POLITIQUE DE CONFIDENTIALITÉ — Jean
Dernière mise à jour : [date] Version : 1.0
1. Responsable de traitement
Le responsable de traitement des données personnelles collectées via le site assistantjean.fr et le service Jean est :
Joan Rousseau, entrepreneur individuel Adresse : [adresse professionnelle] SIRET : [numéro SIRET] Contact : joan@assistantjean.fr
2. Nature des données collectées
2.1 Données de l'Utilisateur (le maire / l'élu / le professionnel)
- Identité : nom, prénom, fonction, commune, code postal
- Coordonnées : email professionnel, email personnel, numéro de téléphone
- Identifiant Telegram (chat_id, username)
- Données de facturation : aucune à ce jour (le Service ne comporte pas encore de paiement en ligne ; cette politique sera mise à jour le cas échéant)
- Préférences d'utilisation (heure de briefing, fuseau horaire, vocabulaire)
2.2 Données des Contacts de l'Utilisateur (« administrés »)
- Identité : nom, prénom, âge, profession
- Coordonnées : adresse postale, téléphone, email
- Historique d'interactions (dates, canaux, sujets, résumés)
- Tags et notes libres saisis par l'Utilisateur
- Coordonnées géographiques (latitude/longitude approximatives, pour la fonction /ici)
2.3 Données du Cercle (SGM, DGS, adjoints, collaborateurs)
- Identité : nom, prénom, fonction
- Coordonnées : email, éventuellement téléphone
- Domaines d'assignation
2.4 Données d'utilisation du Service
- Transcriptions de notes vocales
- Historique des interactions bot (messages envoyés/reçus)
- Résumés d'emails analysés (jamais le contenu brut)
- Événements de calendrier importés (cache, actualisé)
2.5 Données techniques
- Adresse IP (partielle, pour la sécurité)
- Type d'appareil et navigateur (via cookies)
- Logs applicatifs anonymisés
3. Finalités et bases légales des traitements
| Finalité | Base légale (RGPD) | Durée de conservation |
|---|---|---|
| Fourniture du Service Jean (accès, fonctionnalités) | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement |
| Facturation et suivi comptable | Obligation légale (art. 6.1.c) | 10 ans après fin de contrat |
| Amélioration du Service (statistiques anonymisées) | Intérêt légitime (art. 6.1.f) | 24 mois |
| Envoi de communications commerciales | Consentement (art. 6.1.a) | Jusqu'au retrait |
| Traitement des données de Contacts de l'Utilisateur | L'Utilisateur est responsable de traitement — nous sommes sous-traitant (art. 28) | Selon les instructions de l'Utilisateur |
3.1 Important — sur les Contacts (« administrés »)
Concernant les données personnelles des Contacts, l'Utilisateur (le maire) est le responsable de traitement. Il doit disposer d'une base légale propre pour collecter ces données (intérêt légitime en tant qu'élu, mission de service public, ou consentement). Nous, Joan Rousseau, agissons en qualité de sous-traitant au sens de l'article 28 du RGPD, dans le cadre du DPA signé avec l'Utilisateur.
4. Destinataires des données
Les données personnelles sont accessibles à :
- Joan Rousseau, en qualité de responsable/sous-traitant selon les cas
- Aucun tiers commercial (nous ne vendons ni ne partageons aucune donnée)
Certaines données transitent par des sous-traitants ultérieurs listés ci-dessous, tous conformes RGPD :
| Sous-traitant | Nature du traitement | Localisation | Base juridique du transfert |
|---|---|---|---|
| Supabase, Inc. | Hébergement base de données | Irlande (eu-west-1, EEE) | Contrat de sous-traitance |
| Vercel, Inc. | Hébergement application | Paris (région cdg1, France) | CCT + Data Processing Addendum |
| Anthropic (Claude API) | Traitement IA (compréhension et rédaction) | USA | CCT + Data Processing Addendum |
| Groq, Inc. (Whisper large v3) | Transcription des notes vocales | USA | CCT + Data Processing Addendum |
| Telegram FZ-LLC | Interface conversationnelle | Émirats arabes unis | Voir mention spécifique ci-dessous |
| Google (Calendar & Gmail API) | Agenda et envoi d'emails depuis le compte de l'Utilisateur, sur son autorisation explicite (OAuth) | Europe / USA | CCT + Data Processing Addendum |
4.1 Note importante — Telegram
Le Service Jean utilise l'API Telegram Bot comme interface conversationnelle. Telegram FZ-LLC a son siège aux Émirats arabes unis. Les messages échangés entre l'Utilisateur et le bot Jean transitent par les serveurs Telegram (chiffrés en transit MTProto, mais non chiffrés de bout en bout dans le cadre d'un chat bot).
Pour cette raison, Jean applique une politique de pseudonymisation stricte :
- Les noms de Contacts (administrés) ne transitent JAMAIS en clair par Telegram lorsqu'ils sont sensibles. Ils sont remplacés par des identifiants opaques dans les messages entre Utilisateur et bot (ex : « Contact #47 »).
- Le contenu détaillé (adresses, données sensibles) reste stocké sur nos serveurs européens et n'est jamais transmis à Telegram.
- L'Utilisateur est informé au moment de l'inscription des limitations de confidentialité liées à l'usage de Telegram.
L'Utilisateur qui préfère ne pas utiliser Telegram peut demander une alternative Matrix/Tchap ou WhatsApp Business (disponible sur les offres Premium à partir de 2027).
5. Transferts hors Union européenne
Certains sous-traitants sont établis hors de l'Union européenne. Dans ce cas, les transferts sont encadrés par :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne
- Des Data Processing Addenda signés avec chaque fournisseur
- Des mesures techniques et organisationnelles supplémentaires (chiffrement, minimisation)
Aucune donnée n'est transférée à un pays sans niveau de protection adéquat ou sans garanties appropriées.
6. Durée de conservation
| Type de donnée | Durée |
|---|---|
| Données de compte Utilisateur | Durée de l'abonnement + 30 jours |
| Données de facturation | 10 ans (obligation comptable) |
| Contacts (administrés) et interactions | Contrôlées par l'Utilisateur — supprimées sur demande |
| Notes vocales (audio brut) | 30 jours max (transcript conservé) |
| Résumés d'emails | 90 jours max |
| Logs applicatifs | 12 mois |
| Cookies | 13 mois max |
7. Sécurité
Joan Rousseau met en œuvre les mesures suivantes :
- Chiffrement TLS 1.3 pour tous les échanges
- Chiffrement AES-256 au repos (base de données)
- Row Level Security (RLS) garantissant l'isolation des tenants
- Authentification forte (magic link, 2FA optionnelle)
- Audit log immuable de toutes les actions sensibles
- Sauvegardes quotidiennes chiffrées conservées 30 jours
- Purge automatique des fichiers audio après 30 jours
- Politique de mots de passe stricte pour les accès administrateur
- Revue de sécurité annuelle effectuée par un tiers indépendant (à partir de 2027)
En cas de violation de données, l'Utilisateur sera notifié dans les 72 heures conformément à l'article 33 du RGPD.
8. Droits des personnes
Conformément aux articles 15 à 22 du RGPD, chaque personne (Utilisateur ou Contact) dispose des droits suivants :
- Droit d'accès : obtenir une copie des données la concernant
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de ses données (« droit à l'oubli »)
- Droit à la limitation : suspendre temporairement le traitement
- Droit d'opposition : s'opposer au traitement pour motif légitime
- Droit à la portabilité : recevoir ses données dans un format structuré
- Droit de retrait du consentement : à tout moment, pour les traitements basés sur le consentement
Pour exercer ces droits :
- Utilisateurs : depuis l'espace client, ou par email à joan@assistantjean.fr
- Contacts (administrés) : contacter directement l'Utilisateur qui les a enregistrés, ou nous contacter à joan@assistantjean.fr en précisant l'identité du responsable de traitement (le maire concerné)
Nous répondons sous 30 jours maximum conformément au RGPD.
8.1 Droit d'introduire une réclamation
Toute personne dispose du droit d'introduire une réclamation auprès de la CNIL :
- Site : cnil.fr
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
9. Cookies
Le site assistantjean.fr utilise uniquement des cookies techniques nécessaires au fonctionnement (session, sécurité). Aucun cookie tiers de tracking ou de publicité.
Bandeau cookies affiché à la première visite conformément à la recommandation CNIL de 2020.
10. Contact — Délégué à la protection des données (DPO)
Pour toute question relative à la protection des données :
Joan Rousseau (contact référent) joan@assistantjean.fr
DPO externe (à partir de 2027) : Cabinet [nom à confirmer], délégué RGPD
11. Modifications
Toute modification substantielle de la présente Politique de Confidentialité sera notifiée par email 30 jours avant son entrée en vigueur.
Fin de la Politique de Confidentialité v1.0 — [date]