Politique de confidentialité
ChantiVoice s'engage à protéger la vie privée des utilisateurs de ChantiVoice. Cette politique décrit les données que nous collectons, les raisons de leur traitement et vos droits.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées et traitées dans le cadre de l'utilisation du service ChantiVoice est :
Jeremy Saillet, entrepreneur individuel exerçant sous le nom commercial ChantiVoice, immatriculé sous le numéro SIRET 849 752 464 00024, dont le siège est situé au 90 rue Édouard Villalonga, 34000 Montpellier, France.
Le responsable du traitement peut être contacté pour toute question relative à la protection des données personnelles ou à l'exercice des droits RGPD à l'adresse suivante : contact@chantivoice.fr.
Aucun délégué à la protection des données (DPO) n'a été désigné. Les demandes relatives aux données personnelles sont traitées directement par le responsable du traitement.
L'utilisateur est informé que ses données sont traitées conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.
L'autorité de contrôle compétente en France est la CNIL (Commission Nationale de l'Informatique et des Libertés), accessible à l'adresse suivante : https://www.cnil.fr.
Les informations relatives à l'éditeur du service, à l'hébergement et aux prestataires techniques sont détaillées dans les mentions légales du site ChantiVoice.
2. Données collectées
Dans le cadre de l'utilisation du service ChantiVoice, nous collectons et traitons les catégories de données suivantes, strictement nécessaires au fonctionnement du service :
2.1 Données de compte
Lors de la création d'un compte utilisateur :
- adresse email ;
- mot de passe (haché et stocké de manière sécurisée via le prestataire d'authentification) ;
- identifiant de compte et préférences techniques associées.
2.2 Données professionnelles
Lorsque l'utilisateur configure son espace professionnel :
- nom ou raison sociale ;
- adresse professionnelle ;
- numéro SIRET ;
- logo et éléments de branding ;
- coordonnées de contact (téléphone, email professionnel le cas échéant) ;
- paramètres de facturation et modèles de documents personnalisés.
2.3 Données de devis et contenus générés
Dans le cadre de l'utilisation du service :
- contenus des devis et factures créés ;
- lignes de prestations, descriptions, quantités, montants ;
- informations relatives aux clients finaux renseignées par l'utilisateur ;
- historiques de documents générés et modifications associées.
Ces données sont créées et contrôlées par l'utilisateur, qui en demeure responsable au titre de son activité professionnelle.
Lorsque l'utilisateur y intègre des données relatives à ses propres clients finaux, ChantiVoiceintervient en qualité de sous-traitant (art. 28 RGPD) pour le seul hébergement et le traitement technique nécessaires à la fourniture du service, conformément au principe de minimisation. L'utilisateur garantit disposer d'une base légale pour transmettre ces données et informer ses clients le cas échéant. ChantiVoicen'a aucun contrôle sur la collecte initiale des données des clients finaux par l'utilisateur. ChantiVoicen'exploite pas les données des clients finaux de l'utilisateur à ses propres fins.
2.4 Données vocales et audio
Lorsque l'utilisateur utilise des fonctionnalités de saisie vocale :
- enregistrements audio transmis par l'utilisateur ;
- données issues de la transcription automatique ;
- texte généré à partir de ces enregistrements.
Les fichiers audio bruts (format webm, mp3 ou équivalent, taille maximale 10 Mo) sont transmis temporairement à OpenAI uniquement pour la transcription. Pour la structuration du devis, seul le texte transcrit est transmis, sans identifiants de compte, sans données de paiement et sans métadonnées superflues.
Ces traitements sont effectués sans entraînement de modèles, sans réutilisation ni usage secondaire. Les enregistrements audio bruts sont supprimés ou anonymisés au plus tard 90 jours après leur traitement, conformément à la section 5. Seules les transcriptions textuelles et les documents générés demeurent accessibles dans le compte utilisateur.
2.5 Données de paiement
Dans le cadre de l'abonnement :
- identifiant de transaction et statut d'abonnement ;
- informations de facturation associées au paiement.
Les données bancaires complètes sont traitées exclusivement par le prestataire de paiement Stripe, sans stockage par ChantiVoice.
2.6 Données techniques et de connexion
Lors de l'utilisation du service :
- adresse IP ;
- type et version du navigateur ;
- logs de connexion et d'activité ;
- horodatage des actions ;
- données de sécurité et de prévention des abus.
Ces données sont utilisées notamment pour la sécurité, la détection de fraude et la maintenance du service.
3. Finalités et bases légales
Les données personnelles collectées par ChantiVoice sont traitées pour des finalités déterminées, explicites et légitimes, conformément au Règlement Général sur la Protection des Données (RGPD).
Chaque traitement repose sur une ou plusieurs bases légales définies à l'article 6 du RGPD.
3.1 Exécution du contrat (article 6.1.b RGPD)
Le traitement des données est nécessaire à l'exécution du contrat conclu entre l'utilisateur et ChantiVoice, notamment pour :
- la création et la gestion du compte utilisateur ;
- la fourniture des fonctionnalités du service (création de devis, factures, export PDF, etc.) ;
- la transcription et le traitement des données vocales ;
- la génération automatisée de contenus à partir des informations fournies ;
- la gestion de l'abonnement et des accès au service ;
- l'envoi d'emails transactionnels liés au fonctionnement du service (confirmation, facturation, sécurité).
3.2 Intérêt légitime (article 6.1.f RGPD)
Certains traitements sont fondés sur l'intérêt légitime de ChantiVoice, dans la limite du respect des droits et libertés des utilisateurs, notamment pour :
- assurer la sécurité du service et prévenir les fraudes ou abus ;
- surveiller et journaliser les activités techniques à des fins de protection de la plateforme ;
- améliorer le fonctionnement du service et corriger les anomalies ;
- analyser de manière interne les performances et usages du service (sans profilage publicitaire) ;
- assurer le support utilisateur et le diagnostic technique des incidents.
Ces traitements sont encadrés et proportionnés afin de ne pas porter atteinte aux droits des utilisateurs.
3.3 Obligation légale (article 6.1.c RGPD)
Certains traitements sont nécessaires au respect d'obligations légales, notamment :
- conservation des factures et pièces comptables ;
- obligations fiscales et comptables applicables à l'éditeur ;
- réponse aux demandes légales des autorités compétentes ;
- conservation de preuves en cas de litige (dans les limites prévues par la loi).
3.4 Consentement (article 6.1.a RGPD)
Le consentement de l'utilisateur est requis pour certains traitements spécifiques, notamment :
- fonctionnalités optionnelles non essentielles au service principal ;
- communications commerciales ou marketing non transactionnelles (si activées) ;
- certains traitements analytiques non indispensables au fonctionnement du service.
L'utilisateur peut retirer son consentement à tout moment, sans affecter la licéité des traitements déjà effectués.
Lorsqu'un traitement requiert un consentement, celui-ci est recueilli par un moyen distinct des cookies strictement nécessaires : case à cocher non pré-cochée, bandeau de cookies ou formulaire dédié, selon le cas. Les cookies et traceurs strictement nécessaires au service (authentification, sécurité) relèvent de la section 7 et ne sont pas confondus avec les traceurs soumis au consentement préalable.
3.5 Nature des traitements liés à l'IA et à l'automatisation
Dans le cadre du service, certaines données peuvent être traitées par des systèmes automatisés (notamment transcription et assistance à la génération de devis).
Ces traitements ont pour seule finalité :
- la transformation des données fournies par l'utilisateur en contenu exploitable ;
- l'assistance à la rédaction et à la structuration de documents professionnels.
Aucune décision automatisée n'est prise sans intervention humaine déterminante et validation par l'utilisateur, au sens de l'article 22 du RGPD.
L'utilisateur reste seul responsable de la validation finale des contenus générés. Les contenus générés nécessitent une validation par l'utilisateur avant tout usage contractuel ou comptable. L'utilisateur demeure seul responsable de l'exactitude, de la conformité et de l'utilisation des documents générés.
3.6 Finalité générale du traitement
De manière générale, les données sont collectées et traitées afin de :
- fournir, exploiter et améliorer le service ChantiVoice ;
- permettre la gestion administrative et contractuelle des utilisateurs ;
- assurer la sécurité, la stabilité et l'intégrité de la plateforme ;
- garantir la conformité légale et réglementaire du service.
4. Destinataires et sous-traitants
Dans le cadre du fonctionnement du service ChantiVoice, certaines données personnelles peuvent être transmises à des prestataires techniques agissant, selon les traitements concernés, en qualité de sous-traitants au sens de l'article 28 du RGPD, et strictement dans la limite nécessaire à l'exécution de leurs missions.
Ces prestataires ne traitent pas les données pour leur propre compte et sont contractuellement tenus de garantir leur sécurité, leur confidentialité et leur conformité au RGPD. ChantiVoicene vend, ne loue ni n'échange les données personnelles à des tiers, et ne les exploite pas à des fins publicitaires externes.
4.1 Sous-traitants techniques principaux
Hébergement et infrastructure
- Vercel: hébergement de l'application web et déploiement du service ;
- Supabase : base de données, authentification, stockage des fichiers associés au service et sauvegardes techniques ;
Ces prestataires assurent le stockage et l'exécution technique du service.
Paiement et facturation
- Stripe (Stripe Payments Europe Ltd.) : traitement des paiements, gestion des abonnements, prévention de la fraude et opérations de facturation.
Stripe agit en tant que prestataire de services de paiement indépendant et conforme aux réglementations financières applicables.
Traitement des données audio et intelligence artificielle
- OpenAI (OpenAI Ireland Ltd. et/ou OpenAI, L.L.C. selon le traitement et l'infrastructure utilisés) :
- Transcription : le fichier audio brut est transmis temporairement pour conversion en texte ;
- Génération assistée : seul le texte transcrit ou saisi est transmis pour structurer le devis, sans audio, sans identifiants de compte ni données de paiement.
OpenAI intervient en qualité de sous-traitant ou de prestataire technique selon les traitements concernés, dans le cadre de ses conditions contractuelles applicables et de son addendum de traitement des données (DPA). Les données sont traitées temporairement, ne font l'objet d'aucune réutilisation par ChantiVoiceà d'autres fins et ne sont pas revendues. Les transferts et durées sont détaillés aux sections 5, 6 et 2.4.
4.2 Nature des accès aux données
Les prestataires mentionnés ci-dessus peuvent, selon leur rôle :
- héberger des données techniques ou utilisateurs ;
- traiter des données pour exécuter des fonctionnalités du service ;
- assurer des opérations de sécurité, maintenance ou optimisation technique.
Aucun prestataire n'est autorisé à utiliser les données des utilisateurs à des fins commerciales indépendantes ou de profilage publicitaire.
4.3 Mesures contractuelles et conformité
Chaque sous-traitant est lié à ChantiVoicepar un contrat de traitement conforme à l'article 28 du RGPD, incluant notamment :
- le traitement conformément à des instructions documentées de ChantiVoice ;
- une finalité limitée à la fourniture du service ;
- une durée limitée à la relation contractuelle ;
- la suppression ou la restitution des données en fin de relation, sous réserve des obligations légales de conservation ;
- des engagements de confidentialité ;
- des obligations de sécurité des données ;
- des garanties de conformité au RGPD ;
- des conditions encadrant les transferts éventuels hors Union européenne (le cas échéant).
La liste des sous-traitants principaux est tenue à jour dans la présente politique ; des sous-traitants secondaires (infrastructure cloud, réseau de diffusion) peuvent intervenir dans la chaîne d'hébergement de certains prestataires, sous leur responsabilité contractuelle.
Lorsque l'utilisateur professionnel traite, via le service, des données personnelles de ses clients finaux et que ChantiVoiceintervient en sous-traitant au titre de l'article 28 du RGPD, un accord de traitement des données (DPA) encadrant les obligations respectives est disponible sur simple demande à contact@chantivoice.fr ou figure dans les conditions générales de vente et les conditions générales d'utilisation.
4.4 Accès limité aux données
L'accès aux données est strictement limité :
- aux équipes techniques habilitées ;
- aux prestataires strictement nécessaires au fonctionnement du service ;
- aux seules données nécessaires à l'exécution de leur mission.
4.5 Journalisation et sécurité interne
Des données techniques internes (logs, événements système, traces de sécurité) peuvent être traitées afin de :
- assurer la stabilité du service ;
- détecter les anomalies et incidents ;
- prévenir les accès frauduleux ou abusifs.
Ces données ne sont pas utilisées à des fins publicitaires ou de surveillance individuelle non justifiée.
5. Durée de conservation
ChantiVoiceconserve les données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées, conformément au principe de limitation de conservation prévu par le RGPD. Certaines données peuvent être conservées plus longtemps lorsqu'une obligation légale ou une nécessité de preuve l'impose.
L'exercice de vos droits est détaillé à la section 8.
5.1 Données de compte et données professionnelles
Les données liées au compte utilisateur (email, identifiants, informations de profil) ainsi que les données professionnelles (raison sociale, SIRET, paramètres de compte) sont conservées :
- tant que le compte utilisateur est actif ;
- puis supprimées ou anonymisées dans un délai maximum de 30 jours après suppression du compte, sauf obligation légale contraire.
5.2 Données de devis et contenus générés
Les données liées aux devis, factures et contenus générés par l'utilisateur sont conservées :
- tant que le compte est actif ;
- puis supprimées ou anonymisées dans un délai maximum de 30 jours après suppression du compte, sauf demande contraire de l'utilisateur ou obligation légale.
L'utilisateur peut à tout moment exporter ses données avant suppression du compte.
5.3 Données audio (enregistrements vocaux)
Les enregistrements audio transmis dans le cadre des fonctionnalités vocales sont conservés uniquement pour permettre leur traitement technique, sous réserve des limites techniques définies en section 2.4 :
- conservation maximale : 90 jours ;
- suppression ou anonymisation automatique à l'issue de ce délai.
Les données issues de la transcription peuvent être conservées plus longtemps si elles sont intégrées à des documents (devis, contenus générés), selon les durées applicables à ces documents (section 5.2).
5.4 Données de facturation et obligations comptables
Les données relatives à la facturation et aux paiements sont conservées pendant une durée de :
- 10 ans, conformément aux obligations légales comptables et fiscales applicables.
Ces données incluent notamment les factures, les montants, les dates de paiement et les informations nécessaires à la comptabilité.
5.5 Logs techniques et données de sécurité
Les journaux techniques (logs de connexion, adresses IP, événements système, traces de sécurité) sont conservés pour une durée maximale de :
- 12 mois, sauf nécessité exceptionnelle liée à un incident de sécurité ou une obligation légale.
Ces données sont utilisées uniquement à des fins de sécurité, de diagnostic technique et de prévention des abus.
5.6 Données de preuve et consentement contractuel
Les preuves liées à l'acceptation contractuelle (CGV, renonciation au droit de rétractation, horodatage, adresse IP, user agent, version des documents acceptés) sont conservées :
- pendant toute la durée du contrat ;
- puis archivées jusqu'à 5 ans après la fin de la relation contractuelle, à des fins de preuve en cas de litige.
5.7 Basculement vers l'offre gratuite
En cas de passage à l'offre gratuite (résiliation ou impayé) :
- les données strictement nécessaires au fonctionnement du plan gratuit sont conservées ;
- les données liées aux fonctionnalités Pro peuvent être supprimées ou désactivées si elles ne sont plus nécessaires.
Le principe appliqué est celui de la minimisation des données et de la limitation des finalités. Ce basculement constitue une modalité technique d'exécution du contrat en cours : il ne crée pas un nouveau contrat et ne constitue pas une novation contractuelle (voir CGV, section 6).
5.8 Suppression du compte
En cas de suppression du compte par l'utilisateur :
- les données sont supprimées ou anonymisées selon les délais mentionnés ci-dessus ;
- certaines données peuvent être conservées temporairement pour des raisons techniques (sécurité, sauvegardes) avant suppression définitive.
6. Transferts hors Union européenne
Dans le cadre de l'exploitation du service ChantiVoice, certaines données personnelles peuvent être transférées vers des pays situés en dehors de l'Union européenne (UE) ou de l'Espace économique européen (EEE), notamment lorsque les prestataires techniques utilisés disposent d'infrastructures ou de sous-traitants hors de ces zones.
6.1 Prestataires concernés
Les principaux prestataires susceptibles d'impliquer des transferts de données hors UE sont notamment :
- OpenAI (OpenAI Ireland Ltd. et/ou OpenAI, L.L.C.) : transcription audio et assistance à la génération de contenu, selon les flux décrits en section 4.1 ;
- Stripe (traitement des paiements et prévention de la fraude) ;
- Supabase (hébergement de base de données et services associés) ;
- Vercel (hébergement et infrastructure de déploiement du service).
Ces prestataires peuvent, selon leurs propres architectures techniques, traiter ou stocker des données dans des pays tiers, notamment aux États-Unis.
6.2 Encadrement juridique des transferts
Tout transfert de données personnelles en dehors de l'Union européenne est encadré conformément au RGPD, notamment au moyen de clauses contractuelles types (CCT) adoptées par la Commission européenne et, le cas échéant, de mesures complémentaires techniques et organisationnelles. Lorsque aucune décision d'adéquation n'a été adoptée pour certains pays tiers, ces garanties permettent néanmoins d'assurer un niveau de protection adéquat des données.
6.3 Niveau de protection des données
ChantiVoiceveille à ce que les données transférées bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne. Les sous-traitants concernés s'engagent contractuellement à respecter les exigences applicables en matière de sécurité et de protection des données.
6.4 Limitation des données transférées
Seules les données strictement nécessaires au fonctionnement du service peuvent être concernées par un transfert hors UE, notamment :
- données techniques nécessaires à l'hébergement et au fonctionnement de la plateforme ;
- données nécessaires au traitement des paiements ;
- données nécessaires à la transcription ou à l'assistance automatisée (IA) ;
- données strictement nécessaires à la sécurité et à la prévention des abus.
6.5 Transferts et finalités
Les transferts hors UE sont limités à l'exécution technique du service et encadrés comme indiqué en section 4. Aucun transfert à des fins de revente ou de profilage publicitaire.
6.6 Information et transparence
L'utilisateur est informé que l'utilisation du service implique potentiellement des transferts de données en dehors de l'Union européenne en raison de la nature des infrastructures utilisées.
Des informations complémentaires sur les garanties applicables peuvent être obtenues sur simple demande à l'adresse suivante : contact@chantivoice.fr.
7. Cookies et traceurs
ChantiVoiceutilise des cookies et technologies similaires afin d'assurer le bon fonctionnement du service, d'améliorer la sécurité et d'optimiser l'expérience utilisateur.
Ces traceurs sont utilisés dans le respect de la directive ePrivacy et du RGPD.
7.1 Nature des cookies utilisés
Le service utilise uniquement des cookies et traceurs strictement nécessaires au fonctionnement de la plateforme, notamment :
- cookies d'authentification (connexion et maintien de session) ;
- cookies techniques liés à la sécurité du service ;
- cookies de gestion des préférences utilisateur (paramètres d'interface, langue, etc.) ;
- cookies nécessaires au bon fonctionnement des fonctionnalités du service (navigation, accès aux espaces sécurisés).
7.2 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du service et ne peuvent pas être désactivés depuis l'interface utilisateur sans altérer fortement l'accès à la plateforme.
Ils ne nécessitent pas de consentement préalable, conformément à la réglementation applicable.
7.3 Cookies non essentiels
À la date de dernière mise à jour (28 juin 2026), ChantiVoicen'utilise pas de cookies publicitaires, de suivi marketing tiers ou de profilage à des fins commerciales.
Si de tels cookies venaient à être introduits, ils feraient l'objet d'un consentement préalable explicite, distinct des cookies strictement nécessaires, via un bandeau permettant d'accepter ou de refuser par finalité, conformément à la réglementation. Aucun cookie marketing ou de mesure d'audience non essentiel n'est déposé sans action positive de l'utilisateur.
7.4 Logs techniques de session et sécurité
Des logs techniques de session peuvent être temporairement collectés afin de :
- assurer la sécurité du service ;
- détecter les comportements abusifs ou frauduleux ;
- améliorer la stabilité et les performances de la plateforme.
Ces données sont strictement limitées à des finalités opérationnelles et ne sont pas utilisées à des fins publicitaires.
7.5 Gestion des cookies
L'utilisateur peut configurer son navigateur pour accepter, refuser ou supprimer les cookies à tout moment.
Toutefois, le refus des cookies strictement nécessaires peut empêcher l'accès à certaines fonctionnalités essentielles du service (notamment l'authentification et la gestion de session).
7.6 Durée de conservation des cookies
Les cookies sont conservés pour une durée strictement nécessaire à leur finalité, définie par le sous-traitant concerné et paramétrée au minimum requis, notamment :
- cookies de session : supprimés à la fermeture du navigateur ou après déconnexion ;
- cookies d'authentification : durée limitée au maintien de la session active, selon le paramétrage du prestataire d'authentification ;
- cookies de préférences techniques : durée limitée à la mémorisation du choix de l'utilisateur pour la finalité concernée.
7.7 Transparence et évolution
ChantiVoicepeut être amené à faire évoluer l'utilisation des cookies afin d'adapter le service ou de respecter des obligations légales.
Toute modification substantielle fera l'objet d'une mise à jour de la présente politique de confidentialité.
8. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez de droits sur les données personnelles vous concernant.
Ces droits s'exercent dans les conditions prévues par la réglementation applicable.
8.1 Droit d'accès
Vous avez le droit d'obtenir la confirmation que des données personnelles vous concernant sont ou ne sont pas traitées, ainsi que d'accéder à ces données et d'en obtenir une copie.
8.2 Droit de rectification
Vous pouvez demander la correction ou la mise à jour de vos données personnelles lorsqu'elles sont inexactes, incomplètes ou obsolètes.
8.3 Droit à l'effacement
Vous pouvez demander la suppression de vos données personnelles, dans les limites prévues par la réglementation, notamment lorsque :
- les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
- vous retirez votre consentement (lorsque le traitement repose sur celui-ci) ;
- vous vous opposez au traitement et qu'il n'existe pas de motif légitime impérieux de le maintenir ;
- les données ont fait l'objet d'un traitement illicite.
Certaines données peuvent néanmoins être conservées en raison d'obligations légales ou de nécessité de preuve.
8.4 Droit à la limitation du traitement
Vous pouvez demander la suspension temporaire du traitement de certaines données, notamment en cas de contestation de leur exactitude ou de la licéité du traitement.
8.5 Droit à la portabilité
Vous avez le droit de recevoir les données personnelles que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre service lorsque cela est techniquement possible.
8.6 Droit d'opposition
Vous pouvez vous opposer à tout moment à certains traitements fondés sur l'intérêt légitime, sous réserve de motifs légitimes et impérieux pouvant justifier leur maintien.
Ce droit ne s'applique pas aux traitements nécessaires à l'exécution du contrat ou au respect d'obligations légales.
8.7 Retrait du consentement
Lorsque un traitement est fondé sur votre consentement, vous pouvez retirer ce consentement à tout moment.
Le retrait du consentement n'affecte pas la licéité des traitements effectués avant ce retrait.
8.8 Exercice des droits
Pour exercer vos droits, vous pouvez contacter : contact@chantivoice.fr.
Toute demande doit être accompagnée d'éléments permettant de vérifier votre identité afin d'éviter toute divulgation non autorisée de données.
Une réponse vous sera apportée dans un délai maximum d'un (1) mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux (2) mois supplémentaires en cas de complexité ou de volume important de demandes.
8.9 Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
CNIL – Commission Nationale de l'Informatique et des Libertés : https://www.cnil.fr
8.10 Limites liées à certaines données
L'exercice de certains droits peut être limité lorsque les données concernées sont nécessaires :
- au respect d'une obligation légale (comptabilité, fiscalité) ;
- à l'exécution du contrat en cours ;
- à la constatation, l'exercice ou la défense de droits en justice.
Dans ces cas, seules les données strictement nécessaires sont conservées.
9. Sécurité
ChantiVoice met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre toute perte, altération, divulgation non autorisée ou accès non autorisé.
Ces mesures sont définies en fonction de l'état de l'art, de la nature des données traitées et des risques associés au service.
9.1 Mesures techniques
Le service repose notamment sur les dispositifs de sécurité suivants :
- chiffrement des communications via protocole HTTPS (TLS) ;
- authentification sécurisée des utilisateurs et gestion des sessions ;
- contrôle d'accès restreint aux bases de données et environnements techniques ;
- séparation des environnements de production et de test ;
- protections contre les attaques courantes (injections, accès non autorisés, abus automatisés) ;
- journalisation des événements techniques et de sécurité.
9.2 Mesures organisationnelles
ChantiVoice applique des règles internes visant à limiter les risques humains et organisationnels :
- accès aux données strictement limité aux personnes habilitées ;
- principe du moindre privilège pour les accès techniques ;
- sensibilisation aux bonnes pratiques de sécurité des intervenants techniques ;
- procédures de gestion des incidents de sécurité.
9.3 Sécurité des sous-traitants
Les sous-traitants utilisés (hébergement, paiement, intelligence artificielle) sont sélectionnés pour leur conformité aux standards de sécurité du secteur et leurs engagements contractuels en matière de protection des données.
Chaque sous-traitant est tenu de mettre en œuvre des mesures de sécurité équivalentes ou supérieures à celles exigées par la réglementation applicable.
9.4 Limites inhérentes à Internet
L'utilisateur reconnaît qu'aucun système de transmission ou de stockage de données sur Internet n'offre une sécurité absolue.
Malgré les efforts mis en œuvre par ChantiVoice, des risques résiduels peuvent exister, notamment :
- interception de données lors des communications ;
- défaillances techniques imprévues ;
- attaques malveillantes sophistiquées.
L'utilisateur accepte ces risques inhérents à l'utilisation d'un service en ligne.
9.5 Gestion des incidents de sécurité
En cas d'incident de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des utilisateurs, ChantiVoices'engage à :
- prendre les mesures correctives nécessaires dans les meilleurs délais ;
- limiter l'impact de l'incident ;
- informer les utilisateurs concernés lorsque la réglementation l'exige ;
- notifier l'autorité compétente (CNIL) si requis par le RGPD.
9.6 Journalisation et traçabilité
Des logs techniques sont conservés afin de :
- assurer la sécurité du service ;
- détecter les comportements anormaux ou frauduleux ;
- permettre l'analyse et la résolution des incidents.
Ces journaux sont strictement encadrés, ne sont utilisés qu'à des fins techniques et de sécurité, et sont régis par les durées de conservation définies en section 5.5.
9.7 Continuité et sauvegardes
Des mécanismes de sauvegarde peuvent être mis en place via les prestataires d'hébergement (notamment Supabase) afin d'assurer la continuité du service et la récupération des données en cas d'incident majeur.
Ces sauvegardes sont conservées pour une durée limitée et supprimées de manière sécurisée selon les politiques internes de conservation.
10. Modifications
La présente politique peut être mise à jour pour refléter l'évolution du service, des sous-traitants ou de la réglementation applicable. La version en vigueur est celle publiée en ligne à la date indiquée en bas de page (28 juin 2026).
En cas de modification substantielle affectant les droits des personnes concernées, ChantiVoiceinformera les utilisateurs par tout moyen approprié (notification sur le service, email le cas échéant). La poursuite de l'utilisation du service après information vaut prise de connaissance de la version mise à jour.
Pour les relations contractuelles, voir aussi les CGU, les CGV et les mentions légales.
Dernière mise à jour : 28 juin 2026