Dernière mise à jour : 5 juillet 2026
Chez Cleo IA, nous accordons une grande importance à la protection de vos données personnelles. Cette politique explique comment nous collectons, utilisons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD).
Produits et services couverts
La présente politique s'applique à l'ensemble des produits et services édités par Cleo IA(ci-après « les Services » ou « Cleo IA »), quel que soit le canal par lequel vous y accédez :
- Plateforme web Cleo IA — app.cleoia.com (assistant IA, base de connaissances RAG, intégrations).
- Compléments Microsoft Office— « Cleo IA pour Excel », « Cleo IA pour Word », « Cleo IA pour PowerPoint » et « Cleo IA pour Outlook », distribués sur Microsoft AppSource / Microsoft Marketplace. Ils ne traitent que le contenu du document ou de l'email que vous soumettez explicitement à l'assistant.
- Extension navigateur Cleo IA— pour Google Chrome et Microsoft Edge. Elle n'accède au contenu d'une page ou d'un onglet que lorsque vous le lui demandez explicitement.
- Module complémentaire Cleo IA pour Gmail — distribué sur Google Workspace Marketplace.
- Connecteur Cleo IA pour Odoo— distribué sur l'Odoo Apps Store, pour l'archivage chiffré de documents ERP vers votre base de connaissances.
- Cleo Studio— génération et édition d'images.
- Application web progressive (PWA) — version mobile installable de la plateforme.
Chacune de ces surfaces s'appuie sur le socle de traitement décrit ci-dessous. Les données ne sont accédées qu'à votre demande et selon les permissions que vous accordez.
1. Responsable du traitement▼
Le responsable du traitement des données personnelles est :
Cleo IA
12 rue Barthélemy Thimonnier
01000 BOURG-EN-BRESSE, France
SIREN : 995 370 319
Délégué à la protection des données (DPO) : dpo@cleoia.com
2. Données collectées▼
Nous collectons les catégories de données suivantes :
2.1 Données d'inscription
- Adresse email (normalisée en minuscules pour cohérence)
- Nom complet (si fourni)
- Photo de profil (si authentification OAuth)
2.2 Données de paiement
- Empreinte de carte bancaire (fingerprint anonymisé, pour prévention de fraude)
- Historique des transactions (géré par Stripe)
Note : Nous ne stockons jamais les numéros de carte complets. Seule une empreinte anonymisée est conservée pendant 24 mois pour prévenir les abus.
2.3 Données d'utilisation
- Historique des conversations avec l'assistant IA
- Préférences et paramètres du compte
- Journaux de connexion (date, heure, adresse IP)
2.4 Documents RAG
- Fichiers téléversés pour la base de connaissances (PDF, Word, etc.)
- Contenu extrait et indexé pour la recherche sémantique
- Métadonnées des documents (nom, taille, date d'upload)
Les documents sont stockés chiffrés (AES-256) et ne sont accessibles qu'à leur propriétaire. Le chiffrement côté client est disponible en option.
2.5 Données d'intégrations
- Tokens d'accès OAuth (Google, Microsoft, Notion, Slack)
- Emails et calendriers consultés via les intégrations activées
- Fichiers Google Drive ou OneDrive — uniquement ceux que vous sélectionnez explicitement via le sélecteur natif (Google Picker / OneDrive picker)
Ces données ne sont accédées qu'à votre demande et selon les permissions que vous avez accordées lors de la connexion du service. Spécifiquement pour Google Drive : Cleo ne lit jamais l'ensemble de votre Drive — la portée de chaque accès est strictement déterminée par les fichiers ou dossiers que vous sélectionnez successivement via le sélecteur Google. Le scope OAuth utilisé (drive.file) n'octroie l'accès qu'aux fichiers ainsi désignés.
2.6 Données Studio
- Prompts de génération d'images
- Images générées et éditées
- Paramètres de création (modèle, dimensions, etc.)
2.7 Données techniques
- Type de navigateur et système d'exploitation
- Pages visitées et temps passé sur le service
- Données de performance et d'erreurs
3. Finalités du traitement▼
Vos données sont utilisées pour :
- Fourniture du service : traitement de vos requêtes par l'IA
- Gestion du compte : authentification, préférences
- Amélioration : analyse d'usage pour améliorer le service
- Sécurité : détection de fraude et abus
- Communication : notifications sur votre compte
- Obligations légales : conformité réglementaire
4. Base légale du traitement▼
Le traitement de vos données repose sur :
Exécution du contrat (Art. 6.1.b RGPD)
Fourniture du service Cleo IA
Consentement (Art. 6.1.a RGPD)
Fonctionnalités optionnelles, newsletters
Intérêt légitime (Art. 6.1.f RGPD)
Amélioration du service, sécurité
Obligation légale (Art. 6.1.c RGPD)
Conservation des logs de connexion
5. Partage des données▼
Vos données ne sont jamais vendues à des tiers.
Elles peuvent être partagées avec nos sous-traitants :
Fournisseurs IA :
| Partenaire | Finalité | Localisation |
|---|---|---|
| Anthropic | Traitement IA (Claude) | États-Unis |
| OpenAI | Traitement IA (GPT) | États-Unis |
| Google AI | Traitement IA (Gemini) | États-Unis |
| Mistral AI | Traitement IA | France |
| xAI | Traitement IA (Grok) | États-Unis |
| ByteDance / BytePlus | Génération d'images (Seedream) | Chine / Singapour |
Infrastructure et hébergement :
| Partenaire | Finalité | Localisation |
|---|---|---|
| Supabase | Base de données, Auth, Stockage | UE |
| Vercel | Hébergement application | UE |
| Render | Traitement RAG | UE |
| Scaleway | Traitement RAG | France |
| Upstash | Cache applicatif | UE |
Tous nos hébergeurs utilisent des datacenters situés en Union européenne (France, Allemagne).
Services tiers :
| Partenaire | Finalité | Localisation |
|---|---|---|
| Stripe | Paiements et facturation | États-Unis |
| Google / Microsoft | Authentification OAuth | États-Unis |
Note :Des intégrations optionnelles (Google Workspace, Microsoft 365, Notion, Slack, etc.) peuvent être activées par l'utilisateur. Dans ce cas, les données sont partagées conformément aux conditions du service choisi.
6. Transferts internationaux▼
Certaines données peuvent être traitées en dehors de l'Union européenne, notamment aux États-Unis et en Chine (ByteDance/BytePlus).
Ces transferts sont encadrés par :
- États-Unis : Data Privacy Framework (DPF) UE-États-Unis pour les sous-traitants certifiés ; clauses contractuelles types (SCC) pour les autres
- Chine : clauses contractuelles types (SCC) de la Commission européenne, conformément à l'article 46(2)(c) du RGPD
- Des mesures de sécurité supplémentaires (chiffrement en transit et au repos, pseudonymisation, minimisation des données transmises)
Seuls les prompts et contenus nécessaires au traitement sont transmis aux fournisseurs d'IA. Aucune donnée personnelle identifiante n'est volontairement incluse dans les requêtes.
7. Conservation des données▼
| Type de données | Durée |
|---|---|
| Données de compte | Jusqu'à suppression du compte + 30 jours |
| Historique des conversations | Jusqu'à suppression du compte ou suppression manuelle par l'utilisateur |
| Journaux de connexion | 1 an (obligation légale) |
| Données anti-fraude (empreintes carte) | 24 mois |
| Documents RAG | Jusqu'à suppression par l'utilisateur |
| Tokens d'intégration | Jusqu'à déconnexion du service ou suppression du compte |
| Images Studio | Jusqu'à suppression par l'utilisateur |
| Journaux techniques d'interaction (métriques d'usage) | Anonymisés après 6 mois |
Vos conversationssont conservées afin de vous fournir le service (accès à votre historique à tout moment). Vous pouvez supprimer une conversation, ou l'ensemble de vos données, à tout instant : la suppression de votre compte entraîne l'effacement de vos données sous 30 jours. Nous n'appliquons pas de suppression automatique de vos conversations tant que votre compte est actif.
Les journaux techniques d'interaction(métriques d'usage servant au bon fonctionnement et à la facturation) sont anonymisés au bout de 6 mois, conformément au principe de minimisation.
8. Vos droits (RGPD)▼
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données
Droit de rectification
Corriger vos données inexactes
Droit à l'effacement
Supprimer vos données
Droit à la portabilité
Recevoir vos données en format standard
Droit d'opposition
Vous opposer à certains traitements
Droit de limitation
Restreindre le traitement
9. Sécurité▼
Nous mettons en place des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Authentification à deux facteurs disponible
- Contrôle d'accès strict aux données
- Audits de sécurité réguliers
- Journalisation des accès
- Plan de réponse aux incidents
10. Intelligence artificielle▼
Conformément au Règlement européen sur l'intelligence artificielle (AI Act, Règlement UE 2024/1689), nous vous informons que :
- Cleo IA utilise des modèles d'IA générative fournis par des tiers (Anthropic, OpenAI, Google, Mistral, xAI) pour générer des réponses textuelles.
- Le Studioutilise des modèles de génération d'images (DALL-E, ByteDance Seedream) pour créer du contenu visuel.
- Les réponses et images générées sont produites par des systèmes d'IA et ne constituent pas des conseils professionnels.
- Vos données conversationnelles peuvent être transmises aux fournisseurs d'IA pour le traitement de vos requêtes, conformément à la section 5.
- Aucun entraînementde modèle n'est effectué sur vos données personnelles. Les fournisseurs utilisés s'engagent contractuellement à ne pas utiliser vos données à des fins d'entraînement.
11. Décisions automatisées (Art. 22 RGPD)▼
Le service utilise des traitements automatisés dans les cas suivants :
- Détection de fraude: vérification des empreintes de carte bancaire pour prévenir les abus lors des périodes d'essai.
- Détection d'anomalies : surveillance automatique des comportements inhabituels (achats en rafale, résiliations répétées).
Ces traitements peuvent entraîner la suspension temporaire de certaines fonctionnalités. Vous pouvez contester toute décision automatisée en contactant dpo@cleoia.com.
13. Modifications▼
Cette politique peut être mise à jour pour refléter les évolutions de nos pratiques ou de la réglementation.
Les modifications significatives vous seront notifiées par :
- Email à l'adresse associée à votre compte
- Notification dans l'application
- Mise à jour de la date en haut de cette page
14. Réclamation▼
Si vous estimez que vos droits ne sont pas respectés, vous pouvez :
- Nous contacter directement à dpo@cleoia.com
- Déposer une réclamation auprès de la CNIL(Commission Nationale de l'Informatique et des Libertés) :
Des questions ? Contactez notre DPO à dpo@cleoia.com
Voir aussi nos Conditions Générales d'Utilisation