Politique de confidentialité
Dernière mise à jour / Last updated: 18 avril 2026
1. Identité du responsable de traitement
Le responsable du traitement des données personnelles collectées via la plateforme Debryf est la société W3 Art SAS, immatriculée au Registre du Commerce et des Sociétés sous le numéro SIREN : [à compléter], dont le siège social est situé à [adresse complète], France.
Contact délégué à la protection des données : benjamin@w3art.io
2. Données collectées
Dans le cadre de la fourniture du service Debryf, nous collectons les catégories de données suivantes :
- Données de compte : nom, adresse email, mot de passe haché, nom de l'entreprise, secteur d'activité, date d'inscription.
- Enregistrements de meetings : fichiers audio et/ou vidéo que vous uploadez ou que le bot Debryf capture lors d'une session Google Meet.
- Transcriptions et comptes-rendus : texte issu de la transcription automatique, résumés, points clés, décisions, actions identifiées par l'IA.
- Médias contextuels : captures d'écran automatiques des moments importants d'un meeting (partage d'écran, documents présentés).
- Métadonnées : date, durée, type de meeting, identifiants d'intervenants (pseudonymisés), langue détectée.
- Données d'usage : événements anonymisés de navigation et d'utilisation de la plateforme, collectés via PostHog (analytics) uniquement avec votre consentement.
- Données techniques : adresse IP (tronquée), user agent, logs d'accès nécessaires à la sécurité du service.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service (transcription, comptes-rendus, checklist) | Exécution du contrat (Art. 6.1.b RGPD) |
| Gestion de votre compte et authentification | Exécution du contrat (Art. 6.1.b RGPD) |
| Amélioration du produit et analyse de l'usage | Intérêt légitime (Art. 6.1.f RGPD) + consentement pour analytics |
| Sécurité et prévention des fraudes | Intérêt légitime (Art. 6.1.f RGPD) |
| Obligations légales et comptables | Obligation légale (Art. 6.1.c RGPD) |
| Analytics comportementaux (PostHog) | Consentement (Art. 6.1.a RGPD) |
4. Destinataires et sous-traitants
Vos données peuvent être transmises aux sous-traitants suivants, dans le strict cadre de la fourniture du service. Chacun est lié par un accord de traitement conforme au RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Anthropic (Claude API) | Génération de comptes-rendus, extraction IA | États-Unis (DPF) |
| OpenAI (Whisper API) | Transcription audio | États-Unis (DPF) |
| Deepgram | Diarisation (identification des intervenants) | États-Unis (DPF) |
| Cloudflare R2 (EU) | Stockage des fichiers media et comptes-rendus | Union Européenne |
| Railway (EU region) | Hébergement de l'application et de la base de données | Union Européenne |
| PostHog (EU endpoint) | Analytics d'usage (avec consentement) | Union Européenne |
Les transferts vers des pays tiers (Anthropic, OpenAI, Deepgram) sont encadrés par le Data Privacy Framework UE-États-Unis ou par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
5. Hébergement et localisation des données
L'application Debryf est hébergée sur Railway (région EU). La base de données PostgreSQL et les workers de traitement résident dans l'Union Européenne.
Les fichiers media (audio, vidéo, captures d'écran) sont stockés sur Cloudflare R2 (bucket EU), dont les données restent sur le territoire de l'Union Européenne.
6. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte actif | Pendant toute la durée du contrat + 3 ans après résiliation |
| Fichiers media (audio/vidéo bruts) | 90 jours après traitement, sauf suppression anticipée par l'utilisateur |
| Transcriptions et comptes-rendus | Durée du contrat (illimité par société par défaut, configurable) |
| Captures d'écran | Durée du contrat |
| Données de facturation | 10 ans (obligation légale comptable) |
| Logs de sécurité | 12 mois |
| Données analytics (PostHog) | 2 ans |
La politique de rétention des données par société est configurable depuis le panneau d'administration Debryf (paramètre RM-10). La durée par défaut pour les comptes-rendus est de 90 jours en l'absence de configuration explicite.
7. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie des données que nous détenons sur vous.
- Droit de rectification : faire corriger des données inexactes.
- Droit à l'effacement (droit à l'oubli) : demander la suppression de vos données, sous réserve de nos obligations légales.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit à la limitation du traitement : demander la suspension du traitement dans certains cas.
Pour exercer ces droits, envoyez votre demande à benjamin@w3art.io en précisant votre identité. Nous nous engageons à répondre dans un délai de 30 jours.
8. Cookies
Debryf utilise un nombre minimal de cookies :
- next-auth.session-token (ou
__Secure-next-auth.session-tokenen production) : cookie de session d'authentification. Strictement nécessaire au fonctionnement du service — aucun consentement requis. Durée : 30 jours. - ph_session_id (PostHog) : identifiant de session anonyme pour l'analytics. Soumis à consentement via notre bannière cookies. Durée : 1 an.
Consultez notre Politique des cookies pour la liste exhaustive.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (TLS 1.3), chiffrement au repos pour les fichiers media, hachage des mots de passe (bcrypt), contrôle d'accès basé sur les rôles, journalisation des accès.
10. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas vos droits, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
11. Modifications
Nous nous réservons le droit de modifier cette politique à tout moment. En cas de modification substantielle, vous serez informé par email ou via une notification dans l'application au moins 30 jours avant l'entrée en vigueur des changements.