Politique de confidentialité
Cette page explique comment Aiomi collecte, utilise et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD).
Dernière mise à jour : 2026-06-12
1. Qui est responsable du traitement ?
Le responsable du traitement est Aiomi, entreprise individuelle de Maxime Trabattoni, immatriculée au RNE sous le numéro SIREN 788 684 603, dont le siège social est 62 rue Adrien Lagourgue, 97424 Saint-Leu, La Réunion, France. Pour toute question relative à la protection de vos données, vous pouvez écrire à privacy@aiomi.fr.
2. Quelles données sont collectées ?
Nous collectons uniquement les données strictement nécessaires au fonctionnement du service :
- Compte : email, nom complet (optionnel), mot de passe chiffré, audience (agence ou PME), préférences de langue.
- Entreprise : raison sociale, SIRET (facultatif), taille de l'équipe.
- Sites surveillés : nom de domaine déclaré, fréquence de scan demandée, jeton de vérification.
- Résultats techniques : scores, findings, logs de scans (SSL, DNS, headers, blacklists, CVE WordPress), données techniques exposées publiquement par les serveurs scannés.
- Facturation : historique d'abonnement et consommation IA (jamais le numéro de carte bancaire, il est traité exclusivement par Stripe).
- Logs applicatifs : adresse IP, user-agent, horodatage des requêtes, purgés automatiquement après 30 jours.
3. Pourquoi ces données ?
- Exécution du contrat (art. 6.1.b RGPD) : fournir le service de surveillance et le cockpit cyber.
- Intérêt légitime (art. 6.1.f RGPD) : sécuriser la plateforme, prévenir les fraudes, améliorer le service.
- Obligation légale (art. 6.1.c RGPD) : conserver les factures pendant 10 ans (Code de commerce), répondre aux réquisitions judiciaires.
- Consentement (art. 6.1.a RGPD) : emails marketing (opt-in explicite), cookies non essentiels.
4. Combien de temps conservons-nous vos données ?
- Compte actif : tant que vous utilisez le service.
- Compte inactif > 24 mois : suppression automatique après notification.
- Scans et findings : 90 jours d'historique détaillé, archivage anonymisé au-delà.
- Audits anonymes (landing) : 7 jours maximum (purge automatique).
- Logs techniques : 30 jours.
- Factures : 10 ans (obligation comptable).
5. À qui sont transmises vos données ?
Nous travaillons avec un nombre limité de sous-traitants. Chacun a signé un Data Processing Agreement (DPA) conforme au RGPD :
- Supabase (Irlande, UE), base de données + auth.
- Vercel (États-Unis), hébergement application web, sous Standard Contractual Clauses + analyse d'impact à jour.
- Cloudflare (États-Unis), workers de scan, anti-DDoS, sous SCC.
- Stripe (Irlande, UE), paiements et facturation.
- Resend (États-Unis), envoi d'emails transactionnels, sous SCC.
- Anthropic (États-Unis), modèle d'intelligence artificielle Claude. Les prompts ne sont pas utilisés pour l'entraînement de modèles.
- Google Ireland Ltd. (Irlande / États-Unis), mesure d'audience Google Analytics 4, activée uniquement après votre consentement (bannière cookies), IP anonymisée, Consent Mode v2. Transfert encadré par le Data Privacy Framework / CCT.
- Twilio Inc. (États-Unis), envoi des SMS d'alerte et des codes de vérification de numéro, uniquement si vous activez les alertes SMS. Transfert encadré par les CCT.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de toutes les données que nous détenons sur vous.
- Rectification : corriger une donnée inexacte.
- Effacement : demander la suppression (sauf obligation légale de conservation).
- Limitation : bloquer temporairement un traitement.
- Portabilité : récupérer vos données dans un format structuré (JSON).
- Opposition : à un traitement basé sur l'intérêt légitime.
Pour exercer vos droits, écrivez à privacy@aiomi.fr. Nous répondons sous 30 jours maximum (généralement sous 72 h).
7. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés : cnil.fr.
8. Cookies et traceurs
Voir notre politique cookies dédiée. En résumé : un cookie de session pour rester connecté, un cookie de préférences pour la langue. Aucun cookie publicitaire ni traceur tiers avant consentement.
9. Sécurité
Toutes les données sont chiffrées en transit (TLS 1.2+) et au repos (chiffrement disque côté Supabase). Les mots de passe sont hashés (bcrypt). L'accès aux serveurs est protégé par MFA. Nous publions une politique de divulgation à /.well-known/security.txt.
10. Évolutions de cette politique
Cette politique peut évoluer. En cas de modification importante, vous êtes notifié·e par email avec un préavis de 30 jours.