Mentions Légales et Politique de Confidentialité

INFORMATIONS LÉGALES

1. INTRODUCTION ET NATURE DU SERVICE

1.1 Présentation de theaa - Assistant

theaa - Assistant ("nous", "notre", "l'extension", "theaa") est une plateforme SaaS destinée aux entreprises pour l'amélioration des performances de leurs équipes commerciales ("closeurs").

Le service comprend :

• Une extension Chrome fonctionnant sur Google Meet, Microsoft Teams et Zoom, qui écoute la conversation en temps réel et propose des suggestions contextuelles de ce que dire au cours de l'appel (fonctionnalité principale)
• La transcription automatique en temps réel des deux côtés de la conversation
• Des suggestions IA personnalisées basées sur le script d'appel et le profil de personnalité DISC du prospect
• Un enregistrement audio optionnel des conversations pour consultation ultérieure
• Une plateforme de consultation accessible aux closeurs, managers et dirigeants de l'entreprise cliente

1.2 Respect de votre vie privée

theaa respecte votre vie privée et s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD), aux lois nationales applicables et aux meilleures pratiques en matière de protection des données.

Cette politique de confidentialité explique quelles données nous collectons, comment nous les utilisons, comment nous les protégeons et quels sont vos droits.

2. DONNÉES COLLECTÉES

2.1 Données collectées localement (sur votre appareil)

Adresse e-mail de l'utilisateur (closeur) :

• Stockage : Localement dans votre navigateur Chrome via l'API chrome.storage.local
• Finalité : Authentification et identification de l'utilisateur
• Suppression : Supprimée automatiquement à la désinstallation de l'extension ou sur demande

Token d'authentification (JWT) :

• Stockage : Localement via chrome.storage.local
• Finalité : Maintenir la session active sans ressaisir les identifiants
• Suppression : Supprimé à la déconnexion ou à la désinstallation

Call frameworks (scripts et cadres d'appel) :

• Contenu : Nom de l'entreprise, description du produit, audience cible, principal point de douleur, objectif d'appel, script de vente
• Stockage : chrome.storage.local
• Finalité : Personnaliser les suggestions IA lors des appels
• Suppression : Supprimé sur demande ou à la désinstallation

2.2 Données de session (temporaires, durée de l'appel uniquement)

Les données suivantes sont stockées dans chrome.storage.session et sont automatiquement effacées à la fermeture du navigateur :

• Profil DISC du prospect sélectionné (D/I/S/C)
• Type d'appel (R1 = premier appel, R2 = closing)
• Adresse e-mail du prospect (optionnel, saisie par l'utilisateur)
• Statut du consentement audio
• Identifiant de l'onglet actif (pour communication interne à l'extension)

2.3 Données envoyées au serveur lors d'une session active

Lorsque vous activez l'assistant theaa, les données suivantes sont transmises en temps réel à notre serveur :

A) Flux audio temps réel :

• Contenu : Flux audio de votre microphone (votre voix) et flux audio de l'onglet (voix du prospect)
• Format : Audio streamé en temps réel via WebSocket sécurisé (WSS) encodé en PCM16
• Stockage serveur : Traitement en mémoire uniquement — non stocké de façon permanente sur nos serveurs après la session
• Finalité : Transcription automatique en temps réel

B) Transcription textuelle en temps réel :

• Contenu : Retranscription de la conversation avec identification des locuteurs (Closeur / Prospect)
• Transmission : Envoyée au service de suggestions IA pour générer les recommandations contextuelles
• Stockage serveur : Traitée en mémoire — non stockée de façon permanente après la session

C) Données de contexte pour les suggestions IA :

• Call framework de l'utilisateur (script, description produit, objectif)
• Profil DISC sélectionné pour le prospect
• Type d'appel (R1 / R2)

D) Enregistrement audio (fonctionnalité optionnelle) :

• Activé uniquement si l'utilisateur démarre explicitement l'enregistrement
• Format : Audio compressé
• Stockage : Serveurs sécurisés Railway / Supabase
• Durée de conservation : voir section 4.3

E) Métadonnées de session :

• Adresse e-mail du closeur
• Adresse e-mail du prospect (si renseignée)
• Date, heure et durée de la session
• Plateforme utilisée (Google Meet, Microsoft Teams, Zoom)

2.4 Nature sensible des données

Les enregistrements audio et leurs transcriptions peuvent contenir :

• Des données d'identification : noms, prénoms, coordonnées, adresses
• Des données financières : revenus, situation bancaire, projets d'investissement
• Des catégories particulières de données (article 9 RGPD) : données de santé, opinions politiques, convictions religieuses, orientation sexuelle, etc.

Le traitement de catégories particulières de données est strictement encadré par la loi et nécessite des garanties supplémentaires.

2.5 Données collectées auprès des Entreprises Clientes

Pour les entreprises qui souscrivent à theaa (nos clients directs), nous collectons également :

• Données de l'entreprise : Raison sociale, adresse, numéro SIRET/SIREN, TVA intracommunautaire
• Données des contacts : Nom, prénom, e-mail, téléphone des représentants légaux et administrateurs
• Données de facturation : Coordonnées bancaires, historique de facturation
• Données d'utilisation : Logs de connexion, statistiques d'utilisation de la plateforme, adresses IP

3. UTILISATION DES DONNÉES

3.1 Finalités du traitement

Les données collectées sont utilisées uniquement pour les finalités suivantes :

A) Fonctionnalité principale — assistance IA en temps réel :

• Transcription en temps réel des deux côtés de la conversation
• Génération de suggestions IA contextuelles ("What to say") adaptées au script d'appel et au profil DISC du prospect
• Affichage des suggestions directement sur la page d'appel sans interruption

B) Fonctionnalité secondaire — enregistrement et analyse :

• Amélioration de la performance commerciale : Analyse des conversations pour identifier les axes d'amélioration
• Formation et coaching : Permettre aux managers d'écouter et d'analyser les conversations pour former les équipes
• Évaluation : Évaluer la qualité des interactions commerciales

C) Finalités techniques :

• Transcription audio : Le flux audio est traité par notre API de transcription (OpenAI Whisper) pour générer le texte en temps réel
• Suggestions IA : Le texte et le contexte de l'appel sont traités par notre API de suggestions (OpenAI GPT) pour générer les recommandations
• Amélioration du service : Les données peuvent être utilisées de manière anonymisée pour améliorer la qualité de nos algorithmes

D) Finalités administratives :

• Gestion des comptes utilisateurs
• Support technique et assistance
• Facturation et comptabilité
• Respect de nos obligations légales

3.2 Base légale du traitement

Les traitements de données sont fondés sur les bases légales suivantes :

Pour les closeurs et Entreprises Clientes :

• Exécution du contrat : Le traitement est nécessaire à l'exécution du contrat de service conclu avec l'Entreprise Cliente

Pour les prospects enregistrés/écoutés :

• Consentement explicite : Le consentement libre, spécifique, éclairé et univoque du prospect est LA base légale principale pour l'activation de l'assistant
• Intérêt légitime : Dans certains cas strictement limités (par exemple : contrôle qualité, preuve d'un engagement commercial), l'intérêt légitime peut être invoqué, à condition qu'une analyse de proportionnalité ait été effectuée et que les droits du prospect ne prévalent pas

3.3 Limitation des finalités

Nous ne traitons jamais vos données pour :

• De la prospection commerciale non sollicitée
• La vente à des tiers à des fins marketing
• Du profilage automatisé sans intervention humaine ayant des effets juridiques
• Toute autre finalité non mentionnée dans cette politique

4. STOCKAGE DES DONNÉES

4.1 Données locales (appareil utilisateur)

Token JWT et e-mail :

• Localisation : Stockés localement via chrome.storage.local — sur l'appareil uniquement
• Suppression : Supprimés à la déconnexion ou désinstallation

Call frameworks :

• Localisation : chrome.storage.local — sur l'appareil, synchronisé avec le compte theaa
• Suppression : Supprimés sur demande ou à la désinstallation

Données de session (DISC, type d'appel, consentement) :

• Localisation : chrome.storage.session — effacées automatiquement à la fermeture du navigateur

4.2 Données serveur

Enregistrements audio, transcriptions et métadonnées :

• Infrastructure principale : Railway (https://railway.app)
• Base de données : Supabase (https://supabase.com)
• Chiffrement en transit : TLS 1.2+ pour toutes les communications HTTP et WSS
• Chiffrement au repos : AES-256

4.3 Durée de conservation

A) Flux audio et transcriptions temps réel :

• Durée : 0 — traitement en mémoire uniquement, non stockés de façon permanente
• Suppression : Automatique à la fin de la session

B) Enregistrements audio (fonctionnalité optionnelle) :

Durée standard : Jusqu'à 5 ans à compter de la date d'enregistrement

Cette durée de 5 ans doit être justifiée par les finalités du traitement. Nous recommandons aux Entreprises Clientes d'évaluer si cette durée est proportionnée et nécessaire.

Suppression anticipée dans les cas suivants :

• Demande de suppression par l'Entreprise Cliente : suppression dans un délai de 30 jours
• Demande de suppression par le prospect concerné (transmise via l'Entreprise Cliente) : suppression dans un délai de 30 jours
• Fin du contrat avec l'Entreprise Cliente : suppression dans un délai de 90 jours (sauf demande de conservation justifiée)
• Obligation légale de suppression

C) Données des Entreprises Clientes et closeurs :

• Pendant la durée du contrat + 5 ans après la fin du contrat (obligations comptables et fiscales)
• Suppression possible sur demande après expiration des obligations légales

D) Logs et données techniques :

• Conservés pendant 12 mois maximum pour des raisons de sécurité et de détection de fraude

4.4 Archivage et purge automatique

Nous mettons en œuvre des procédures automatiques de purge pour garantir que les données ne sont pas conservées au-delà des durées nécessaires.

5. PARTAGE DES DONNÉES ET DESTINATAIRES

5.1 Principe de limitation

Nous ne vendons, ne louons ni ne partageons vos données personnelles avec des tiers à des fins commerciales.

5.2 Destinataires autorisés

Les enregistrements, transcriptions et données associées peuvent être accessibles aux personnes et entités suivantes :

A) Au sein de l'Entreprise Cliente :

1. Le closeur auteur de la session
2. Les managers et responsables commerciaux de l'Entreprise Cliente
3. Le CEO et administrateurs de l'Entreprise Cliente
4. Toute personne expressément autorisée par l'Entreprise Cliente dans les paramètres de la plateforme

B) Au sein de theaa :

1. Personnel technique : Pour l'administration, la maintenance et le support technique (accès strictement limité et tracé)
2. Personnel de sécurité : Pour la détection et la prévention de fraudes ou d'incidents de sécurité

C) Prestataires techniques (sous-traitants) :

Nous faisons appel aux prestataires tiers suivants :

• Hébergement backend et WebSocket : Railway (https://railway.app) — flux audio, transcriptions, suggestions
• Base de données : Supabase (https://supabase.com) — enregistrements, métadonnées, call frameworks
• Transcription automatique : OpenAI Whisper API — flux audio en temps réel
• Suggestions IA : OpenAI GPT API / Claude AI — transcriptions et contexte d'appel
• Services de paiement : Pour la facturation (Stripe, PayPal, etc.)

Tous nos sous-traitants sont soumis à des obligations contractuelles strictes de confidentialité et de sécurité conformes à l'article 28 du RGPD.

D) Autorités légales et judiciaires :

Nous pouvons être amenés à communiquer vos données en cas de :

• Réquisition judiciaire ou administrative
• Obligation légale de divulgation
• Protection de nos droits, de notre sécurité ou de celle de tiers
• Prévention ou détection de fraudes ou d'infractions

6. SÉCURITÉ DES DONNÉES

6.1 Engagement de sécurité

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données contre :

• L'accès non autorisé
• La modification, divulgation ou destruction non autorisée
• La perte accidentelle
• Les cyberattaques et violations de données

6.2 Mesures techniques de sécurité

A) Chiffrement :

• En transit : Protocole TLS/SSL pour toutes les communications HTTP ; WSS (WebSocket Secure) pour les flux audio temps réel entre l'extension et nos serveurs
• Au repos : Chiffrement AES-256 (ou équivalent) des données stockées sur nos serveurs

B) Contrôle d'accès :

• Authentification JWT et gestion des sessions sécurisées
• Gestion des rôles et permissions (principe du moindre privilège)
• Journalisation et audit des accès aux données sensibles

C) Infrastructure sécurisée :

• Extension Chrome développée avec Manifest V3 et Content Security Policy stricte
• Serveurs hébergés dans des datacenters certifiés (Railway, Supabase)
• Pare-feu et systèmes de détection d'intrusion
• Mises à jour de sécurité régulières

D) Protection contre les menaces :

• Anti-virus et anti-malware
• Surveillance continue des activités suspectes
• Tests de pénétration réguliers

6.3 Mesures organisationnelles

A) Formation du personnel :

• Sensibilisation régulière de tous les employés aux enjeux de sécurité et de confidentialité
• Formation spécifique pour le personnel ayant accès aux données sensibles

B) Politique de confidentialité interne :

• Obligation de confidentialité contractuelle pour tous les employés
• Accès aux données strictement limité aux personnes habilitées
• Procédures de gestion des incidents

C) Sauvegarde :

• Sauvegardes automatiques régulières (quotidiennes ou hebdomadaires)
• Stockage sécurisé des sauvegardes dans des localisations distinctes
• Tests réguliers de restauration

7. VOS DROITS

7.1 Droits applicables à tous les utilisateurs

Conformément au RGPD et aux lois applicables, vous disposez des droits suivants :

A) Droit d'accès (article 15 RGPD) :

• Obtenir une copie de vos données personnelles
• Recevoir des informations sur la manière dont vos données sont traitées

B) Droit de rectification (article 16 RGPD) :

• Corriger vos données inexactes ou incomplètes

C) Droit à l'effacement / "Droit à l'oubli" (article 17 RGPD) :

• Demander la suppression de vos données dans les cas suivants :
  • Les données ne sont plus nécessaires
  • Vous retirez votre consentement
  • Vous vous opposez au traitement
  • Les données ont été traitées de manière illicite
  • Obligation légale de suppression

D) Droit à la limitation du traitement (article 18 RGPD) :

• Demander la suspension temporaire du traitement de vos données

E) Droit d'opposition (article 21 RGPD) :

• Vous opposer à tout moment au traitement de vos données pour des raisons tenant à votre situation particulière
• Opposition absolue au traitement à des fins de prospection commerciale

F) Droit à la portabilité (article 20 RGPD) :

• Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
• Transmettre ces données à un autre responsable de traitement

G) Droit de retirer votre consentement (article 7 RGPD) :

• Retirer votre consentement à tout moment, sans affecter la licéité du traitement fondé sur le consentement effectué avant le retrait

H) Droit de définir des directives post-mortem (article 85 Loi Informatique et Libertés) :

• Définir des directives relatives au sort de vos données après votre décès

I) Droit de ne pas faire l'objet d'une décision automatisée (article 22 RGPD) :

• Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques

7.2 Exercice des droits pour les closeurs et Entreprises Clientes

Pour exercer vos droits, vous pouvez :

Délai de réponse : Nous nous engageons à répondre dans un délai de 1 mois à compter de la réception de votre demande (prolongeable de 2 mois en cas de complexité, avec notification)

Pièces à fournir : Pour des raisons de sécurité, nous pourrons vous demander de justifier de votre identité (copie d'une pièce d'identité)

7.3 Droits des prospects enregistrés

Les prospects dont les conversations ont été écoutées ou enregistrées doivent exercer leurs droits PRIORITAIREMENT auprès de l'Entreprise Cliente qui a procédé à la session, car celle-ci agit en qualité de Responsable de Traitement principal.

Toutefois, si un prospect enregistré contacte directement theaa :

1. Nous transmettrons sa demande à l'Entreprise Cliente concernée dans les 48 heures
2. Nous coopérerons pleinement avec l'Entreprise Cliente pour donner suite à la demande dans le délai légal
3. Si l'Entreprise Cliente ne donne pas suite, nous traiterons directement la demande dans la limite de nos capacités techniques

7.4 Droit de réclamation auprès d'une autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de protection des données compétente :

8. COOKIES ET TECHNOLOGIES SIMILAIRES

8.1 Extension Chrome - Absence de cookies

L'extension Chrome theaa - Assistant n'utilise PAS de cookies.

Les données sont stockées uniquement via les APIs chrome.storage.local et chrome.storage.session de Chrome, qui sont des technologies de stockage local distinctes des cookies HTTP.

8.2 Site web theaa - Cookies utilisés

Notre site web (www.theaa.ai ou domaine équivalent) utilise les types de cookies suivants :

A) Cookies strictement nécessaires (pas de consentement requis) :

• Cookies de session et d'authentification : Pour maintenir votre session connectée
• Cookies de sécurité : Pour protéger contre les attaques CSRF et autres menaces
• Durée : Session (supprimés à la fermeture du navigateur)

B) Cookies analytiques (consentement requis) :

• Finalité : Analyse d'audience, mesure de performance, amélioration de l'expérience utilisateur
• Données collectées : Pages visitées, durée, provenance, type d'appareil (anonymisées)
• Durée : 12 mois

C) Cookies fonctionnels (consentement requis) :

• Préférences utilisateur : Langue, paramètres d'affichage
• Durée : 12 mois

8.3 Gestion des cookies

Vous pouvez gérer vos préférences de cookies de plusieurs manières :

1. Via notre bandeau cookie : Lors de votre première visite, vous pouvez accepter ou refuser les cookies non essentiels
2. Via notre page de gestion des cookies
3. Via les paramètres de votre navigateur

9. RÉPARTITION DES RESPONSABILITÉS JURIDIQUES

9.1 Cadre juridique - Responsables de Traitement et Sous-traitants

Au sens du RGPD, les rôles sont répartis comme suit :

A) theaa (SCALE OF TREES LIMITED COMPANY) :

• Agit en qualité de Responsable de Traitement pour les données des Entreprises Clientes et de leurs utilisateurs (closeurs)
• Agit en qualité de Sous-traitant et/ou Responsable de Traitement Conjoint pour les données des prospects lors des sessions assistées

B) L'Entreprise Cliente :

• Agit en qualité de Responsable de Traitement principal pour les données des prospects lors de ses activités commerciales

C) Le Closeur (utilisateur final) :

• Agit en tant que personne habilitée par l'Entreprise Cliente à effectuer les sessions

9.2 Responsabilités de l'Entreprise Cliente (IMPÉRATIF)

L'Entreprise Cliente qui souscrit à theaa et utilise le service pour assister des conversations avec des prospects s'engage formellement à :

A) OBTENTION DU CONSENTEMENT

10. CONFORMITÉ RÉGLEMENTAIRE PAR JURIDICTION

10.1 Union Européenne - RGPD

Pour les utilisateurs et prospects situés dans l'Union Européenne, theaa et ses Entreprises Clientes respectent strictement le Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679).

Obligations spécifiques RGPD :

• ✓ Base légale valide pour tout traitement
• ✓ Registre des activités de traitement
• ✓ Analyse d'Impact relative à la Protection des Données (DPIA/PIA)
• ✓ Privacy by Design et by Default
• ✓ Notification de violation de données dans les 72 heures
• ✓ Désignation d'un DPO si applicable

11. PROPRIÉTÉ INTELLECTUELLE

11.1 Propriété de theaa

Tous les éléments du service theaa - Assistant sont la propriété exclusive de SCALE OF TREES LIMITED COMPANY et sont protégés par les lois sur la propriété intellectuelle.

11.2 Propriété des enregistrements et des données

Les enregistrements audio, transcriptions et métadonnées générés via theaa restent la propriété de l'Entreprise Cliente.

12. CONTACT ET RÉCLAMATIONS

12.1 Contact général

12.2 Délégué à la Protection des Données (DPO)

13. MODIFICATIONS DE CETTE POLITIQUE

13.1 Droit de modification

theaa se réserve le droit de modifier la présente politique de confidentialité et les mentions légales à tout moment.

13.2 Notification des modifications

En cas de modification substantielle, notification par e-mail à toutes les Entreprises Clientes et utilisateurs enregistrés, au moins 30 jours avant l'entrée en vigueur.

14. LOI APPLICABLE ET JURIDICTION

14.1 Loi applicable

Les présentes mentions légales et politique de confidentialité sont régies par :

Pour les Entreprises Clientes et utilisateurs situés dans l'Union Européenne :

• Droit français et Règlement Général sur la Protection des Données (RGPD)
• Lois nationales de transposition du RGPD dans le pays concerné

Pour les Entreprises Clientes et utilisateurs situés aux États-Unis :

• Droit de l'État de New York
• Lois fédérales américaines applicables

15. DISPOSITIONS FINALES

15.1 Divisibilité (Severability)

Si une ou plusieurs dispositions des présentes mentions légales et politique de confidentialité sont déclarées nulles, illégales ou inapplicables par une décision de justice, les autres dispositions restent pleinement en vigueur.

15.2 Intégralité de l'accord

Les présentes mentions légales et politique de confidentialité, associées aux CGV et CGU, constituent l'intégralité de l'accord entre theaa et l'Entreprise Cliente concernant l'utilisation du service et le traitement des données personnelles.

16. ACCEPTATION DES CONDITIONS

16.1 Pour les Entreprises Clientes

En souscrivant au service theaa - Assistant, l'Entreprise Cliente reconnaît et accepte expressément :

• ✓ Avoir lu et compris l'intégralité de la présente politique
• ✓ Accepter sans réserve toutes les conditions et responsabilités
• ✓ S'engager à respecter toutes les obligations légales
• ✓ Comprendre les sanctions encourues en cas de non-respect
• ✓ Garantir theaa contre toute réclamation ou sanction

16.2 Pour les closeurs (utilisateurs finaux)

En installant et utilisant l'extension Chrome theaa - Assistant, le closeur reconnaît et accepte expressément :

• ✓ Avoir lu et compris la présente politique
• ✓ S'engager à demander systématiquement le consentement avant toute activation de l'assistant
• ✓ Ne pas activer l'extension en cas de refus du prospect
• ✓ Comprendre qu'il engage sa responsabilité personnelle en cas de manquement