Dernière mise à jour : 13 février 2026
Chez Cleo IA, nous accordons une grande importance à la protection de vos données personnelles. Cette politique explique comment nous collectons, utilisons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD).
1. Responsable du traitement▼
Le responsable du traitement des données personnelles est :
Cleo IA
374 E route de Charmeil
01340 ATTIGNAT, France
SIREN : 995 370 319
Délégué à la protection des données (DPO) : dpo@cleoia.com
2. Données collectées▼
Nous collectons les catégories de données suivantes :
2.1 Données d'inscription
- Adresse email (normalisée en minuscules pour cohérence)
- Nom complet (si fourni)
- Photo de profil (si authentification OAuth)
2.2 Données de paiement
- Empreinte de carte bancaire (fingerprint anonymisé, pour prévention de fraude)
- Historique des transactions (géré par Stripe)
Note : Nous ne stockons jamais les numéros de carte complets. Seule une empreinte anonymisée est conservée pendant 24 mois pour prévenir les abus.
2.3 Données d'utilisation
- Historique des conversations avec l'assistant IA
- Préférences et paramètres du compte
- Journaux de connexion (date, heure, adresse IP)
2.4 Documents RAG
- Fichiers téléversés pour la base de connaissances (PDF, Word, etc.)
- Contenu extrait et indexé pour la recherche sémantique
- Métadonnées des documents (nom, taille, date d'upload)
Les documents sont stockés chiffrés (AES-256) et ne sont accessibles qu'à leur propriétaire. Le chiffrement côté client est disponible en option.
2.5 Données d'intégrations
- Tokens d'accès OAuth (Google, Microsoft, Notion, Slack)
- Emails et calendriers consultés via les intégrations activées
- Fichiers accédés via Google Drive ou OneDrive
Ces données ne sont accédées qu'à votre demande et selon les permissions que vous avez accordées lors de la connexion du service.
2.6 Données Studio
- Prompts de génération d'images
- Images générées et éditées
- Paramètres de création (modèle, dimensions, etc.)
2.7 Données techniques
- Type de navigateur et système d'exploitation
- Pages visitées et temps passé sur le service
- Données de performance et d'erreurs
3. Finalités du traitement▼
Vos données sont utilisées pour :
- Fourniture du service : traitement de vos requêtes par l'IA
- Gestion du compte : authentification, préférences
- Amélioration : analyse d'usage pour améliorer le service
- Sécurité : détection de fraude et abus
- Communication : notifications sur votre compte
- Obligations légales : conformité réglementaire
4. Base légale du traitement▼
Le traitement de vos données repose sur :
Exécution du contrat (Art. 6.1.b RGPD)
Fourniture du service Cleo IA
Consentement (Art. 6.1.a RGPD)
Fonctionnalités optionnelles, newsletters
Intérêt légitime (Art. 6.1.f RGPD)
Amélioration du service, sécurité
Obligation légale (Art. 6.1.c RGPD)
Conservation des logs de connexion
5. Partage des données▼
Vos données ne sont jamais vendues à des tiers.
Elles peuvent être partagées avec nos sous-traitants :
Fournisseurs IA :
| Partenaire | Finalité | Localisation |
|---|---|---|
| Anthropic | Traitement IA (Claude) | États-Unis |
| OpenAI | Traitement IA (GPT) | États-Unis |
| Google AI | Traitement IA (Gemini) | États-Unis |
| Mistral AI | Traitement IA | France |
| xAI | Traitement IA (Grok) | États-Unis |
| DeepSeek | Traitement IA | Chine |
| ByteDance / BytePlus | Génération d'images (Seedream) | Chine / Singapour |
Infrastructure et hébergement :
| Partenaire | Finalité | Localisation |
|---|---|---|
| Supabase | Base de données, Auth, Stockage | UE |
| Vercel | Hébergement application | UE |
| Render | Traitement RAG | UE |
| Scaleway | Traitement RAG | France |
| Upstash | Cache applicatif | UE |
Tous nos hébergeurs utilisent des datacenters situés en Union européenne (France, Allemagne).
Services tiers :
| Partenaire | Finalité | Localisation |
|---|---|---|
| Stripe | Paiements et facturation | États-Unis |
| Google / Microsoft | Authentification OAuth | États-Unis |
Note : Des intégrations optionnelles (Google Workspace, Microsoft 365, Notion, Slack, etc.) peuvent être activées par l'utilisateur. Dans ce cas, les données sont partagées conformément aux conditions du service choisi.
6. Transferts internationaux▼
Certaines données peuvent être traitées en dehors de l'Union européenne, notamment aux États-Unis et en Chine (DeepSeek, ByteDance/BytePlus).
Ces transferts sont encadrés par :
- États-Unis : Data Privacy Framework (DPF) UE-États-Unis pour les sous-traitants certifiés ; clauses contractuelles types (SCC) pour les autres
- Chine : clauses contractuelles types (SCC) de la Commission européenne, conformément à l'article 46(2)(c) du RGPD
- Des mesures de sécurité supplémentaires (chiffrement en transit et au repos, pseudonymisation, minimisation des données transmises)
Seuls les prompts et contenus nécessaires au traitement sont transmis aux fournisseurs d'IA. Aucune donnée personnelle identifiante n'est volontairement incluse dans les requêtes.
7. Conservation des données▼
| Type de données | Durée |
|---|---|
| Données de compte | Jusqu'à suppression du compte + 30 jours |
| Historique des conversations | 2 ans ou suppression manuelle |
| Journaux de connexion | 1 an (obligation légale) |
| Données anti-fraude (empreintes carte) | 24 mois |
| Documents RAG | Jusqu'à suppression par l'utilisateur |
| Tokens d'intégration | Jusqu'à déconnexion du service ou suppression du compte |
| Images Studio | Jusqu'à suppression par l'utilisateur |
| Données analytiques | 26 mois (anonymisées) |
8. Vos droits (RGPD)▼
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données
Droit de rectification
Corriger vos données inexactes
Droit à l'effacement
Supprimer vos données
Droit à la portabilité
Recevoir vos données en format standard
Droit d'opposition
Vous opposer à certains traitements
Droit de limitation
Restreindre le traitement
9. Sécurité▼
Nous mettons en place des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Authentification à deux facteurs disponible
- Contrôle d'accès strict aux données
- Audits de sécurité réguliers
- Journalisation des accès
- Plan de réponse aux incidents
10. Intelligence artificielle▼
Conformément au Règlement européen sur l'intelligence artificielle (AI Act, Règlement UE 2024/1689), nous vous informons que :
- Cleo IA utilise des modèles d'IA générative fournis par des tiers (Anthropic, OpenAI, Google, Mistral, xAI, DeepSeek) pour générer des réponses textuelles.
- Le Studio utilise des modèles de génération d'images (DALL-E, ByteDance Seedream) pour créer du contenu visuel.
- Les réponses et images générées sont produites par des systèmes d'IA et ne constituent pas des conseils professionnels.
- Vos données conversationnelles peuvent être transmises aux fournisseurs d'IA pour le traitement de vos requêtes, conformément à la section 5.
- Aucun entraînement de modèle n'est effectué sur vos données personnelles. Les fournisseurs utilisés s'engagent contractuellement à ne pas utiliser vos données à des fins d'entraînement.
11. Décisions automatisées (Art. 22 RGPD)▼
Le service utilise des traitements automatisés dans les cas suivants :
- Détection de fraude : vérification des empreintes de carte bancaire pour prévenir les abus lors des périodes d'essai.
- Détection d'anomalies : surveillance automatique des comportements inhabituels (achats en rafale, résiliations répétées).
Ces traitements peuvent entraîner la suspension temporaire de certaines fonctionnalités. Vous pouvez contester toute décision automatisée en contactant dpo@cleoia.com.
13. Modifications▼
Cette politique peut être mise à jour pour refléter les évolutions de nos pratiques ou de la réglementation.
Les modifications significatives vous seront notifiées par :
- Email à l'adresse associée à votre compte
- Notification dans l'application
- Mise à jour de la date en haut de cette page
14. Réclamation▼
Si vous estimez que vos droits ne sont pas respectés, vous pouvez :
- Nous contacter directement à dpo@cleoia.com
- Déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
Des questions ? Contactez notre DPO à dpo@cleoia.com
Voir aussi nos Conditions Générales d'Utilisation