NouveauDesign Partner CSRD — 6 placesEn savoir plus

Politique de confidentialité

Protection des données personnelles conformément au RGPD (Règlement UE 2016/679).

Dernière mise à jour : 27 mai 2026

1. Préambule

IArbiter SAS (« iArbiter ») accorde une importance fondamentale à la protection des données personnelles de ses utilisateurs et clients. La présente politique décrit comment nous collectons, utilisons, protégeons et partageons les données personnelles dans le cadre de l'utilisation de notre plateforme.

Cette politique est conforme au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD ») et à la loi Informatique et Libertés modifiée du 6 janvier 1978.

2. Responsable de traitement

IArbiter SAS, dont le siège social est situé [adresse] en France, agit en qualité de :

  • Responsable de traitement pour les données collectées via le site iarbiter.fr (formulaires, cookies analytiques, etc.).
  • Sous-traitantau sens de l'article 28 du RGPD pour les données traitées dans le cadre du service iArbiter, le Client (l'organisation cliente) restant le responsable de traitement de ses données métier (cf. DPA).

Délégué à la Protection des Données (DPO) : dpo@iarbiter.fr

3. Catégories de données collectées

3.1 Visiteurs du site iarbiter.fr

  • Données de navigation : adresse IP, type de navigateur, OS, pages visitées
  • Cookies techniques et analytiques (cf. politique cookies)
  • Données de formulaire (nom, email, fonction, société) si remplissage volontaire

3.2 Utilisateurs de l'application iArbiter

  • Données d'identification : nom, prénom, email professionnel, fonction
  • Données d'authentification : mot de passe (haché bcrypt cost 12), MFA, sessions, IP de connexion
  • Données d'activité : actions effectuées, décisions saisies, documents uploadés, temps passé
  • Données métier : tout contenu saisi dans la plateforme (décisions, PV, datasets ESG, etc.)
  • Logs techniques : audit trail SHA-256 des actions sensibles

4. Finalités du traitement

FinalitéBase légaleDurée de conservation
Fourniture du service iArbiterExécution du contrat (Art. 6.1.b)Durée du contrat + obligations légales
Authentification et sécuritéIntérêt légitime (Art. 6.1.f)Durée du compte + 12 mois logs
Audit trail conformité (RGPD, AI Act, NIS2)Obligation légale (Art. 6.1.c)5 à 10 ans selon obligation
Facturation et comptabilitéObligation légale (Art. 6.1.c)10 ans (Code de commerce)
Amélioration du produit (analytics anonymisés)Intérêt légitime (Art. 6.1.f)13 mois max (cookies)
Communications marketing (newsletter)Consentement (Art. 6.1.a)Jusqu'à désinscription
Fine-tuning de Synapse (avec opt-in)Consentement (Art. 6.1.a)Jusqu'à retrait du consentement

5. Destinataires des données

Les données sont accessibles à :

  • Les équipes habilitées d'iArbiter (support, sécurité, ingénierie) sur principe du moindre privilège
  • Les sous-traitants techniques listés ci-après (cf. DPA)
  • Les autorités compétentes en cas de réquisition judiciaire dûment justifiée

Aucune revente de données à des tiers commerciaux.

Sous-traitants principaux

  • OVH SAS (France) — hébergement complet (site institutionnel, application et base de données) sur infrastructure souveraine France (centres GRA, SBG)
  • Anthropic Inc. (États-Unis) — modèles d'IA Claude (TIA Schrems II en place, désactivable par client)
  • OpenAI LLC (États-Unis) — modèles GPT (TIA Schrems II en place, désactivable par client)
  • Stripe Inc. (États-Unis) — traitement des paiements (uniquement données de facturation)

Liste détaillée et à jour des sous-processeurs disponible sur demande à dpo@iarbiter.fr. Toute modification fait l'objet d'une notification aux Clients avec préavis de 14 jours minimum.

6. Transferts hors UE

Les données métier des Clients sont stockées exclusivement en France (OVH GRA, SBG). Toutefois, certains sous-traitants techniques (Anthropic, OpenAI, Stripe) sont basés aux États-Unis.

Pour ces transferts, iArbiter applique :

  • Les Clauses Contractuelles Types (CCT) de la Commission européenne
  • Une analyse d'impact des transferts (TIA) au sens Schrems II
  • Des mesures techniques supplémentaires (chiffrement bout-en-bout, anonymisation)

Les Clients peuvent désactiver l'usage des fournisseurs IA américains via le paramètre allow_external_fallback = falsede leur organisation. Dans ce cas, iArbiter utilise exclusivement l'infrastructure souveraine France.

7. Sécurité des données

iArbiter met en œuvre des mesures techniques et organisationnelles renforcées :

  • Chiffrement at-rest : AES-256 sur disques NVMe et backups
  • Chiffrement in-transit : TLS 1.3 obligatoire
  • Multi-tenant : Row-Level Security PostgreSQL FORCE entre organisations
  • Authentification : bcrypt cost 12 + MFA disponible + SSO SAML/OIDC
  • Réseau : WireGuard inter-VPS, vRack OVH privé, pas d'exposition publique BDD
  • Backups : chiffrés cross-VPS, rétention 30 jours
  • Audit chain : SHA-256 cryptographique pour les actions sensibles
  • Tests : pentest annuel + bug bounty programme (à venir)

8. Droits des personnes concernées

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (Art. 15) : obtenir copie de vos données
  • Droit de rectification (Art. 16) : corriger des données inexactes
  • Droit à l'effacement (Art. 17) : suppression sous conditions
  • Droit à la limitation (Art. 18)
  • Droit à la portabilité (Art. 20) : récupération format structuré
  • Droit d'opposition (Art. 21) au traitement
  • Droit de retrait du consentement à tout moment (newsletter, fine-tuning IA, etc.)
  • Droit de définir des directives post-mortem (article 40-1 loi Informatique et Libertés)

Pour exercer ces droits, contactez dpo@iarbiter.fr. Réponse sous 30 jours maximum.

Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.

9. Notification de violation

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, iArbiter notifie :

  • La CNIL dans les 72 heures (Art. 33 RGPD)
  • Le Client responsable de traitement sans délai (cf. DPA)
  • Les personnes concernées si risque élevé (Art. 34 RGPD)

10. Modification de la politique

iArbiter peut modifier la présente politique pour refléter des évolutions réglementaires ou des changements dans nos pratiques. Les modifications substantielles font l'objet d'une notification directe aux Clients et utilisateurs avec préavis de 30 jours minimum.

11. Contact