Retour

Politique de Confidentialité

Version 2.0 — En vigueur au 15/02/2026 — Dernière mise à jour : 15/05/2026

La présente Politique de Confidentialité décrit comment WISOPS SAS, éditeur de la plateforme ArcMinder, collecte, utilise, protège et partage vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).

Sommaire

  1. Responsable du Traitement
  2. Données Collectées
  3. Finalités et Bases Légales
  4. Consentement et Retrait du Consentement
  5. Intelligence Artificielle et Protection des Données
  6. Sous-traitants et Transferts de Données
  7. Durée de Conservation
  8. Vos Droits (RGPD)
  9. Sécurité des Données
  10. Cookies
  11. Suppression de Compte et Droit à l'Oubli
  12. Modifications de cette Politique
  13. Contact et Réclamations

1. Responsable du Traitement

Dénomination socialeWISOPS SAS
Forme juridiqueSociété par Actions Simplifiée (SAS)
Siège social229 Rue Saint-Honoré, 75001 Paris, France
RCS928 666 486 R.C.S. Paris
Représentant légalClément Chanut, Président
Délégué à la Protection des Données (DPO)admin@wisops.com

Rôles respectifs

  • Pour vos propres données (Manager) : WISOPS est Responsable de Traitement au sens de l'article 4(7) du RGPD.
  • Pour les données de vos collaborateurs : le Client (employeur/manager) est Responsable de Traitement et WISOPS agit en qualité de Sous-Traitant au sens de l'article 28 du RGPD.

2. Données Collectées

2.1. Données d'identification

  • Nom d'utilisateur
  • Adresse email professionnelle
  • Mot de passe (stocké sous forme de hash irréversible, jamais en clair)
  • Rôle (Manager / Contributeur Individuel)
  • Domaine d'expérience, entreprise, ancienneté

2.2. Données de profilage comportemental

  • Profil DISC : style comportemental (Dominance, Influence, Stabilité, Conformité) — profil adapté et naturel
  • Driver Assessment : leviers de motivation intrinsèques (Argent, Reconnaissance, Croissance, Sécurité)
  • Self-Calibration (Blake & Mouton) : auto-évaluation du style de leadership
  • Profilage IA : analyse, guidelines, auto-analyse et « user manual » générés par l'IA

2.3. Données de performance

  • Périodes d'objectifs et KPIs (nom, cible, valeur actuelle, unité)
  • Historique des compétences (connaissances produit, ventes, outils, concurrence)
  • Tâches et actions associées

2.4. Données d'interaction IA

  • Questions posées au Copilot conversationnel
  • Sessions de coaching 1:1 (contenu généré)
  • Analyses de la Boussole Managériale (Compass)
  • Feedback et évaluations sur les recommandations IA

2.5. Données techniques et de journalisation

  • Logs d'exécution IA (anonymisés automatiquement avant stockage — voir Section 5)
  • Horodatage des consentements (date et heure exactes de chaque consentement donné)
  • Vecteurs sémantiques (embeddings) pour la mémoire IA personnalisée

3. Finalités et Bases Légales

Finalité Base légale (RGPD) Détails
Fourniture du service de coaching IA Art. 6§1-b — Exécution du contrat Nécessaire à la fourniture du Service souscrit
Profilage comportemental (DISC, Drivers) Art. 6§1-a — Consentement explicite Recueilli à l'inscription, révocable à tout moment
Personnalisation des recommandations IA Art. 6§1-a — Consentement Lié au consentement au profilage IA
Amélioration des algorithmes (Global Wisdom) Art. 6§1-f — Intérêt légitime Données irréversiblement anonymisées avant intégration
Sécurité et prévention de la fraude Art. 6§1-f — Intérêt légitime Journalisation, détection d'anomalies
Facturation et gestion de l'abonnement Art. 6§1-b — Exécution du contrat Via Stripe (aucune donnée bancaire stockée par WISOPS)
Obligations légales et fiscales Art. 6§1-c — Obligation légale Conservation des factures 10 ans (Art. L.123-22 C. com.)

4. Consentement et Retrait du Consentement

Article 7§3 du RGPD : Le retrait du consentement est aussi simple que son octroi.

4.1. Consentements recueillis à l'inscription

Lors de la création de votre compte, trois consentements distincts sont recueillis et horodatés :

Consentement Obligatoire ? Conséquence du retrait
Politique de Confidentialité Oui (base contractuelle) Suppression du compte requise
Profilage IA Non Fonctionnalités IA désactivées (coaching, copilot, compass)
CGU/CGV Oui (base contractuelle) Suppression du compte requise

4.2. Preuve de consentement

Conformément à l'article 7§1 du RGPD, WISOPS enregistre la date et l'heure exactes de chaque consentement donné. Ces horodatages sont inclus dans l'export de vos données (Art. 20) et constituent la preuve légale du recueil de votre consentement.

4.3. Comment retirer votre consentement

Vous pouvez retirer votre consentement au profilage IA à tout moment :

  • En self-service : via l'API PUT /api/gdpr/consent avec {"ai_profiling": false}
  • Par email : en écrivant à admin@wisops.com

Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait (Art. 7§3 RGPD). Les fonctionnalités IA seront désactivées instantanément pour votre compte.

Pour consulter l'état actuel de vos consentements : GET /api/gdpr/consent

5. Intelligence Artificielle et Protection des Données

5.1. Modèles utilisés

ArcMinder utilise les modèles d'intelligence artificielle suivants, fournis par Google via API :

Modèle Usage Entraînement sur vos données ?
Google Gemini (modèle en vigueur), fourni via API Google AI Génération de contenu (coaching, copilot, compass) Non (API Paid Tier)
text-embedding-004 Vectorisation sémantique (mémoire IA) Non

5.2. Anonymisation avant envoi à l'IA

Minimisation des données (Art. 5§1-c RGPD) : Vos noms et ceux de vos collaborateurs sont systématiquement anonymisés avant d'être transmis aux modèles d'IA.

ArcMinder utilise un mécanisme d'anonymisation réversible (ContextSanitizer) qui remplace les noms réels par des étiquettes génériques (<MANAGER>, <MEMBER_1>, etc.) avant tout envoi à l'API Google Gemini. La réponse de l'IA est ensuite désanonymisée localement sur nos serveurs avant de vous être présentée. Ainsi :

  • Google ne reçoit jamais les noms réels de vos collaborateurs
  • Seuls vos serveurs ArcMinder (hébergés en UE) connaissent le mapping identité-étiquette
  • Ce mapping est éphémère (non persisté en base de données)

5.3. Anonymisation des logs IA

Les journaux d'exécution de l'IA (AiLog) sont irréversiblement anonymisés avant stockage en base de données. Les emails, numéros de téléphone, noms de personnes et noms d'entreprises sont automatiquement remplacés par des marqueurs génériques (<EMAIL>, <PHONE>, <PERSON>, <COMPANY>).

5.4. Profilage automatisé (Art. 22 RGPD)

ArcMinder réalise un profilage comportemental automatisé (DISC, Driver Assessment, Self-Calibration). Ce profilage :

  • est effectué avec votre consentement explicite, recueilli et horodaté à l'inscription ;
  • ne produit aucun effet juridique ni effet significatif similaire de manière automatisée ;
  • peut être retiré à tout moment via l'API de gestion du consentement (Section 4.3) ;
  • peut être contesté en contactant admin@wisops.com.

5.5. Architecture Multi-Agents

Le Service repose sur une architecture de traitement multi-agents (Analyste, Profiler, Stratège, Rédacteur). Chaque agent reçoit un contexte anonymisé et produit une sortie spécialisée. Cette architecture constitue un secret d'affaires protégé.

5.6. Limites de l'IA

L'Utilisateur est informé que l'intelligence artificielle :

  • peut produire des résultats inexacts ou incohérents (« hallucinations ») ;
  • ne remplace pas une expertise humaine spécialisée (RH, juridique, psychologie) ;
  • fournit des suggestions, jamais des décisions automatisées ;
  • bascule en mode de secours (Fallback Mode) en cas d'indisponibilité du service IA.

6. Sous-traitants et Transferts de Données

6.1. Liste des sous-traitants

Sous-traitant Finalité Localisation Garanties
Google LLC (Gemini API) Traitement IA / Génération de contenu États-Unis EU-US Data Privacy Framework + DPA Google Cloud
Railway Inc. Hébergement infrastructure (serveurs, base de données) Pays-Bas (UE) Serveurs en Union Européenne
Stripe Payments Europe, Ltd. Paiement et facturation Irlande (UE) Certifié PCI DSS Level 1 — Aucune donnée bancaire stockée par WISOPS

6.2. Transferts hors UE

Transfert hors UE : Les données transmises à Google (API Gemini) sont anonymisées avant envoi (voir Section 5.2). Ces transferts sont encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023).

WISOPS ne transfère aucune donnée personnelle non anonymisée hors de l'Espace Économique Européen sans garanties adéquates.

7. Durée de Conservation

Type de donnée Durée de conservation Justification
Données de Compte actif Durée de l'abonnement Exécution du contrat
Données après résiliation 30 jours (période d'export), puis suppression Droit à la portabilité (Art. 20)
Logs d'interaction IA 12 mois glissants (purge automatique) Minimisation (Art. 5§1-e)
Global Wisdom (anonymisé) Indéfinie Données anonymes, hors champ RGPD
Données de facturation 10 ans Obligation fiscale (Art. L.123-22 C. com.)
Preuves de consentement Durée de la relation + 5 ans Obligation de preuve (Art. 7§1 RGPD)

Les logs d'interaction IA de plus de 12 mois sont automatiquement purgés par un processus de nettoyage programmé, conformément au principe de limitation de la conservation (Art. 5§1-e RGPD).

8. Vos Droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit Article RGPD Comment l'exercer
Accès Art. 15 Self-service : GET /api/gdpr/my-data
Rectification Art. 16 Via les paramètres du profil ou email
Effacement (droit à l'oubli) Art. 17 Self-service : POST /api/gdpr/delete
Limitation Art. 18 Email : admin@wisops.com
Portabilité Art. 20 Self-service : GET /api/gdpr/export (format JSON)
Opposition Art. 21 Email : admin@wisops.com
Retrait du consentement Art. 7§3 Self-service : PUT /api/gdpr/consent
Consultation des consentements Art. 7§1 Self-service : GET /api/gdpr/consent

WISOPS s'engage à répondre à toute demande dans un délai de trente (30) jours conformément à l'article 12§3 du RGPD.

Contenu de l'export de données (Art. 20)

L'export inclut l'intégralité de vos données personnelles dans un fichier JSON structuré :

  • Données de compte (identité, rôle, dates)
  • Preuves de consentement (horodatages)
  • Informations professionnelles
  • Profil DISC et profilage IA
  • Driver Assessment et Self-Calibration
  • Interactions IA (questions, tokens, feedback)
  • Logs de coaching
  • Mémoire IA (vecteurs sémantiques)
  • Périodes d'objectifs et KPIs
  • Tâches et actions
  • Historique des compétences

9. Sécurité des Données

Conformément à l'article 32 du RGPD, WISOPS met en oeuvre les mesures techniques et organisationnelles suivantes :

9.1. Protection des accès

  • Mots de passe stockés sous forme de hash irréversible (Werkzeug/PBKDF2)
  • Authentification sécurisée via Flask-Login
  • Cookies de session HttpOnly, Secure, SameSite=Lax (protection XSS et CSRF)
  • Durée de session limitée à 24 heures
  • Durée du cookie « Se souvenir de moi » limitée à 30 jours

9.2. Protection des données en transit et au repos

  • Connexions HTTPS obligatoires (TLS) en production
  • Cookies transmis uniquement sur connexion sécurisée
  • Base de données PostgreSQL hébergée en Union Européenne

9.3. Minimisation et anonymisation

  • Anonymisation des noms avant envoi aux modèles d'IA (ContextSanitizer)
  • Anonymisation irréversible des logs IA avant persistance (PIIAnonymizer)
  • Purge automatique des logs d'interaction IA au-delà de 12 mois
  • Aucune donnée personnelle identifiante dans les logs serveur (identifiants numériques uniquement)
  • Re-anonymisation du Global Knowledge lors de la suppression d'un compte

9.4. Réponse aux incidents

  • Notification de la CNIL dans les 72 heures en cas de violation de données (Art. 33)
  • Notification des personnes concernées sans délai indu si risque élevé (Art. 34)
  • Messages d'erreur génériques côté utilisateur (aucune fuite d'information technique)

10. Cookies

ArcMinder utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service :

Cookie Finalité Durée Attributs de sécurité
session Authentification utilisateur 24 heures HttpOnly, Secure, SameSite=Lax
remember_token Connexion persistante (« Se souvenir de moi ») 30 jours HttpOnly, Secure, SameSite=Lax
arcminder-theme Préférence thème (clair/sombre) 1 an LocalStorage (côté client uniquement)

ArcMinder n'utilise aucun cookie de tracking, publicitaire ou analytique. Aucun bandeau de consentement aux cookies n'est donc requis (exemption cookies strictement nécessaires, Art. 82 de la Loi Informatique et Libertés).

11. Suppression de Compte et Droit à l'Oubli

Lorsque vous demandez la suppression de votre compte (Art. 17 RGPD), le processus suivant est exécuté :

  1. Re-anonymisation du Global Knowledge : les vecteurs de connaissance partagée qui vous sont associés sont re-anonymisés (suppression de tout nom, email, entreprise détectable) et dissociés de votre identité.
  2. Suppression des tâches et actions créées par vous.
  3. Suppression de l'historique des compétences lié à votre compte.
  4. Dissociation de l'équipe (si vous êtes Manager) : les membres ne sont pas supprimés mais dissociés de l'équipe.
  5. Suppression en cascade de toutes les données personnelles : profil, logs IA, coaching, vecteurs personnels, KPIs, périodes d'objectifs.
  6. Déconnexion immédiate de votre session.

Cette action est irréversible. Nous vous recommandons d'exporter vos données (GET /api/gdpr/export) avant de procéder à la suppression.

Vous pouvez prévisualiser ce qui sera supprimé avant de confirmer : GET /api/gdpr/delete/preview

12. Modifications de cette Politique

WISOPS se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. En cas de modification substantielle, vous serez informé par email ou notification in-app au minimum trente (30) jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de ce document.

La version en vigueur est toujours accessible à l'adresse /privacy-policy.

13. Contact et Réclamations

Exercer vos droits

Responsable / DPOadmin@wisops.com
Adresse postaleWISOPS SAS — 229 Rue Saint-Honoré, 75001 Paris, France

Introduire une réclamation

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :

CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy, TSA 80715 — 75334 Paris Cedex 07
Site web : www.cnil.fr

© 2026 WISOPS SAS — ArcMinder. Tous droits réservés.

CGU/CGV Connexion Inscription