Politique de confidentialité

Dernière mise à jour : 19 mai 2026

1. Responsable du traitement

Le responsable du traitement est Quantyl Core LLC, société de droit américain (Delaware), dont le siège social est situé au 8 The Green, Suite B, Dover, Delaware 19901, États-Unis.

Pour toute question relative à la protection de vos données, vous pouvez contacter notre délégué à la protection des données (DPO) à l'adresse : dpo@agenia.io.

2. Données collectées

Nous collectons les catégories de données suivantes :

• Données de compte : adresse e-mail, nom, nom de la société, mot de passe (haché).
• Données d'usage : tâches exécutées par les agents, journaux d'activité, métriques de performance, préférences de configuration.
• Données clients traitées par les agents : Agenia agit en qualité de sous-traitant lorsque vos agents automatisent des tâches impliquant des données personnelles de vos propres clients (noms, e-mails, données comportementales). Ces traitements sont encadrés par notre Accord de Traitement des Données (DPA).

3. Finalités et bases légales

• Exécution du contrat (Art. 6§1b) : création et gestion de votre compte, fourniture du service Agenia.io, facturation.
• Intérêt légitime (Art. 6§1f) : sécurité de la plateforme, prévention des abus, amélioration du service sur la base de journaux techniques anonymisés.
• Consentement (Art. 6§1a) : collecte de données analytics via PostHog, envoi de communications marketing. Ce consentement est révocable à tout moment.

4. Durée de conservation

• Données de compte : conservées pendant la durée de l'abonnement actif, puis 3 ans après la clôture du compte à des fins de preuve contractuelle.
• Journaux d'activité et logs techniques : 1 an glissant.
• Données de facturation : 10 ans conformément aux obligations comptables légales.

5. Hébergement et transferts

Les données sont hébergées sur l'infrastructure d'OVHcloud France (datacenters situés en France, Union européenne). Aucun transfert hors de l'UE n'est effectué pour le stockage principal.

Certaines requêtes sont transmises à des fournisseurs LLM tiers (OpenAI, Anthropic, Mistral) en mode passthrough uniquement : les données sont acheminées pour traitement en temps réel et ne sont pas utilisées pour entraîner leurs modèles. Ces transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne.

6. Sous-traitants

Nous faisons appel aux sous-traitants suivants :

• OVHcloud — hébergement des serveurs et des données (France, UE).
• Stripe — traitement des paiements (données de facturation uniquement).
• PostHog Europe — analytics produit self-hosted, données stockées en Europe.
• OpenAI / Anthropic / Mistral — exécution des modèles LLM en mode passthrough, sans rétention ni entraînement sur vos données.

7. Droits des personnes

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (Art. 15) : obtenir une copie des données vous concernant.
• Droit de rectification (Art. 16) : corriger des données inexactes.
• Droit à l'effacement (Art. 17) : demander la suppression de vos données (droit à l'oubli).
• Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition (Art. 21) : s'opposer à certains traitements fondés sur l'intérêt légitime.
• Droit à la limitation (Art. 18) : restreindre temporairement un traitement.

Ces droits peuvent être exercés directement depuis l'interface de l'application (section Paramètres → Compte → Confidentialité) ou par e-mail à dpo@agenia.io. Nous répondrons dans un délai maximum de 30 jours.

8. Cookies

Agenia.io utilise uniquement des cookies strictement nécessaires à la session d'authentification et des cookies analytics via PostHog (instance self-hosted hébergée en Europe). Aucun cookie publicitaire tiers n'est déposé.

Vous pouvez refuser les cookies analytics depuis la bannière affichée lors de votre première visite, ou à tout moment depuis les paramètres de votre navigateur.

9. Sécurité

Nous mettons en œuvre les mesures techniques suivantes pour protéger vos données :

• Chiffrement des données au repos : AES-256.
• Chiffrement des données en transit : TLS 1.3.
• Isolation des tenants par sandbox gVisor pour chaque container d'agent.
• Journaux d'audit immuables conservés 1 an.
• Contrôle d'accès strict par rôle (RBAC) et politique de moindre privilège.

10. Contact DPO

Pour toute question relative à la protection de vos données personnelles, contactez notre délégué à la protection des données : dpo@agenia.io.

11. Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En France, il s'agit de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

12. Données Google API et conformité Limited Use

Lorsque vous connectez un compte Google à Agenia, nous accédons uniquement aux données nécessaires à l'exécution des fonctionnalités que vous activez explicitement.

• userinfo.email / userinfo.profile — Identité du compte Google connecté (email, nom). Stocké chiffré, supprimé à la déconnexion.
• https://www.googleapis.com/auth/analytics.readonly — Lecture seule des métriques Google Analytics 4 (sessions, utilisateurs, conversions, pages). Utilisé par le skill report_builder pour générer les rapports clients. Données mises en cache 30 jours maximum, jamais revendues.
• https://www.googleapis.com/auth/adwords — Lecture des métriques Google Ads (coût, impressions, clics, conversions). Utilisé par report_builder. Données mises en cache 30 jours maximum.
• https://www.googleapis.com/auth/webmasters.readonly — Lecture des métriques Google Search Console (impressions, clics, requêtes). Utilisé par report_builder. Cache 30 jours.
• https://www.googleapis.com/auth/youtube.readonly — Lecture des métriques YouTube (vues, engagement). Cache 30 jours.

Les jetons d'accès et de rafraîchissement OAuth Google sont chiffrés au repos(AES-256) dans notre base de données PostgreSQL hébergée en Union Européenne. L'isolation entre tenants est garantie par Row-Level Security (RLS) PostgreSQL. Les jetons sont automatiquement supprimés lorsque vous déconnectez l'intégration depuis la page Intégrations.

Nous ne partageons, ne vendons, ni ne transférons les données Google reçues à des tiers, à l'exception des sous-traitants techniques strictement nécessaires (hébergement OVH/Scaleway France) liés par DPA. Aucune donnée Google n'est utilisée pour de la publicité, du profilage, du machine learning entraînement, ou revendue.

Les données Google ne sont jamais lues par des humains, sauf : (a) avec votre consentement explicite pour support technique, (b) pour des raisons de sécurité (détection d'abus), ou (c) si la loi nous y oblige.

Limited Use Disclosure

Agenia's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

13. Vos droits sur les données Google

• Vous pouvez révoquer l'accès à tout moment via votre compte Google : https://myaccount.google.com/permissions.
• Vous pouvez également déconnecter l'intégration depuis Agenia → Intégrations → Google → Déconnecter.
• Une fois révoqué/déconnecté, tous les jetons et données caches associés sont supprimés sous 24 heures.
• Vous pouvez demander un export ou la suppression de toute donnée vous concernant en écrivant à support@agenia.io.