Politique de Confidentialité

La présente Politique de Confidentialité décrit comment WISOPS SAS, éditeur de la plateforme ArcMinder, collecte, utilise, protège et partage vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).

Sommaire

Responsable du Traitement
Données Collectées
Finalités et Bases Légales
Consentement et Retrait du Consentement
Intelligence Artificielle et Protection des Données
Sous-traitants et Transferts de Données
Durée de Conservation
Vos Droits (RGPD)
Sécurité des Données
Cookies
Suppression de Compte et Droit à l'Oubli
Modifications de cette Politique
Contact et Réclamations

1. Responsable du Traitement

Dénomination sociale	WISOPS SAS
Forme juridique	Société par Actions Simplifiée (SAS)
Siège social	229 Rue Saint-Honoré, 75001 Paris, France
RCS	928 666 486 R.C.S. Paris
Représentant légal	Clément Chanut, Président
Délégué à la Protection des Données (DPO)	admin@wisops.com

Rôles respectifs

Pour vos propres données (Manager) : WISOPS est Responsable de Traitement au sens de l'article 4(7) du RGPD.
Pour les données de vos collaborateurs : le Client (employeur/manager) est Responsable de Traitement et WISOPS agit en qualité de Sous-Traitant au sens de l'article 28 du RGPD.

2. Données Collectées

2.1. Données d'identification

Nom d'utilisateur
Adresse email professionnelle
Mot de passe (stocké sous forme de hash irréversible, jamais en clair)
Rôle (Manager / Contributeur Individuel)
Domaine d'expérience, entreprise, ancienneté

2.2. Données de profilage comportemental

Profil DISC : style comportemental (Dominance, Influence, Stabilité, Conformité) — profil adapté et naturel
Driver Assessment : leviers de motivation intrinsèques (Argent, Reconnaissance, Croissance, Sécurité)
Self-Calibration (Blake & Mouton) : auto-évaluation du style de leadership
Profilage IA : analyse, guidelines, auto-analyse et « user manual » générés par l'IA

2.3. Données de performance

Périodes d'objectifs et KPIs (nom, cible, valeur actuelle, unité)
Historique des compétences (connaissances produit, ventes, outils, concurrence)
Tâches et actions associées

2.4. Données d'interaction IA

Questions posées au Copilot conversationnel
Sessions de coaching 1:1 (contenu généré)
Analyses de la Boussole Managériale (Compass)
Feedback et évaluations sur les recommandations IA

2.5. Données techniques et de journalisation

Logs d'exécution IA (anonymisés automatiquement avant stockage — voir Section 5)
Horodatage des consentements (date et heure exactes de chaque consentement donné)
Vecteurs sémantiques (embeddings) pour la mémoire IA personnalisée

3. Finalités et Bases Légales

Finalité	Base légale (RGPD)	Détails
Fourniture du service de coaching IA	Art. 6§1-b — Exécution du contrat	Nécessaire à la fourniture du Service souscrit
Profilage comportemental (DISC, Drivers)	Art. 6§1-a — Consentement explicite	Recueilli à l'inscription, révocable à tout moment
Personnalisation des recommandations IA	Art. 6§1-a — Consentement	Lié au consentement au profilage IA
Amélioration des algorithmes (Global Wisdom)	Art. 6§1-f — Intérêt légitime	Données irréversiblement anonymisées avant intégration
Sécurité et prévention de la fraude	Art. 6§1-f — Intérêt légitime	Journalisation, détection d'anomalies
Facturation et gestion de l'abonnement	Art. 6§1-b — Exécution du contrat	Via Stripe (aucune donnée bancaire stockée par WISOPS)
Obligations légales et fiscales	Art. 6§1-c — Obligation légale	Conservation des factures 10 ans (Art. L.123-22 C. com.)

4. Consentement et Retrait du Consentement

Article 7§3 du RGPD : Le retrait du consentement est aussi simple que son octroi.

4.1. Consentements recueillis à l'inscription

Lors de la création de votre compte, trois consentements distincts sont recueillis et horodatés :

Consentement	Obligatoire ?	Conséquence du retrait
Politique de Confidentialité	Oui (base contractuelle)	Suppression du compte requise
Profilage IA	Non	Fonctionnalités IA désactivées (coaching, copilot, compass)
CGU/CGV	Oui (base contractuelle)	Suppression du compte requise

4.2. Preuve de consentement

Conformément à l'article 7§1 du RGPD, WISOPS enregistre la date et l'heure exactes de chaque consentement donné. Ces horodatages sont inclus dans l'export de vos données (Art. 20) et constituent la preuve légale du recueil de votre consentement.

4.3. Comment retirer votre consentement

Vous pouvez retirer votre consentement au profilage IA à tout moment :

En self-service : via l'API PUT /api/gdpr/consent avec {"ai_profiling": false}
Par email : en écrivant à admin@wisops.com

Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait (Art. 7§3 RGPD). Les fonctionnalités IA seront désactivées instantanément pour votre compte.

Pour consulter l'état actuel de vos consentements : GET /api/gdpr/consent

5. Intelligence Artificielle et Protection des Données

5.1. Modèles utilisés

ArcMinder utilise les modèles d'intelligence artificielle suivants, fournis par Google via API :

Modèle	Usage	Entraînement sur vos données ?
Google Gemini 1.5 Flash	Génération de contenu (coaching, copilot, compass)	Non (API Paid Tier)
text-embedding-004	Vectorisation sémantique (mémoire IA)	Non

5.2. Anonymisation avant envoi à l'IA

Minimisation des données (Art. 5§1-c RGPD) : Vos noms et ceux de vos collaborateurs sont systématiquement anonymisés avant d'être transmis aux modèles d'IA.

ArcMinder utilise un mécanisme d'anonymisation réversible (ContextSanitizer) qui remplace les noms réels par des étiquettes génériques (<MANAGER>, <MEMBER_1>, etc.) avant tout envoi à l'API Google Gemini. La réponse de l'IA est ensuite désanonymisée localement sur nos serveurs avant de vous être présentée. Ainsi :

Google ne reçoit jamais les noms réels de vos collaborateurs
Seuls vos serveurs ArcMinder (hébergés en UE) connaissent le mapping identité-étiquette
Ce mapping est éphémère (non persisté en base de données)

5.3. Anonymisation des logs IA

Les journaux d'exécution de l'IA (AiLog) sont irréversiblement anonymisés avant stockage en base de données. Les emails, numéros de téléphone, noms de personnes et noms d'entreprises sont automatiquement remplacés par des marqueurs génériques (<EMAIL>, <PHONE>, <PERSON>, <COMPANY>).

5.4. Profilage automatisé (Art. 22 RGPD)

ArcMinder réalise un profilage comportemental automatisé (DISC, Driver Assessment, Self-Calibration). Ce profilage :

est effectué avec votre consentement explicite, recueilli et horodaté à l'inscription ;
ne produit aucun effet juridique ni effet significatif similaire de manière automatisée ;
peut être retiré à tout moment via l'API de gestion du consentement (Section 4.3) ;
peut être contesté en contactant admin@wisops.com.

5.5. Architecture Multi-Agents

Le Service repose sur une architecture de traitement multi-agents (Analyste, Profiler, Stratège, Rédacteur). Chaque agent reçoit un contexte anonymisé et produit une sortie spécialisée. Cette architecture constitue un secret d'affaires protégé.

5.6. Limites de l'IA

L'Utilisateur est informé que l'intelligence artificielle :

peut produire des résultats inexacts ou incohérents (« hallucinations ») ;
ne remplace pas une expertise humaine spécialisée (RH, juridique, psychologie) ;
fournit des suggestions, jamais des décisions automatisées ;
bascule en mode de secours (Fallback Mode) en cas d'indisponibilité du service IA.

6. Sous-traitants et Transferts de Données

6.1. Liste des sous-traitants

Sous-traitant	Finalité	Localisation	Garanties
Google LLC (Gemini API)	Traitement IA / Génération de contenu	États-Unis	EU-US Data Privacy Framework + DPA Google Cloud
Railway Inc.	Hébergement infrastructure (serveurs, base de données)	Pays-Bas (UE)	Serveurs en Union Européenne
Stripe Payments Europe, Ltd.	Paiement et facturation	Irlande (UE)	Certifié PCI DSS Level 1 — Aucune donnée bancaire stockée par WISOPS

6.2. Transferts hors UE

Transfert hors UE : Les données transmises à Google (API Gemini) sont anonymisées avant envoi (voir Section 5.2). Ces transferts sont encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023).

WISOPS ne transfère aucune donnée personnelle non anonymisée hors de l'Espace Économique Européen sans garanties adéquates.

7. Durée de Conservation

Type de donnée	Durée de conservation	Justification
Données de Compte actif	Durée de l'abonnement	Exécution du contrat
Données après résiliation	30 jours (période d'export), puis suppression	Droit à la portabilité (Art. 20)
Logs d'interaction IA	12 mois glissants (purge automatique)	Minimisation (Art. 5§1-e)
Global Wisdom (anonymisé)	Indéfinie	Données anonymes, hors champ RGPD
Données de facturation	10 ans	Obligation fiscale (Art. L.123-22 C. com.)
Preuves de consentement	Durée de la relation + 5 ans	Obligation de preuve (Art. 7§1 RGPD)

Les logs d'interaction IA de plus de 12 mois sont automatiquement purgés par un processus de nettoyage programmé, conformément au principe de limitation de la conservation (Art. 5§1-e RGPD).

8. Vos Droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit	Article RGPD	Comment l'exercer
Accès	Art. 15	Self-service : `GET /api/gdpr/my-data`
Rectification	Art. 16	Via les paramètres du profil ou email
Effacement (droit à l'oubli)	Art. 17	Self-service : `POST /api/gdpr/delete`
Limitation	Art. 18	Email : admin@wisops.com
Portabilité	Art. 20	Self-service : `GET /api/gdpr/export` (format JSON)
Opposition	Art. 21	Email : admin@wisops.com
Retrait du consentement	Art. 7§3	Self-service : `PUT /api/gdpr/consent`
Consultation des consentements	Art. 7§1	Self-service : `GET /api/gdpr/consent`

WISOPS s'engage à répondre à toute demande dans un délai de trente (30) jours conformément à l'article 12§3 du RGPD.

Contenu de l'export de données (Art. 20)

L'export inclut l'intégralité de vos données personnelles dans un fichier JSON structuré :

Données de compte (identité, rôle, dates)
Preuves de consentement (horodatages)
Informations professionnelles
Profil DISC et profilage IA
Driver Assessment et Self-Calibration
Interactions IA (questions, tokens, feedback)
Logs de coaching
Mémoire IA (vecteurs sémantiques)
Périodes d'objectifs et KPIs
Tâches et actions
Historique des compétences

9. Sécurité des Données

Conformément à l'article 32 du RGPD, WISOPS met en oeuvre les mesures techniques et organisationnelles suivantes :

9.1. Protection des accès

Mots de passe stockés sous forme de hash irréversible (Werkzeug/PBKDF2)
Authentification sécurisée via Flask-Login
Cookies de session HttpOnly, Secure, SameSite=Lax (protection XSS et CSRF)
Durée de session limitée à 24 heures
Durée du cookie « Se souvenir de moi » limitée à 30 jours

9.2. Protection des données en transit et au repos

Connexions HTTPS obligatoires (TLS) en production
Cookies transmis uniquement sur connexion sécurisée
Base de données PostgreSQL hébergée en Union Européenne

9.3. Minimisation et anonymisation

Anonymisation des noms avant envoi aux modèles d'IA (ContextSanitizer)
Anonymisation irréversible des logs IA avant persistance (PIIAnonymizer)
Purge automatique des logs d'interaction IA au-delà de 12 mois
Aucune donnée personnelle identifiante dans les logs serveur (identifiants numériques uniquement)
Re-anonymisation du Global Knowledge lors de la suppression d'un compte

9.4. Réponse aux incidents

Notification de la CNIL dans les 72 heures en cas de violation de données (Art. 33)
Notification des personnes concernées sans délai indu si risque élevé (Art. 34)
Messages d'erreur génériques côté utilisateur (aucune fuite d'information technique)

10. Cookies

ArcMinder utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service :

Cookie	Finalité	Durée	Attributs de sécurité
`session`	Authentification utilisateur	24 heures	HttpOnly, Secure, SameSite=Lax
`remember_token`	Connexion persistante (« Se souvenir de moi »)	30 jours	HttpOnly, Secure, SameSite=Lax
`arcminder-theme`	Préférence thème (clair/sombre)	1 an	LocalStorage (côté client uniquement)

ArcMinder n'utilise aucun cookie de tracking, publicitaire ou analytique. Aucun bandeau de consentement aux cookies n'est donc requis (exemption cookies strictement nécessaires, Art. 82 de la Loi Informatique et Libertés).

11. Suppression de Compte et Droit à l'Oubli

Lorsque vous demandez la suppression de votre compte (Art. 17 RGPD), le processus suivant est exécuté :

Re-anonymisation du Global Knowledge : les vecteurs de connaissance partagée qui vous sont associés sont re-anonymisés (suppression de tout nom, email, entreprise détectable) et dissociés de votre identité.
Suppression des tâches et actions créées par vous.
Suppression de l'historique des compétences lié à votre compte.
Dissociation de l'équipe (si vous êtes Manager) : les membres ne sont pas supprimés mais dissociés de l'équipe.
Suppression en cascade de toutes les données personnelles : profil, logs IA, coaching, vecteurs personnels, KPIs, périodes d'objectifs.
Déconnexion immédiate de votre session.

Cette action est irréversible. Nous vous recommandons d'exporter vos données (GET /api/gdpr/export) avant de procéder à la suppression.

Vous pouvez prévisualiser ce qui sera supprimé avant de confirmer : GET /api/gdpr/delete/preview

12. Modifications de cette Politique

WISOPS se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. En cas de modification substantielle, vous serez informé par email ou notification in-app au minimum trente (30) jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de ce document.

La version en vigueur est toujours accessible à l'adresse /privacy-policy.

13. Contact et Réclamations

Exercer vos droits

Responsable / DPO	admin@wisops.com
Adresse postale	WISOPS SAS — 229 Rue Saint-Honoré, 75001 Paris, France

Introduire une réclamation

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :

CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy, TSA 80715 — 75334 Paris Cedex 07
Site web : www.cnil.fr