Politique de confidentialité
ShiftCompta
La présente politique explique comment ShiftAI (SASU, SIREN 991 614 470, siège : 58 rue de Monceau, 75008 Paris, France) traite vos données lorsque vous utilisez shiftcompta.com et, en particulier, lorsque vous créez un compte.
1. Responsable du traitement & contact
Responsable : ShiftAI (SASU)
Email général : contact@shiftai.ai
Référent RGPD (DPO) : privacy@shiftai.ai
2. Données que nous collectons
a) Données fournies lors de l'inscription
- •Nom complet (obligatoire)
- •Email professionnel (obligatoire)
- •Nom du cabinet (obligatoire)
- •Taille du portefeuille (obligatoire)
- •Plan choisi (facultatif)
- •Source de découverte (facultatif) — comment vous avez entendu parler de ShiftCompta
- •Consentement :
- ◦« J'accepte la politique de confidentialité » (obligatoire)
b) Données techniques & de sécurité
- •Horodatage d'envoi, adresse IP, identifiants techniques de requête (logs)
- •Télémétrie produit (si vous accédez à la plateforme) : événements d'usage, appareil/navigateur, pages consultées, erreurs applicatives (collecte après consentement lorsque requis)
c) Provenances
- •Directement auprès de vous (formulaire, échanges)
- •Automatiquement via vos interactions (cookies/traceurs selon vos choix)
- •Éventuellement via des prestataires (hébergement, emailing, analytics) dûment encadrés contractuellement (art. 28 RGPD)
3. Finalités & fondements juridiques
| Finalité | Ce que nous faisons | Base légale |
|---|---|---|
| Gestion des inscriptions | Examiner, prioriser, vous inviter, échanger | Intérêt légitime (lancement d'un service B2B) et/ou mesures précontractuelles |
| Communication opérationnelle | Envoyer infos pratiques, changements, incidents | Intérêt légitime |
| Support & amélioration produit | Traiter vos retours, corriger anomalies, améliorer UX | Intérêt légitime |
| Prospection B2B (newsletter/actus) | Envoyer des actualités si vous l'avez demandé | Consentement (opt-in, révocable) |
| Mesure d'audience/analytics | Statistiques d'usage du site/produit | Consentement si traceurs non nécessaires |
| Sécurité | Journalisation, détection d'abus, défense de droits | Intérêt légitime |
| Conformité | Gestion des droits RGPD, preuve des consentements | Obligation légale |
4. Destinataires & sous-traitants
Accès limité aux équipes ShiftAI habilitées (produit, support, sécurité, juridique). Nous recourons aux prestataires suivants :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| AWS | Hébergement, calcul, stockage | UE (Paris) | DPA AWS signé, hébergement UE |
| Amazon Bedrock (AWS) | Modèle de langage (Claude Anthropic via Bedrock) | UE (Paris, eu-west-3) | Couvert par le DPA AWS, hébergement UE |
| Cloudflare | DNS uniquement (mode non-proxifié) | Anycast mondial | Aucune donnée personnelle traitée |
| Bedrock Cohere Rerank (AWS) | Reranking sémantique (Cohere via Bedrock) | UE (Francfort, eu-central-1) | Couvert par le DPA AWS, hébergement UE |
| Bedrock Cohere Embed v3 (AWS) | Embeddings vectoriels (recherche sémantique, via Bedrock) | UE (Paris, eu-west-3) | Couvert par le DPA AWS, hébergement UE |
| Stripe | Paiement | UE (Irlande) | DPA Stripe signé, hébergement UE |
| PostHog | Analytics produit (côté front uniquement) | UE (eu.i.posthog.com) | DPA PostHog signé, hébergement UE |
| Langfuse | Observabilité LLM | UE | DPA Langfuse signé, hébergement UE |
| LangSmith | Tracing LLM | UE (Data Region EU West) | DPA LangChain signé, hébergement UE |
Pour le cadre contractuel complet encadrant ces sous-traitants, consultez notre Convention de traitement des données (DPA).
5. Transferts hors UE/EEE
Si des données sont transférées en dehors de l'UE/EEE (ex. prestataire situé aux États-Unis), nous appliquons les Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, des mesures supplémentaires (chiffrement, minimisation, contrôles d'accès).
6. Durées de conservation
| Catégorie | Durée |
|---|---|
| Données d'inscription (formulaire + échanges) | Jusqu'à 3 ans après le dernier contact émanant de vous (prospection B2B) |
| Preuves de consentement (opt-in marketing) | 5 ans |
| Logs techniques & sécurité | 6 à 12 mois selon criticité |
| Données analytics agrégées | Durées proportionnées (ex. 13 mois pour cookies audience) |
Prolongation possible en cas d'obligation légale, litige ou défense de droits.
7. Vos droits
Vous disposez des droits d'accès, rectification,effacement, limitation, portabilité,opposition, ainsi que du droit de retirer votre consentement (pour la prospection/analytics) à tout moment.
Pour exercer vos droits : privacy@shiftai.ai
(joindre un justificatif d'identité si nécessaire)
Vous pouvez également saisir la CNIL.
9. Sécurité
Nous appliquons des mesures techniques et organisationnelles adaptées : chiffrement en transit (TLS), contrôle d'accès par rôles, principe du moindre privilège, journalisation, sauvegardes, segmentation environnement (dev/test/prod), revue des sous-traitants, et tests de sécurité proportionnés au risque.
10. Public visé (B2B)
ShiftCompta s'adresse à des utilisateurs professionnels. Nous ne collectons pas sciemment de données concernant des mineurs.
11. Décisions automatisées
Aucune décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé (art. 22 RGPD).
12. Modifications
Nous pouvons mettre à jour la présente politique. La date de dernière mise à jour figure en tête. En cas de changement substantiel, nous informerons les utilisateurs via les canaux appropriés.