Passer au contenu principal

Politique de confidentialité

Dernière mise à jour : 24 février 2026

1. Introduction

Veluvanto s.r.o. (« nous », « notre » ou « nos ») s'engage à protéger votre vie privée. Cette Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos données à caractère personnel lorsque vous utilisez les services Veluvanto, conformément au Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679) et à la loi tchèque n° 110/2019 Coll. sur le traitement des données à caractère personnel.

2. Responsable du traitement

Le responsable du traitement de vos données à caractère personnel est :

Veluvanto s.r.o.
Siège social : Korunní 2569/108, Vinohrady, 101 00 Praha 10
IČO : 249 15 122
E-mail : privacy@veluvanto.com

Délégué à la protection des données (DPO) : Nous avons déterminé que la nomination d'un Délégué à la Protection des Données n'est pas obligatoire en vertu de l'Article 37 du RGPD compte tenu de la nature et de l'ampleur de nos activités de traitement (nous ne traitons pas de catégories particulières de données à grande échelle, ne sommes pas une autorité publique et n'effectuons pas de surveillance systématique à grande échelle). Pour toute question relative à la vie privée, contactez-nous à privacy@veluvanto.com.

3. Données à caractère personnel que nous collectons

Nous collectons les catégories suivantes de données à caractère personnel :

3.1 Données du compte

  • Adresse e-mail, nom et photo de profil (depuis votre compte Google lorsque vous vous connectez via Google OAuth ou votre compte Microsoft lorsque vous vous connectez via Microsoft OAuth)
  • Paramètres et préférences du compte

3.2 Données des documents

  • Fichiers que vous téléversez sur le service (documents, factures, contrats, etc.)
  • Métadonnées extraites des documents (dates, entités, montants, tags)
  • Résumés, traductions et catégorisations de vos documents générés par AI

3.3 Données d'utilisation

  • Fonctionnalités utilisées, actions effectuées et interactions avec le service
  • Crédits AI consommés et statut de l'abonnement

3.4 Données techniques

  • Adresse IP, type et version du navigateur, type d'appareil et système d'exploitation
  • Identifiants de session et journaux d'accès
  • Horodatages des actions à des fins de sécurité et d'audit

3.5 Données de paiement

  • Adresse de facturation et relevés de transactions (les détails de la carte de paiement sont traités directement par Paddle.com Market Limited, notre marchand officiel, et ne sont pas stockés par nous)

Obligation de fournir des données (Art. 13(2)(e) du RGPD) : La fourniture de votre adresse e-mail et des données de votre compte est une exigence contractuelle — sans cela, vous ne pouvez pas créer de compte ni utiliser le service. La fourniture de données de paiement est requise pour accéder aux forfaits payants. La fourniture du contenu des documents est volontaire ; vous choisissez ce que vous téléchargez. Vous n'êtes pas légalement obligé de fournir les éléments ci-dessus, mais le défaut de fourniture des données requises signifiera que nous ne pourrons pas vous fournir le service.

4. Bases juridiques du traitement

Nous traitons vos données à caractère personnel sur les bases juridiques suivantes en vertu de l'article 6 du RGPD :

Finalité Base juridique Article du RGPD
Fourniture et exploitation du service Exécution d'un contrat Art. 6(1)(b)
Authentification de l'utilisateur (Google OAuth) Exécution d'un contrat Art. 6(1)(b)
Authentification de l'utilisateur (Microsoft OAuth) Exécution d'un contrat Art. 6(1)(b)
Traitement des paiements et facturation Exécution d'un contrat Art. 6(1)(b)
Envoi de communications liées au service Exécution d'un contrat Art. 6(1)(b)
Sécurité, prévention de la fraude, journalisation des accès Intérêts légitimes Art. 6(1)(f)
Amélioration du service et analyses Intérêts légitimes Art. 6(1)(f)
Obligations légales (registres fiscaux, etc.) Obligation légale Art. 6(1)(c)
Communications marketing (si vous y consentez) Consentement Art. 6(1)(a)

5. Traitement par IA de vos documents

Vos documents sont traités à l'aide de la technologie AI pour fournir des fonctionnalités telles que la catégorisation automatique, la recherche plein texte, l'extraction de métadonnées, le résumé, la traduction et l'assistant de chat AI.

Vos documents ne sont jamais utilisés pour entraîner des modèles d'AI. Le traitement par AI est effectué uniquement pour vous fournir le service. Notre fournisseur d'AI (Google LLC via Vertex AI) agit en tant que sous-traitant des données en vertu d'un addendum relatif au traitement des données de Google Cloud et il lui est contractuellement interdit d'utiliser vos données pour entraîner ou améliorer ses modèles d'AI.

Résidence des données dans l'UE pour le traitement par AI : L'inférence AI pour l'analyse de documents, la recherche sémantique, la traduction, le résumé et le chat AI est effectuée via Google Cloud Vertex AI, configuré pour utiliser les régions de centres de données de l'UE (europe-west). Le contenu des documents envoyé pour le traitement par AI ne quitte pas l'Espace économique européen.

Le traitement par IA constitue un traitement automatisé de données à caractère personnel. Pour les consommateurs utilisant le service pour vos documents. Pour les consommateurs utilisant Veluvanto pour un usage personnel, Veluvanto s.r.o. agit en tant que responsable du traitement pour vos documents. Pour les clients professionnels qui téléchargent des documents contenant des données à caractère personnel de tiers (par ex. données d'employés, factures clients), Veluvanto s.r.o. agit en tant que sous-traitant pour le compte du Responsable du traitement. Consultez notre Accord de traitement des données (DPA) pour plus de détails sur les modalités de traitement B2B.

Pour plus d'informations sur nos systèmes d'AI, consultez notre Avis de transparence sur l'AI.

6. Stockage et sécurité des données

Nous prenons la sécurité de vos données au sérieux :

  • Tous les documents et données sont stockés sur le stockage objet Backblaze B2 dans des centres de données de l'UE (Amsterdam, Pays-Bas) ; Backblaze détient la certification SOC 2 Type II
  • Les serveurs d'application fonctionnent sur l'infrastructure de Hetzner Online GmbH dans des centres de données de l'UE (Allemagne/Finlande) ; Hetzner détient la certification ISO/IEC 27001:2022 (valide 2025–2028)
  • Les données sont chiffrées en transit (TLS 1.2+) et au repos (AES-256)
  • Nous mettons en œuvre des contrôles d'accès stricts et une journalisation d'audit
  • Évaluations et mises à jour de sécurité régulières
  • L'accès aux données à caractère personnel est limité au personnel autorisé sur la base du besoin d'en connaître

Notification de violation de données à caractère personnel (Art. 33 et 34 du RGPD)

a) Notification à l'autorité de contrôle (Art. 33 du RGPD)
En cas de violation de données à caractère personnel, nous en informerons l'autorité de contrôle compétente sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

b) Notification aux personnes concernées (Art. 34 du RGPD)
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, nous en informerons les personnes concernées sans retard injustifié. La notification sera décrite dans un langage clair et simple et contiendra au moins des informations sur la nature de la violation, ses conséquences probables et les mesures prises ou proposées pour en atténuer les effets. Lorsqu'une notification individuelle nécessiterait des efforts disproportionnés, nous assurerons une communication tout aussi efficace par le biais d'une annonce publique ou d'une mesure similaire.

7. Partage de données et sous-traitants ultérieurs

Nous ne vendons pas vos données à caractère personnel. Nous ne pouvons partager vos informations que dans les cas suivants :

7.1 Sous-traitants ultérieurs

Nous utilisons les prestataires de services tiers suivants qui peuvent traiter vos données à caractère personnel :

  • Google LLC — Fournisseur d'identité (connexion Google OAuth) ; les transferts de données vers les États-Unis sont couverts par des clauses contractuelles types (SCC)
  • Microsoft Corporation — Fournisseur d'identité (connexion Microsoft OAuth) ; traitement des données régi par l'addendum relatif à la protection des données de Microsoft
  • Paddle.com Market Limited — Traitement des paiements et facturation (marchand officiel) ; les transferts de données vers le Royaume-Uni sont couverts par la décision d'adéquation du Royaume-Uni
  • Google LLC (Vertex AI) — Inférence de modèles d'IA (modèles Gemini) pour le traitement de documents, la recherche sémantique, le chat IA, la traduction et la synthèse ; traitement configuré pour rester dans les régions Google Cloud de l'UE (europe-west) ; soumis à l'Addendum relatif au traitement des données de Google Cloud ; les données API ne sont pas utilisées pour l'entraînement des modèles par défaut
  • Backblaze, Inc. (B2 Cloud Storage) — Stockage objet principal pour les documents et les sauvegardes ; données stockées exclusivement dans l'UE (Amsterdam, Pays-Bas) ; certifié SOC 2 Type II ; Politique de confidentialité de Backblaze
  • IDrive, Inc. (e2 Cloud Storage) — Stockage objet pour la reprise après sinistre pour les documents et les sauvegardes ; données stockées exclusivement dans l'UE (Francfort, Allemagne) ; certifié SOC 2 ; pas de durée minimale de stockage
  • Hetzner Online GmbH — Infrastructure cloud et serveurs d'application ; données stockées exclusivement dans l'UE (Allemagne/Finlande) ; certifié ISO/IEC 27001:2022
  • Cloudflare, Inc. — Réseau de diffusion de contenu (CDN) et services de sécurité (protection DDoS, optimisation des performances) ; traite les métadonnées des requêtes HTTP (adresse IP, user-agent, horodatages) ; les transferts de données vers les États-Unis sont couverts par des Clauses Contractuelles Types (CCT)

7.2 Obligations légales

Nous pouvons divulguer vos données si la loi, une ordonnance d'un tribunal ou une autorité gouvernementale l'exige, ou lorsque nous estimons que la divulgation est nécessaire pour protéger nos droits ou la sécurité d'autrui.

7.3 Transferts d'activités

En cas de fusion, d'acquisition ou de vente d'actifs, vos données personnelles peuvent être transférées. Nous vous en informerons avant que vos données personnelles ne soient transférées et ne deviennent soumises à une politique de confidentialité différente.

8. Transferts internationaux de données

Nous stockons et traitons vos données principalement au sein de l'Union européenne. Le tableau ci-dessous décrit la résidence des données pour chaque sous-traitant :

  • Backblaze, Inc. (B2 Cloud Storage — stockage principal) : Tous les documents, données utilisateur et sauvegardes sont stockés sur Backblaze B2 au sein de l'UE (Amsterdam, Pays-Bas). Aucun transfert international.
  • IDrive, Inc. (e2 Cloud Storage — stockage de secours) : Les copies de sauvegarde des documents et des données sont stockées sur IDrive e2 au sein de l'UE (Francfort, Allemagne). IDrive, Inc. est une société américaine ; les transferts de données sont couverts par des Clauses Contractuelles Types (CCT).
  • Hetzner Online GmbH (infrastructure) : Les serveurs d'application et l'infrastructure de calcul sont hébergés exclusivement en Allemagne/Finlande. Aucun transfert international.
  • Google LLC (Vertex AI — traitement par IA) : Le contenu des documents est traité via Google Cloud Vertex AI configuré sur les régions de l'UE (europe-west). Aucun transfert hors de l'EEE n'a lieu pour l'inférence de l'IA.
  • Google LLC (authentification OAuth) : Votre e-mail et votre profil Google sont partagés avec Google lors de la connexion. Le transfert vers les États-Unis est couvert par des Clauses Contractuelles Types (CCT, Décision d'exécution (UE) 2021/914 de la Commission).
  • Paddle.com Market Limited (paiements) : L'adresse de facturation et les données de transaction sont partagées avec Paddle pour le traitement des paiements. Le transfert vers le Royaume-Uni est couvert par la décision d'adéquation du Royaume-Uni.
  • Cloudflare, Inc. (CDN / sécurité) : Les métadonnées des requêtes HTTP (adresse IP, user-agent, horodatages) sont traitées par Cloudflare. Le transfert vers les États-Unis est couvert par des CCT.

Vous pouvez demander une copie des garanties de transfert pertinentes en nous contactant à l'adresse privacy@veluvanto.com.

9. Vos droits en vertu du RGPD

En vertu du RGPD (Chapitre III), vous disposez des droits suivants :

  • Droit d'accès (Art. 15) : Demander une copie des données personnelles que nous détenons à votre sujet
  • Droit de rectification (Art. 16) : Demander la correction de données inexactes ou incomplètes
  • Droit à l'effacement / Droit à l'oubli (Art. 17) : Demander la suppression de vos données
  • Droit à la portabilité des données (Art. 20) : Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (archive JSON ou ZIP contenant vos documents et métadonnées). Contactez-nous pour demander un export.
  • Droit d'opposition au traitement fondé sur l'intérêt légitime (Art. 21(1)) : S'opposer au traitement basé sur nos intérêts légitimes (ex: sécurité, analyses). Nous cesserons le traitement à moins de démontrer des motifs légitimes et impérieux.
  • Droit d'opposition au marketing direct (Art. 21(2)) : Vous avez un droit absolu de vous opposer à tout moment au traitement de vos données personnelles à des fins de marketing direct, sans exception. Nous arrêterons immédiatement en cas d'opposition.
  • Droit à la limitation (Art. 18) : Demander la limitation du traitement dans certaines circonstances
  • Droit de retirer son consentement (Art. 7(3)) : Retirer votre consentement à tout moment sans affecter la licéité du traitement effectué préalablement
  • Droit de ne pas faire l'objet d'une décision automatisée (Art. 22) : Voir la section 10 ci-dessous

Pour exercer l'un de ces droits, contactez-nous à l'adresse privacy@veluvanto.com. Nous vous répondrons dans un délai d'un mois. Nous pourrions avoir besoin de vérifier votre identité avant de répondre à votre demande.

Votre droit d'opposition au traitement fondé sur l'intérêt légitime (Art. 21(4) du RGPD) : Lorsque nous traitons vos données sur la base de nos intérêts légitimes (Art. 6(1)(f) du RGPD — y compris la sécurité, la prévention de la fraude et l'analyse du service), vous avez le droit de vous y opposer à tout moment. En cas d'opposition, nous cesserons ce traitement à moins que nous ne démontrions des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés, ou que le traitement soit nécessaire à la constatation, à l'exercice ou à la défense de droits en justice. Pour exercer ce droit, contactez privacy@veluvanto.com.

Droit d'introduire une réclamation : Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. En République tchèque, il s'agit de :

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Site web : www.uoou.cz
E-mail : posta@uoou.cz

10. Traitement automatisé et profilage

Veluvanto utilise un traitement AI automatisé pour identifier et extraire des métadonnées (dates, entités, catégories, montants). Ce traitement automatisé :

  • Est effectué uniquement pour vous fournir le service
  • Ne produit pas d'effets juridiques ou ne vous affecte pas de manière significative de façon similaire
  • Ne constitue pas un profilage à des fins de marketing ou de prise de décision

Vous pouvez corriger à tout moment toute métadonnée générée par l'AI inexacte dans la vue détaillée du document. Pour plus d'informations sur nos systèmes d'AI et leurs limites, consultez notre Avis de transparence sur l'AI.

11. Conservation des données

Nous conservons vos données personnelles tant que votre compte est actif ou selon les besoins pour fournir les services. Périodes de conservation spécifiques :

  • Données de compte et documents : Conservés jusqu'à la suppression du compte. Lors de la suppression du compte, les données sont définitivement supprimées sous 30 jours.
  • Dossiers de facturation : Conservés pendant 10 ans comme l'exige la loi comptable tchèque (loi n° 563/1991 Coll.).
  • Logs de sécurité et d'accès : Conservés pendant 12 mois.
  • Données d'utilisation (fonctionnalités utilisées, crédits AI consommés, interactions) : Conservées pendant 24 mois, puis agrégées ou supprimées.
  • Métadonnées générées par l'AI (résumés, tags, entités extraites) : Conservées pendant toute la durée de vie du document associé. Supprimées en même temps que le document.
  • Consentement marketing : Jusqu'à ce que vous retiriez votre consentement.
  • Comptes résiliés pour dépassement de stockage : Comptes résiliés en raison d'un dépassement prolongé de stockage (tel que décrit à la Section 19 des Conditions de Service) — toutes les données personnelles et les documents sont définitivement supprimés dans les 30 jours suivant la résiliation, conformément à l'Article 17 du RGPD.

Les documents déplacés vers la corbeille sont conservés pendant 30 jours avant suppression définitive.

12. Cookies

Nous utilisons des cookies et des technologies similaires. Nous n'utilisons que les cookies strictement nécessaires au fonctionnement du service (gestion de session et authentification). Nous n'utilisons pas de cookies de suivi ou de cookies publicitaires tiers. Pour des informations détaillées, consultez notre Politique relative aux cookies.

13. Vie privée des enfants

Notre service ne s'adresse pas aux enfants de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants. Si vous pensez que nous avons collecté par inadvertance des données auprès d'un enfant, veuillez nous contacter et nous les supprimerons rapidement.

14. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Nous vous informerons de tout changement important par e-mail et en publiant la nouvelle politique sur cette page avec une date de « Dernière mise à jour » actualisée, au moins 30 jours avant l'entrée en vigueur des changements. Pour les changements significatifs dans la manière dont nous traitons vos données, nous solliciterons un nouveau consentement si nécessaire.

15. Contactez-nous

Pour toute question concernant cette politique de confidentialité, pour exercer vos droits ou pour toute préoccupation relative à la protection des données :

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail : privacy@veluvanto.com