Politique de confidentialité
Dernière mise à jour : février 2026
La présente politique de confidentialité décrit comment Infera Green collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679).
1. Responsable du traitement
Infera Studio — Ahmadi Rateb
7 rue du Limousin, 57070 Metz, France
SIRET : 918 875 204 00029
Contact : contact@infera-studio.com
Référent RGPD : Ahmadi Rateb — contact@infera-studio.com
2. Données personnelles collectées
| Donnée | Finalité | Base légale |
|---|---|---|
| Email, prénom, nom | Création et gestion du compte | Exécution du contrat (Art. 6.1.b) |
| Mot de passe (hashé bcrypt) | Authentification sécurisée | Exécution du contrat (Art. 6.1.b) |
| Historique d'arrosage | Fonctionnement de la gamification | Exécution du contrat (Art. 6.1.b) |
| Réponses aux quiz | Quiz environnementaux | Intérêt légitime (Art. 6.1.f) |
| Scores, badges, classements | Gamification et engagement | Intérêt légitime (Art. 6.1.f) |
| Questions AO (texte libre) | Génération de réponses RSE par IA | Exécution du contrat (Art. 6.1.b) |
Aucune donnée sensible (santé, opinions, biométrie) n'est collectée.
3. Sous-traitants et transferts de données
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Render | Hébergement API et BDD | Frankfurt, UE | DPA signé |
| Vercel | Hébergement frontend | Frankfurt (fra1), UE | DPA signé |
| Stripe | Gestion des paiements | Global (DPA) | DPA + SCCs |
| Anthropic | Intelligence artificielle | États-Unis | DPA + SCCs |
| Tree Nation | Plantation d'arbres réels | Espagne, UE | Intra-UE |
| Cloudflare | Sécurité et infrastructure DNS | États-Unis | DPA + SCCs |
| Resend | Envoi d'emails transactionnels | États-Unis | DPA + SCCs |
Les transferts de données vers les États-Unis (Stripe, Anthropic, Cloudflare, Resend) sont encadrés par des Clauses Contractuelles Types (SCCs) conformément aux articles 44 à 49 du RGPD.
4. Intelligence artificielle et données
Les fonctionnalités d'IA utilisent le service Anthropic (Claude). Les données envoyées sont principalement des données agrégées d'entreprise (statistiques, nombre d'arbres plantés). Aucune donnée nominative d'employé n'est transmise pour la génération de réponses AO ou de rapports CSRD.
Pour la fonctionnalité d'import en masse de collaborateurs, les noms et emails contenus dans le document uploadé sont transmis à Anthropic pour extraction. Ce traitement est encadré par le DPA Anthropic et les SCCs.
5. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte actif | Durée de l'abonnement de l'entreprise |
| Compte supprimé | Anonymisé sous 30 jours |
| Historique IA (AO, CSRD) | Durée de l'abonnement |
| Logs techniques | 90 jours |
| Données de facturation | 10 ans (obligation légale) |
6. Vos droits (RGPD Art. 15-22)
Vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) : obtenir une copie de vos données
- Droit de rectification (Art. 16) : corriger vos informations depuis votre profil
- Droit à l'effacement (Art. 17) : demander la suppression de votre compte
- Droit à la portabilité (Art. 20) : exporter vos données dans un format structuré (JSON)
- Droit d'opposition (Art. 21) : vous opposer au traitement de vos données
- Droit à la limitation (Art. 18) : demander la limitation du traitement
Pour exercer vos droits, contactez-nous à contact@infera-studio.com. Nous répondrons sous 30 jours maximum.
7. Sécurité des données
- Mots de passe hashés avec bcrypt (salt factor 10)
- Authentification par tokens JWT dans des cookies httpOnly sécurisés
- Communications chiffrées en HTTPS/TLS
- Base de données hébergée en Union européenne (Frankfurt)
- Contrôle d'accès par rôles (employé, administrateur)
- Protection contre les attaques (rate limiting, validation des entrées, headers de sécurité)
8. Cookies
Infera Green utilise uniquement des cookies fonctionnels strictement nécessaires à l'authentification. Aucun cookie de tracking ou publicitaire n'est utilisé. Ces cookies sont exemptés de consentement conformément à la directive ePrivacy.
9. Réclamation
Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr.
10. Modification de cette politique
Cette politique peut être mise à jour. Les modifications significatives seront communiquées par email ou notification dans l'application.