Passer au contenu

Politique de confidentialité

Dernière mise à jour : 10/07/2026

1. Responsable du traitement

La qualification juridique varie selon le périmètre :

Les données de profil individuel (compétences comportementales) sont initialement collectées par TMA International, responsable de traitement distinct pour la passation du questionnaire. EC2R traite ces données dans le cadre de la méthode EC2R © selon le périmètre applicable ci-dessus.

2. Finalité et base légale

TraitementFinalitéBase légale
Baromètre collectif Mesure de la mobilisation collective Intérêt légitime de l'entreprise
Profil individuel Accompagnement au développement du leadership Consentement de l'utilisateur
Méntōr IA Accompagnement personnalisé à la mobilisation Consentement de l'utilisateur
Compte utilisateur Accès à l'Application Exécution du contrat

3. Données collectées

Analyse émotionnelle (fonctionnalité développée mais non activée en production). Le code de l'Application intègre une analyse des émotions vocales (analyse prosodique) et des expressions faciales (webcam, analyse locale via le navigateur). Ces traitements sont désactivés en production : aucun score émotionnel n'est collecté aujourd'hui. Si cette fonctionnalité était activée à l'avenir, elle serait conditionnée à un consentement explicite distinct (données biométriques au sens de l'article 9 du RGPD). L'analyse vocale repose sur le modèle open-source emotion2vec+ auto-hébergé sur notre infrastructure en France (aucun transfert vers un tiers). L'analyse faciale s'exécute intégralement dans le navigateur (aucune image transmise au serveur).

4. Durée de conservation

Principe fondamental : la donnée naît pour le dispositif, elle sert le dispositif, et elle meurt avec le dispositif.

DonnéeDurée
Réponses baromètre 6 mois après la clôture du dispositif, puis suppression automatique
Conversations Méntōr Durée du plan de mentorat, puis suppression automatique
Mémoires inter-sessions Méntōr Durée du plan de mentorat, puis suppression automatique
Dictées vocales (formateurs) 90 jours après création, puis suppression automatique
Profil TMA Tant que le compte utilisateur est actif
Compte utilisateur Tant que l'entreprise cliente est active

5. Mesures de sécurité

5.1 Minimisation des données transitant vers les sous-traitants IA (en cours d'implémentation)

Afin de réduire ce qui transite vers les fournisseurs de modèles de langage (en particulier hors UE), EC2R travaille à la mise en œuvre progressive des mesures suivantes :

Risque résiduel assumé. La génération finale passe par le modèle de langage principal, donc le contenu d'un tour de conversation transite aux États-Unis sous couverture DPA + CCT + Zero Data Retention. Le risque résiduel est juridique (FISA 702, Cloud Act), non technique. La pseudonymisation réduit fortement mais n'élimine pas la possibilité de ré-identification par inférence dans des cas très spécifiques (équipe de petite taille, situation unique). Ces limites sont documentées dans l'Analyse d'Impact relative à la Protection des Données (AIPD) réalisée par EC2R Conseil conformément à l'article 35 du RGPD.

5.2 Cookies et traceurs

L'Application EC2R n'utilise que des cookies strictement nécessaires au fonctionnement du service : cookie de session Rails (authentification) et jeton anti-CSRF (sécurité). Ces cookies sont exemptés de consentement au titre de la directive ePrivacy (art. L.34-5 du CPCE, lignes directrices CNIL). Aucun cookie d'analyse d'audience, de publicité ou de traçage tiers n'est déposé.

6. Pas de décision automatisée

Conformément à l'article 22 du RGPD, aucune décision ayant un effet juridique ou significatif n'est prise sur la base exclusive d'un traitement automatisé. Méntōr IA propose des pistes de réflexion ; l'utilisateur décide et valide avec ses référents humains.

Conformément au règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act), EC2R Conseil vous informe que Méntōr IA est un système d'intelligence artificielle. Méntōr IA est un assistant conversationnel à usage général ; il accompagne, suggère et reformule, sans jamais se substituer au jugement humain de vos référents.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Pour exercer ces droits : contact@ec2r-conseil.fr

8. Sous-traitants

Conformément à l'article 28 du RGPD, nous avons conclu des accords de traitement des données (DPA) avec chacun de nos sous-traitants. Pour les transferts hors de l'Union européenne, nous appliquons les clauses contractuelles types (CCT) approuvées par la Commission européenne ou le mécanisme EU-US Data Privacy Framework (DPF) selon les cas.

Sous-traitantServiceLocalisationMécanisme de transfert
TMA International Questionnaire de profil individuel Pays-Bas (UE) Territoire UE
OVH SAS — Roubaix, France Hébergement de l'Application France (UE) Territoire UE
Anthropic Modèle de langage pour Méntōr IA (principal) États-Unis DPA avec CCT (DPA Anthropic)
Resend Envoi d'emails transactionnels États-Unis DPA avec CCT (DPA Resend)
LiveKit Communications audio/vidéo temps-réel États-Unis DPA avec CCT
ElevenLabs Synthèse vocale (Méntōr vocal) États-Unis (entité UE : Pologne) EU-US Data Privacy Framework + CCT
Groq Transcription vocale (Whisper large-v3) — service principal, audio non conservé au-delà du traitement États-Unis DPA + CCT
OpenAI Transcription vocale (Whisper) — fallback si Groq indisponible États-Unis DPA + CCT
HeyGen Avatar vidéo du Méntōr États-Unis DPA + CCT
Voyage AI Embeddings sémantiques pour la mémoire conversationnelle États-Unis DPA + CCT (auto-applicable via les conditions du fournisseur)
Mistral AI Modèle de langage alternatif et synthèse vocale (Voxtral) Traitement en France (UE) — entité juridique dont le capital n'est pas intégralement européen Territoire UE
Stripe Payments Europe Ltd Traitement des paiements (nom, email, montant) pour les commandes Méntōr Irlande (UE) — traitement transactionnel technique via Stripe Inc. (États-Unis) DPA + CCT + EU-US Data Privacy Framework

Note sur l'analyse émotionnelle vocale. Lorsque cette fonctionnalité sera activée (elle est aujourd'hui désactivée en production, cf. §3), l'analyse prosodique reposera sur le modèle open-source emotion2vec+ auto-hébergé sur l'infrastructure EC2R en France. Aucun transfert vers un tiers, aucune facturation à la requête.

9. Référent protection des données

EC2R a désigné un référent interne pour la protection des données personnelles, chargé de veiller au respect du RGPD et de répondre à vos demandes relatives à vos droits :

Luc Letoffe, co-fondateur — contact@ec2r-conseil.fr

Ce référent est votre interlocuteur privilégié pour toute question relative à la protection de vos données. Il est également en charge de la coordination avec la CNIL en cas d'incident.

10. Contact et réclamations

Pour toute question : contact@ec2r-conseil.fr
En cas de réclamation non résolue, vous pouvez saisir la CNIL.