | 1 an | Logitopia |
Le service n’utilise aucun cookie publicitaire ni traceur tiers à des fins marketing. Aucun outil de mesure d’audience nécessitant un consentement n’est déployé. En conséquence, aucun bandeau de recueil du consentement n’est requis pour les cookies utilisés.
Si vous souhaitez tout de même bloquer les cookies, vous pouvez configurer votre navigateur en conséquence. La désactivation des cookies strictement nécessaires empêche toutefois le bon fonctionnement du Service (notamment l’authentification).
11.Intelligence artificielle et données
Le Service utilise des modèles d’intelligence artificielle générative fournis par des sous-traitants tiers (OpenAI, Anthropic, Mistral AI) pour générer des présentations à partir du Contenu Client soumis par les Utilisateurs.
Conformément à nos engagements contractuels avec ces sous-traitants et à nos obligations RGPD :
- Aucun apprentissage automatiquen’est réalisé par les sous-traitants IA sur vos données. Les options « opt-out training » sont activées contractuellement.
- Conservation éphémère côté LLM : les prompts et outputs ne sont pas archivés à long terme par les fournisseurs de modèles. Les politiques de rétention zéro (« Zero Data Retention ») sont demandées chaque fois qu’elles sont accessibles.
- Minimisation : seules les portions strictement nécessaires du Contenu Client sont transmises aux LLM (texte du prompt, extraits de documents pertinents). Les Templates eux-mêmes ne sont jamais transmis aux LLM.
- Transparence : conformément à l’article 50 de l’AI Act, les Utilisateurs sont expressément informés qu’ils interagissent avec un système d’intelligence artificielle.
La liste des sous-traitants IA et leur localisation est détaillée à l’article 5 de la présente politique.
12.Mises à jour de la politique
La présente politique de confidentialité peut être mise à jour pour tenir compte d’évolutions techniques, réglementaires ou des sous-traitants utilisés.
Toute modification substantielle fera l’objet d’une notification préalable par email aux Utilisateurs concernés, au moins trente (30) jours avant son entrée en vigueur lorsque cela est techniquement possible. La date de dernière mise à jour est indiquée en tête de la présente politique.
13.Contact
Pour toute question relative à la présente politique ou au traitement de vos données personnelles, vous pouvez nous contacter :
- Par email : rgpd@logitopia.fr
- Par courrier : Logitopia, 35 rue Saint-Placide, 75006 Paris
Vous pouvez également adresser une réclamation à la CNIL dans les conditions indiquées à l’article 9.