Politique de confidentialité
Dernière mise à jour : 17/05/2026
1. Responsable du traitement
La qualification juridique varie selon le périmètre :
- Périmètre Application EC2R en propre (site vitrine, comptes utilisateurs, finalité méthode EC2R ©) : EC2R Conseil est responsable de traitement indépendant.
- Périmètre client entreprise (déploiement de la méthode dans une organisation pour ses salariés) : l'entreprise cliente est responsable de traitement, EC2R Conseil agit en tant que sous-traitant au sens de l'article 28 du RGPD, encadré par un Data Processing Agreement (DPA) spécifique.
Les données de profil individuel (compétences comportementales) sont initialement collectées par TMA International, responsable de traitement distinct pour la passation du questionnaire. EC2R traite ces données dans le cadre de la méthode EC2R © selon le périmètre applicable ci-dessus.
2. Finalité et base légale
| Traitement | Finalité | Base légale |
|---|---|---|
| Baromètre collectif | Mesure de la mobilisation collective | Intérêt légitime de l'entreprise |
| Profil individuel | Accompagnement au développement du leadership | Consentement de l'utilisateur |
| Méntōr IA | Accompagnement personnalisé à la mobilisation | Consentement de l'utilisateur |
| Compte utilisateur | Accès à l'Application | Exécution du contrat |
3. Données collectées
- Compte : email, nom d'affichage, rôle, code EC2R
- Baromètre : réponses anonymisées (code répondant, pas de nom), horodatage
- Profil TMA : scores de compétences comportementales (avec consentement)
- Méntōr : conversations chiffrées, résumés de sessions (avec consentement)
4. Durée de conservation
Principe fondamental : la donnée naît pour le dispositif, elle sert le dispositif, et elle meurt avec le dispositif.
| Donnée | Durée |
|---|---|
| Réponses baromètre | 6 mois après la clôture du dispositif, puis suppression automatique |
| Conversations Méntōr | Durée du plan de mentorat, puis suppression automatique |
| Profil TMA | Tant que le compte utilisateur est actif |
| Compte utilisateur | Tant que l'entreprise cliente est active |
5. Mesures de sécurité
- Chiffrement des conversations de Méntōr (au repos)
- Anonymisation des réponses au baromètre (code répondant, pas de nom)
- Seuil d'anonymat : pas de résultats collectifs en dessous de 5 répondants
- Aucun classement, ranking ou comparaison inter-individus
- Contrôle d'accès par rôle (4 niveaux)
- Protection contre les captures d'écran et le téléchargement
- Watermark invisible pour la traçabilité
- Purge automatique des données à expiration
5.1 Minimisation des données transitant vers les sous-traitants IA (en cours d'implémentation)
Afin de réduire ce qui transite vers les fournisseurs de modèles de langage (en particulier hors UE), EC2R travaille à la mise en œuvre progressive des mesures suivantes :
- Pseudonymisation en amont : substitution systématique des noms de personnes, équipes, organisations et lieux par des jetons opaques avant envoi au modèle. Remapping effectué côté EC2R.
- Absence d'identifiant utilisateur stable côté provider : aucune clé ne permet au sous-traitant de relier deux appels successifs à la même personne.
- Zero Data Retention contractuel côté sous-traitant principal : pas de conservation au-delà du temps de traitement, pas d'entraînement sur les données client.
- Minimisation du contexte : envoi de résumés condensés plutôt que d'un historique brut.
- Mémoire conversationnelle locale : les embeddings et l'historique utilisateur sont générés et conservés sur l'infrastructure EC2R en France ; ils ne transitent pas vers le modèle de génération.
Risque résiduel assumé. La génération finale passe par le modèle de langage principal, donc le contenu d'un tour de conversation transite aux États-Unis sous couverture DPA + CCT + Zero Data Retention. Le risque résiduel est juridique (FISA 702, Cloud Act), non technique. La pseudonymisation réduit fortement mais n'élimine pas la possibilité de ré-identification par inférence dans des cas très spécifiques (équipe de petite taille, situation unique). Ces limites sont prises en compte dans l'analyse d'impact relative à la protection des données (AIPD) en cours auprès de la CNIL.
6. Pas de décision automatisée
Conformément à l'article 22 du RGPD, aucune décision ayant un effet juridique ou significatif n'est prise sur la base exclusive d'un traitement automatisé. Méntōr IA propose des pistes de réflexion ; l'utilisateur décide et valide avec ses référents humains.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données personnelles
- Rectification : corriger des données inexactes
- Suppression : demander la suppression de vos données
- Opposition : vous opposer au traitement
- Portabilité : recevoir vos données dans un format structuré
- Retrait du consentement : à tout moment pour le profil TMA et l'historique Méntōr
Pour exercer ces droits : contact@ec2r-conseil.fr
8. Sous-traitants
Conformément à l'article 28 du RGPD, nous avons conclu des accords de traitement des données (DPA) avec chacun de nos sous-traitants. Pour les transferts hors de l'Union européenne, nous appliquons les clauses contractuelles types (CCT) approuvées par la Commission européenne ou le mécanisme EU-US Data Privacy Framework (DPF) selon les cas.
| Sous-traitant | Service | Localisation | Mécanisme de transfert |
|---|---|---|---|
| TMA International | Questionnaire de profil individuel | Pays-Bas (UE) | Territoire UE |
| OVH SAS — Roubaix, France | Hébergement de l'Application | France (UE) | Territoire UE |
| Anthropic | Modèle de langage pour Méntōr IA (principal) | États-Unis | DPA avec CCT (DPA Anthropic) |
| Resend | Envoi d'emails transactionnels | États-Unis | DPA avec CCT (DPA Resend) |
| LiveKit | Communications audio/vidéo temps-réel | États-Unis | DPA avec CCT |
| ElevenLabs | Synthèse vocale (Méntōr vocal) | États-Unis (entité UE : Pologne) | EU-US Data Privacy Framework + CCT |
| Groq | Transcription vocale (Whisper) — en attendant un hébergement GPU local | États-Unis | DPA + CCT |
| HeyGen | Avatar vidéo du Méntōr | États-Unis | DPA + CCT |
| Voyage AI | Analyse sémantique et embeddings | États-Unis | CCT |
| Mistral AI | Modèle de langage alternatif et synthèse vocale (Voxtral) | Traitement en France (UE) — entité juridique dont le capital n'est pas intégralement européen | Territoire UE |
9. Référent protection des données
EC2R a désigné un référent interne pour la protection des données personnelles, chargé de veiller au respect du RGPD et de répondre à vos demandes relatives à vos droits :
Luc Letoffe, co-fondateur — contact@ec2r-conseil.fr
Ce référent est votre interlocuteur privilégié pour toute question relative à la protection de vos données. Il est également en charge de la coordination avec la CNIL en cas d'incident.
10. Contact et réclamations
Pour toute question : contact@ec2r-conseil.fr
En cas de réclamation non résolue, vous pouvez saisir la
CNIL.