Politique de Confidentialité
En vigueur au 9 avril 2026
Article 1 — Responsable du traitement
Le responsable du traitement des données personnelles est :
Veya Studio
Micro-entreprise immatriculée sous le SIRET 832 503 395 00044
Propriétaire : Alaa Mourad
Siège social : Paris, France
Email du responsable du traitement : [email protected]
Email dédié à la protection des données : [email protected]
1.1. Délégué à la Protection des Données (DPO)
Conformément à l'article 37 du RGPD, la désignation d'un Délégué à la Protection des Données n'est pas obligatoire pour Veya Studio compte tenu de la nature, de la portée et du volume de ses activités de traitement. Néanmoins, Veya Studio a désigné un point de contact dédié pour toute question relative à la protection des données, joignable à l'adresse [email protected]. Veya Studio se réserve le droit de désigner un DPO externe si l'évolution de son activité le requiert.
Article 2 — Données collectées et finalités
Dans le cadre de nos activités, nous collectons et traitons les catégories de données personnelles suivantes, pour les finalités et sur les bases légales indiquées :
| Catégorie | Données | Finalité | Base légale (RGPD) | Durée de conservation |
|---|---|---|---|---|
| Identité et contact | Nom, prénom, email, téléphone, raison sociale, fonction | Création de compte, gestion de la relation commerciale, facturation, communication relative au Service | Exécution du contrat (art. 6.1.b) | Durée du contrat + 3 ans après la dernière interaction |
| Contact WhatsApp | Numéro de téléphone, métadonnées de conversation, contenu des messages échangés avec l'AI Brain | Fourniture du service AI Brain, génération de réponses personnalisées, amélioration de la qualité du service | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + suppression dans les 30 jours suivant la résiliation |
| Paiement | Données de facturation (nom, adresse, SIRET). Les données bancaires (numéro de carte, CVC) ne sont jamais stockées par Veya Studio — elles sont traitées exclusivement par Stripe (certifié PCI-DSS Niveau 1). | Traitement des paiements, facturation, comptabilité | Exécution du contrat (art. 6.1.b) + obligation légale (art. 6.1.c) | 10 ans (obligations comptables — art. L123-22 Code de commerce) |
| Contenu d'entraînement IA | Documents, FAQ, méthodologies, connaissances métier, publications fournis par le Client pour l'entraînement de son AI Brain | Personnalisation et entraînement de l'AI Brain spécifique au Client ; stockage sous forme de vecteurs (embeddings) | Exécution du contrat (art. 6.1.b) | Durée du contrat + suppression dans les 30 jours suivant la résiliation (données vectorielles et données source) |
| Navigation | Adresse IP (anonymisée), type de navigateur, système d'exploitation, pages consultées, durée de visite, source de trafic | Mesure d'audience, amélioration du site, détection d'anomalies de sécurité | Intérêt légitime (art. 6.1.f) ou consentement (art. 6.1.a) selon le type de cookie | 13 mois maximum |
| Communications marketing | Email, préférences de communication | Envoi de newsletters, informations sur les nouveaux services, invitations à des événements | Consentement (art. 6.1.a) | Jusqu'au retrait du consentement + 3 ans (prospection commerciale B2B : intérêt légitime) |
| Support technique | Échanges par email, tickets de support, captures d'écran | Résolution des problèmes techniques, amélioration du Service | Exécution du contrat (art. 6.1.b) | Durée du contrat + 1 an |
Article 3 — Données sensibles
Veya Studio ne collecte pas intentionnellement de données sensibles au sens de l'article 9 du RGPD (données de santé, opinions politiques, convictions religieuses, données biométriques, orientation sexuelle, appartenance syndicale, données génétiques, origine raciale ou ethnique).
Si le Client transmet au Prestataire des données sensibles dans le cadre de l'entraînement de l'AI Brain, il doit en informer préalablement le Prestataire par écrit afin que des mesures de protection renforcées soient mises en place. Le traitement de données sensibles nécessite un accord spécifique additionnel entre les parties.
Article 4 — Traitement des données par l'intelligence artificielle
4.1. Fonctionnement du traitement IA
Lorsque le Client fournit des documents et connaissances pour l'entraînement de son AI Brain, ces données sont traitées comme suit :
- Ingestion et vectorisation : Les documents sont découpés en segments, transformés en vecteurs numériques (embeddings) par un modèle d'intelligence artificielle (OpenAI ou Anthropic) et stockés dans une base de données vectorielle (Pinecone). Les vecteurs ne contiennent pas le texte original en clair mais une représentation numérique de son contenu sémantique.
- Génération de réponses : Lorsqu'un Utilisateur Final pose une question via WhatsApp, la question est vectorisée, les segments les plus pertinents sont récupérés depuis Pinecone, puis transmis à un modèle de langage (OpenAI ou Anthropic) avec des instructions spécifiques (prompt système) pour générer une réponse contextualisée.
- Aucun entraînement sur vos données : Vos données ne sont jamais utilisées pour entraîner les modèles de langage sous-jacents (OpenAI, Anthropic). Les API utilisées sont configurées avec l'option de non-entraînement activée (zero data retention ou opt-out). Vos données servent exclusivement à alimenter le contexte de votre AI Brain via la recherche vectorielle.
4.2. Isolation des données
Les données de chaque Client sont strictement isolées les unes des autres par une architecture multi-tenant sécurisée :
- Chaque Client dispose d'un namespace dédié dans Pinecone, empêchant tout accès croisé aux données vectorielles.
- Les données relationnelles (Supabase) sont isolées par des politiques de Row Level Security (RLS) et des clés de chiffrement par tenant.
- Les conversations WhatsApp sont associées à un identifiant client unique et ne sont jamais mélangées.
4.3. Prise de décision automatisée
Le Service n'effectue aucune prise de décision automatisée ayant des effets juridiques ou significatifs sur les personnes concernées au sens de l'article 22 du RGPD. Les réponses générées par l'AI Brain sont fournies à titre informatif et ne produisent aucun effet juridique automatique.
Article 5 — Sous-traitants et destinataires des données
5.1. Sous-traitants
Les données personnelles peuvent être communiquées aux sous-traitants suivants, agissant sur instruction documentée de Veya Studio et liés par des clauses de protection des données conformes à l'article 28 du RGPD :
| Sous-traitant | Fonction | Localisation des données | Garanties de transfert |
|---|---|---|---|
| Stripe, Inc. | Traitement des paiements (certifié PCI-DSS Niveau 1) | USA + EU | EU-US Data Privacy Framework + CCT |
| Supabase, Inc. | Base de données relationnelle, authentification, stockage | USA / EU (configurable) | CCT + hébergement EU disponible |
| Pinecone Systems, Inc. | Base de données vectorielle (stockage des embeddings) | USA | CCT |
| OpenAI, LLC | Modèle de langage (génération de texte et d'embeddings) | USA | EU-US DPF + CCT + API DPA (zero data retention) |
| Anthropic, PBC | Modèle de langage (génération de texte) | USA | CCT + API DPA |
| WhatsApp LLC (Meta Platforms) | Canal de messagerie — API Business | USA / EU | EU-US DPF + CCT + chiffrement de bout en bout |
| TikTok (ByteDance Ltd.) | Publication de contenu sur les réseaux sociaux — API Content Posting (application « VDD Content publish ») | Singapour / USA / EU | CCT + TikTok for Developers DPA |
| n8n GmbH | Orchestration de workflows (self-hosted ou cloud) | Allemagne / EU | Hébergement EU — pas de transfert hors EEE |
| Vercel Inc. | Hébergement du site web (Edge Network mondial) | USA (Edge Network mondial) | EU-US DPF + CCT |
5.2. Autres destinataires
Les données personnelles ne sont communiquées à aucun tiers autre que les sous-traitants listés ci-dessus, sauf dans les cas suivants :
- Obligation légale, réglementaire ou judiciaire (réquisition judiciaire, demande d'une autorité administrative).
- Consentement exprès de la personne concernée.
- Protection des droits, de la propriété ou de la sécurité de Veya Studio, de ses clients ou du public.
Veya Studio ne vend, ne loue et ne communique jamais de données personnelles à des tiers à des fins commerciales ou publicitaires.
Article 6 — Transferts internationaux
Certains des sous-traitants listés à l'article 5 sont situés en dehors de l'Espace Économique Européen (EEE), notamment aux États-Unis. Conformément au chapitre V du RGPD (articles 44 à 49), ces transferts sont encadrés par les garanties appropriées suivantes :
- Décisions d'adéquation de la Commission européenne, le cas échéant.
- Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021), module « responsable du traitement vers sous-traitant » et/ou « sous-traitant vers sous-traitant ».
- EU-US Data Privacy Framework pour les sous-traitants américains certifiés (Stripe, OpenAI, Meta/WhatsApp).
Veya Studio effectue une évaluation de l'impact des transferts (Transfer Impact Assessment) pour chaque sous-traitant situé hors de l'EEE, conformément aux recommandations du CEPD (Comité Européen de la Protection des Données) adoptées le 18 juin 2021. Les documents d'évaluation sont disponibles sur demande auprès de [email protected].
Article 7 — Sécurité des données
Conformément à l'article 32 du RGPD, Veya Studio met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, incluant :
7.1. Mesures techniques
- Chiffrement en transit : TLS 1.2 minimum sur l'ensemble des communications (site web, API, transferts de données).
- Chiffrement au repos : AES-256 pour les données stockées (Supabase, backups).
- Authentification renforcée : Authentification multi-facteurs (MFA) obligatoire pour l'accès aux systèmes de production et aux données clients.
- Isolation des données : Architecture multi-tenant avec namespaces Pinecone dédiés et Row Level Security (RLS) sur Supabase.
- Sauvegardes : Sauvegardes automatiques quotidiennes avec rétention de 30 jours, stockées dans une zone géographique distincte.
- Journalisation : Logs d'accès aux données avec horodatage, identifiant utilisateur et nature de l'opération, conservés 12 mois.
- Monitoring : Surveillance continue des systèmes avec alertes automatiques en cas d'anomalie de sécurité.
- API sécurisées : Clés API chiffrées, rotation régulière, limitation du débit (rate limiting) et whitelisting d'adresses IP pour les accès sensibles.
7.2. Mesures organisationnelles
- Principe du moindre privilège : accès aux données limité au strict nécessaire.
- Engagement de confidentialité de toute personne ayant accès aux données.
- Revue régulière des droits d'accès.
- Procédure documentée de gestion des incidents de sécurité.
- Sensibilisation régulière aux enjeux de protection des données.
Article 8 — Notification des violations de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles (accès non autorisé, perte, altération, divulgation), Veya Studio s'engage à :
- Notifier l'autorité de contrôle compétente (CNIL) dans les soixante-douze (72) heures suivant la prise de connaissance de la violation, si celle-ci est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
- Informer le Client concerné dans les quarante-huit (48) heures suivant la prise de connaissance de la violation, en fournissant la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées pour y remédier.
- Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
- Documenter toute violation dans un registre conformément à l'article 33(5) du RGPD.
Article 9 — Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés modifiée, vous disposez des droits suivants concernant vos données personnelles :
| Droit | Description | Fondement |
|---|---|---|
| Accès | Obtenir confirmation que vos données sont traitées et en recevoir une copie complète, ainsi que les informations prévues à l'article 15 du RGPD. | Art. 15 RGPD |
| Rectification | Obtenir la correction de données inexactes ou le complètement de données incomplètes. | Art. 16 RGPD |
| Effacement | Obtenir la suppression de vos données lorsque l'un des motifs de l'article 17 s'applique (retrait du consentement, données plus nécessaires, etc.). | Art. 17 RGPD |
| Limitation | Obtenir la suspension du traitement dans les cas prévus à l'article 18 (contestation de l'exactitude, traitement illicite, etc.). | Art. 18 RGPD |
| Portabilité | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV), et les transmettre à un autre responsable du traitement. | Art. 20 RGPD |
| Opposition | Vous opposer au traitement de vos données fondé sur l'intérêt légitime, y compris le profilage. Pour le marketing direct, l'opposition est de droit et sans condition. | Art. 21 RGPD |
| Retrait du consentement | Retirer votre consentement à tout moment, sans affecter la licéité du traitement fondé sur le consentement effectué avant le retrait. | Art. 7(3) RGPD |
| Directives post-mortem | Définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès. | Art. 85 Loi IL |
9.1. Exercice des droits
Pour exercer vos droits, vous pouvez nous contacter :
- Par email : [email protected]
- Par courrier postal : Veya Studio — Protection des données — Paris, France
Nous nous engageons à répondre à votre demande dans un délai de un (1) moisà compter de sa réception, conformément à l'article 12(3) du RGPD. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre élevé de demandes, auquel cas vous en serez informé dans le mois suivant la réception de votre demande.
Nous pourrons vous demander de justifier de votre identité (copie d'une pièce d'identité) afin de prévenir toute divulgation non autorisée de données personnelles.
9.2. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou de la loi Informatique et Libertés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Article 10 — Cookies et traceurs
10.1. Cadre juridique
Le dépôt et la lecture de cookies et autres traceurs sur le Site sont régis par l'article 82 de la loi n°78-17 du 6 janvier 1978 modifiée, transposant l'article 5(3) de la directive 2002/58/CE (directive « ePrivacy »), et par les lignes directrices et la recommandation de la CNIL du 17 septembre 2020.
10.2. Catégories de cookies
| Catégorie | Finalité | Consentement requis | Durée |
|---|---|---|---|
| Cookies strictement nécessaires | Fonctionnement du site, sécurité, gestion de session | Non (exemptés) | Session |
| Cookies de mesure d'audience | Statistiques anonymisées de fréquentation | Oui (sauf solution exemptée CNIL) | 13 mois max |
| Cookies marketing / tiers | Publicité ciblée, réseaux sociaux | Oui | 13 mois max |
10.3. Gestion des préférences
Vous pouvez accepter ou refuser les cookies non essentiels via le bandeau de consentement affiché lors de votre première visite. Vous pouvez modifier vos préférences à tout moment en cliquant sur le lien « Gérer les cookies » en pied de page. Vous pouvez également configurer votre navigateur pour bloquer les cookies. Le refus des cookies non essentiels n'empêche pas la navigation sur le site.
Article 11 — Registre des traitements
Conformément à l'article 30 du RGPD, Veya Studio tient un registre des activités de traitement décrivant chaque traitement de données personnelles mis en œuvre. Ce registre est tenu à la disposition de la CNIL et peut être consulté sur demande justifiée adressée à [email protected].
Article 12 — Analyse d'impact (AIPD)
Conformément à l'article 35 du RGPD, lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, Veya Studio réalise une Analyse d'Impact relative à la Protection des Données (AIPD). Compte tenu de la nature de l'activité (traitement de données par intelligence artificielle, utilisation de données textuelles à grande échelle), une AIPD a été réalisée pour le service AI Brain. Les conclusions de cette analyse sont disponibles sur demande.
Article 13 — Modifications de la politique
La présente Politique de Confidentialité peut être mise à jour à tout moment pour refléter les évolutions de nos pratiques, de notre activité ou de la réglementation applicable. En cas de modification substantielle affectant les droits des personnes concernées, nous vous en informerons par email au moins trente (30) jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page. Nous vous recommandons de consulter régulièrement cette page.
Article 14 — Contact
Pour toute question relative à la présente Politique de Confidentialité ou à l'exercice de vos droits, vous pouvez nous contacter :
- Email général : [email protected]
- Email protection des données : [email protected]
- Courrier postal : Veya Studio — Paris, France
© 2026 Veya Studio — Tous droits réservés.