Politique de confidentialité
Cette page détaille l'ensemble des traitements de données personnelles opérés par SubventIA, les durées de conservation applicables, vos droits, et les sous-traitants impliqués. Dernière mise à jour : 24 avril 2026.
Sommaire
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via subventia.ai est :
SubventIA — Entrepreneur individuel
Monsieur Corentin NICOD
Email délégué à la protection des données : contact@subventia.ai
2. Données collectées et finalités
SubventIA collecte uniquement les données strictement nécessaires au fonctionnement du service :
- Données d'identification : nom, prénom, adresse email, mot de passe chiffré (bcrypt).
- Données association : SIREN/SIRET, nom, adresse du siège, activité, numéro RNA.
- Documents uploadés : statuts, comptes de résultat, rapports d'activité, budgets prévisionnels.
- Données de paiement : traitées directement par Stripe (certifié PCI-DSS). SubventIA ne stocke aucune coordonnée bancaire.
- Données de connexion : adresse IP, horodatage des connexions, type de navigateur (logs techniques).
- Données d'usage : dossiers créés, documents générés, subventions consultées, préférences.
- Communications support : messages envoyés via le formulaire de contact ou par email.
Ces données servent exclusivement à : fournir le service (génération de dossiers, recherche de subventions, suivi), sécuriser la plateforme (prévention de la fraude), facturer l'abonnement, répondre au support, et améliorer le produit. Aucune donnée n'est revendue à des tiers.
3. Base légale de chaque traitement
| Traitement | Base légale (RGPD Art. 6) |
|---|---|
| Création de compte et fourniture du service | Exécution du contrat (Art. 6.1.b) |
| Facturation et paiement | Obligation légale comptable (Art. 6.1.c) |
| Sécurité et prévention de la fraude | Intérêt légitime (Art. 6.1.f) |
| Cookies de mesure d'audience | Consentement (Art. 6.1.a) |
| Newsletter et communications produit | Consentement (Art. 6.1.a) |
| Traitement des demandes support | Intérêt légitime (Art. 6.1.f) |
| Accès admin pour assistance technique (« Voir comme ») | Intérêt légitime (Art. 6.1.f) |
3 bis. Accès admin pour assistance technique
Dans le cadre du support technique et de la résolution d'incidents, le personnel administrateur de SubventIA peut, de manière exceptionnelle et tracée, accéder à votre compte en mode « Voir comme cet utilisateur ». Cette fonctionnalité permet à notre équipe de reproduire un bug, vérifier une anomalie d'affichage ou vous assister sur une opération spécifique. Les garde-fous suivants s'appliquent :
- Audit complet : chaque accès est enregistré (admin concerné, utilisateur cible, raison, horodatage de début et de fin, nombre d'actions effectuées).
- Durée limitée : la session admin expire automatiquement après 30 minutes.
- Actions interdites : aucune opération de paiement Stripe, aucune annulation d'abonnement, aucun export RGPD officiel et aucune suppression de compte ne peuvent être déclenchés sous votre identité.
- Justification obligatoire : l'administrateur doit saisir une raison documentée avant chaque session.
- Droit d'accès aux logs : sur demande à contact@subventia.ai, vous pouvez obtenir l'historique des accès admin sur votre compte.
Cette mesure repose sur l'intérêt légitime du responsable de traitement (RGPD Art. 6.1.f) à fournir un support efficace et à diagnostiquer les anomalies du service, et est soumise à l'obligation de confidentialité du personnel.
4. Durées de conservation
Conformément à l'article 5.1.e du RGPD, chaque catégorie de donnée a une durée de conservation définie. L'application est automatisée via un job hebdomadaire.
| Catégorie | Durée | En fin de vie |
|---|---|---|
| Compte utilisateur actif | Durée du contrat | Conservation |
| Compte sans connexion depuis 3 ans | 3 ans (préavis 30 j) | Anonymisation |
| Compte supprimé par l'utilisateur | 30 jours | Suppression définitive |
| Documents d'un compte supprimé | 30 jours | Suppression définitive |
| Dossiers non finalisés | 5 ans | Suppression |
| Factures et justificatifs comptables | 10 ans | Conservation légale |
| Sessions authentifiées | 30 jours d'inactivité | Suppression |
| Logs de connexion | 12 mois | Suppression |
| Email supprimé (anti-fraude) | 3 ans | Suppression |
| Consentement cookies | 13 mois | Demande de renouvellement |
| Messages du formulaire de contact | 3 ans | Suppression |
Un préavis par email est envoyé 30 jours avant l'anonymisation d'un compte inactif, afin de permettre à l'utilisateur de se reconnecter s'il souhaite conserver son compte.
5. Vos droits RGPD
Vous disposez à tout moment des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) : consulter l'ensemble de vos données depuis votre espace personnel.
- Droit de rectification (Art. 16) : modifier directement vos informations depuis votre profil.
- Droit à l'effacement, dit « droit à l'oubli » (Art. 17) : bouton « Supprimer mon compte » dans Paramètres → Vos données personnelles. Suppression définitive après 30 jours (délai anti-erreur).
- Droit à la portabilité (Art. 20) : bouton « Exporter mes données » qui produit un fichier JSON contenant l'intégralité de vos données dans un format lisible et réutilisable.
- Droit à la limitation (Art. 18) : gel temporaire du traitement sur demande à contact@subventia.ai.
- Droit d'opposition (Art. 21) : désabonnement newsletter en un clic dans chaque email, ou refus des cookies optionnels via la bannière.
- Droit de retirer votre consentement (Art. 7.3) : à tout moment, sans justification, pour les traitements fondés sur le consentement.
L'exercice de ces droits est gratuit et la réponse est apportée dans un délai maximum de 30 jours. Pour toute demande complémentaire : contact@subventia.ai.
6. Cookies
SubventIA utilise plusieurs catégories de cookies, classées par finalité. Le consentement est recueilli via une bannière à la première visite et peut être modifié à tout moment.
- Cookies essentiels (pas de consentement requis) : session, authentification, sécurité anti-CSRF.
- Cookies fonctionnels (consentement) : préférences d'affichage, langue.
- Cookies de mesure d'audience (consentement) : Google Analytics, chargé uniquement après acceptation explicite.
- Cookies marketing : non utilisés à ce jour.
Les consentements sont conservés 13 mois (recommandation CNIL). Après expiration, la bannière s'affiche à nouveau pour renouveler le choix.
7. Sous-traitants et destinataires
Vos données sont transmises à un nombre limité de prestataires techniques, chacun lié par un contrat de sous-traitance conforme à l'article 28 du RGPD.
| Prestataire | Finalité | Localisation |
|---|---|---|
| OVH SAS | Hébergement serveur | France (UE) |
| Stripe | Paiement en ligne (PCI-DSS) | Irlande / USA (SCC) |
| Brevo (ex-Sendinblue) | Envoi emails transactionnels et newsletter | France (UE) |
| Anthropic | Génération de documents par IA (Claude) | USA (SCC) |
| Google AI (Gemini) | Génération de documents par IA | USA (SCC) |
| Google Analytics | Mesure d'audience (conditionné au consentement) | USA (SCC) |
Aucun de ces sous-traitants n'utilise vos données pour entraîner ses modèles d'IA ou à d'autres fins que celles du service. Les contrats signés garantissent la confidentialité, la sécurité et la limitation stricte à la finalité du traitement.
8. Transferts hors UE
Certains sous-traitants (Stripe, Anthropic, Google) sont établis aux États-Unis. Les transferts de données correspondants sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne, conformément à l'article 46 du RGPD, complétées par des mesures techniques supplémentaires (chiffrement en transit et au repos).
9. Sécurité des données
Des mesures techniques et organisationnelles sont mises en œuvre pour protéger vos données (Art. 32 RGPD) :
- Chiffrement HTTPS (TLS 1.3) sur l'ensemble du site avec HSTS.
- Mots de passe stockés hachés avec bcrypt (jamais en clair).
- Politique Content-Security-Policy stricte.
- Protection contre les attaques par force brute (fail2ban, rate limiting).
- Accès aux serveurs restreint par clé SSH et pare-feu UFW.
- Sauvegardes chiffrées, purge automatique des données expirées.
- Audits de sécurité réguliers.
10. Contact et réclamation CNIL
Pour toute question concernant le traitement de vos données ou pour exercer vos droits, écrivez-nous à : contact@subventia.ai
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Document mis à jour le 24 avril 2026 — Version 1.0.
Cette politique fait l'objet d'une révision annuelle ou à chaque évolution significative du service.