Politique de confidentialité.
Conforme RGPD · Loi Informatique et Libertés
Chez Amalya IA, la protection de vos données personnelles est une priorité absolue. Ce document décrit précisément comment nous collectons, utilisons et protégeons vos données.
Dernière mise à jour : 31 mai 2026 · Version 1.0
Sommaire
- Responsable 2. Données collectées 3. Finalités & bases légales 4. Destinataires 5. Conservation 6. Vos droits 7. Transferts hors UE 8. Cookies 9. Sécurité 10. Modifications 11. Contact
La Politique de confidentialité Amalya IA : une protection indispensable et sécurisée
Article 1
Responsable du traitement
Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée), le responsable du traitement de vos données personnelles est :
Amalya IA
Ridouane Belmostafa — Fondateur et Responsable du traitement
amalya-ia.fr
Engagement RGPD : Amalya IA s’engage à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et en particulier le RGPD. En tant que prestataire de services IA pour PME, nous appliquons le principe de protection des données dès la conception (privacy by design) dans l’ensemble de nos missions.
Article 2
Données personnelles collectées
Amalya IA collecte des données personnelles dans le cadre strict de la réalisation de ses prestations. Les catégories de données collectées varient selon le contexte d’interaction.
2.1 Données collectées sur le site web
| Catégorie | Données | Source | Obligatoire |
|---|---|---|---|
| Identité | Prénom, nom de société | Formulaire de contact | Oui |
| Coordonnées | Adresse email, numéro de téléphone | Formulaire de contact, RDV | Oui |
| Informations professionnelles | Secteur d’activité, taille entreprise, besoins exprimés | Formulaire, audit gratuit | Non |
| Données de navigation | Adresse IP, pages visitées, durée de session, navigateur | Cookies, analytics | Non |
| Données de communication | Contenu des échanges emails, comptes-rendus d’appels | Correspondances | Non |
2.2 Données collectées dans le cadre des missions client
Dans le cadre de l’installation et de la configuration de vos employés IA, Amalya IA peut être amenée à accéder temporairement aux données de votre système d’information (CRM, boîte email, outils métier). Cet accès est :
- Limité à la durée strictement nécessaire à la réalisation de la mission
- Encadré par un contrat de prestation ou un accord de traitement des données (ATD) conforme à l’article 28 du RGPD
- Soumis à des mesures de sécurité techniques renforcées
- Révocable à tout moment par le client sans préavis
Important : Amalya IA intervient en qualité de sous-traitant au sens du RGPD lorsqu’elle traite des données pour le compte de ses clients professionnels. Dans ce cadre, les instructions du client prévalent sur toute autre considération, et les données ne sont jamais utilisées à des fins propres à Amalya IA.
2.3 Données que nous ne collectons jamais
- Données dites “sensibles” au sens de l’article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle)
- Données bancaires ou numéros de carte de crédit (paiements traités exclusivement via Stripe)
- Mots de passe ou identifiants de connexion de vos outils
- Données relatives aux mineurs de moins de 16 ans
Article 3
Finalités de traitement et bases légales
Conformément au principe de limitation des finalités (article 5.1.b du RGPD), vos données ne sont collectées que pour des objectifs déterminés, explicites et légitimes.
| Finalité | Base légale RGPD | Détail |
|---|---|---|
| Gestion des demandes de contact et d’audit | Intérêt légitime (art. 6.1.f) | Répondre à vos sollicitations dans les meilleurs délais |
| Exécution des prestations contractuelles | Exécution du contrat (art. 6.1.b) | Développement, installation et suivi des employés IA |
| Facturation et comptabilité | Obligation légale (art. 6.1.c) | Conservation des pièces comptables conformément au Code de commerce |
| Communication commerciale | Consentement (art. 6.1.a) | Envoi d’informations sur nos services, uniquement si vous y avez expressément consenti |
| Amélioration de nos services | Intérêt légitime (art. 6.1.f) | Analyse anonymisée de l’utilisation du site et des retours clients |
| Prévention des fraudes | Intérêt légitime (art. 6.1.f) | Protection de notre infrastructure technique et de nos systèmes |
| Obligations légales | Obligation légale (art. 6.1.c) | Réponse aux réquisitions judiciaires ou administratives |
Absence de décision automatisée : Conformément à l’article 22 du RGPD, aucun traitement de vos données personnelles ne fait l’objet d’une prise de décision entièrement automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative.
Article 4
Destinataires et sous-traitants
Vos données sont traitées par Amalya IA et, dans certains cas, transmises à des sous-traitants techniques dûment sélectionnés pour leur conformité RGPD. Nous ne vendons jamais vos données à des tiers.
4.1 Sous-traitants techniques
| Prestataire | Rôle | Localisation | Garanties |
|---|---|---|---|
| Cloudflare | Hébergement du site (Cloudflare Pages), CDN, sécurité, performances | UE (serveurs) | DPA conforme RGPD |
| Stripe | Traitement des paiements | Irlande (UE) | PCI-DSS Level 1, certifié RGPD |
| Cal.com | Prise de rendez-vous | USA | Clauses contractuelles types (CCT) conformes RGPD |
| Make.com / n8n | Automatisation (missions client) | USA/Allemagne (variable) | ATD signé, CCT, données cloisonnées par client |
| OpenAI / Anthropic | Modèles IA (missions client) | USA | API uniquement (sans entraînement sur vos données), CCT, DPA |
4.2 Partage avec des tiers
En dehors des sous-traitants listés ci-dessus, Amalya IA peut être amenée à communiquer vos données personnelles uniquement dans les cas suivants :
- Sur réquisition judiciaire ou administrative légalement fondée (autorités compétentes, CNIL)
- En cas de cession ou fusion d’Amalya IA, dans le respect de vos droits et après information préalable
- Pour la défense de nos droits dans le cadre d’un litige, dans la stricte mesure nécessaire
Zéro monétisation : Amalya IA ne vend pas, ne loue pas, et ne cède pas vos données personnelles à des fins commerciales. Nos sources de revenus proviennent exclusivement de nos prestations de services.
Article 5
Durées de conservation
Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), vos données sont conservées pendant des durées définies et proportionnées aux finalités pour lesquelles elles ont été collectées.
| Type de données | Durée de conservation | Justification légale |
|---|---|---|
| Données prospects (non convertis) | 3 ans à compter du dernier contact | Prescription commerciale, recommandation CNIL |
| Données clients actifs | Durée de la relation commerciale | Exécution du contrat |
| Données clients inactifs | 5 ans après la fin du contrat | Prescription de droit commun (art. 2224 Code civil) |
| Documents comptables et factures | 10 ans à compter de la clôture de l’exercice | Article L. 123-22 du Code de commerce |
| Logs de connexion et de sécurité | 12 mois | Recommandation CNIL, LCEN |
| Données de navigation (cookies analytics) | 25 mois maximum | Recommandation CNIL du 17 septembre 2020 |
| Données de paiement | 13 mois (données de carte) / 5 ans (transactions) | Recommandation PCI-DSS / LCAP |
| Candidatures spontanées | 2 ans maximum | Recommandation CNIL |
À l’expiration de ces délais, les données sont soit supprimées définitivement et de manière sécurisée, soit anonymisées de façon irréversible pour les besoins statistiques.
Article 6
Vos droits sur vos données personnelles
Conformément aux articles 15 à 22 du RGPD et aux articles 49 et suivants de la loi Informatique et Libertés, vous disposez des droits suivants sur les données personnelles que nous détenons à votre sujet.
Droit d’accès (art. 15 RGPD)
Vous pouvez obtenir la confirmation que nous traitons vos données et en recevoir une copie complète, ainsi que des informations sur les modalités de traitement.
Droit de rectification (art. 16 RGPD)
Vous pouvez demander la correction de toute donnée inexacte ou incomplète vous concernant, sans délai injustifié.
Droit à l’effacement (art. 17 RGPD)
Vous pouvez demander la suppression de vos données dans les cas prévus par la loi (retrait du consentement, fin de la finalité, etc.), sous réserve de nos obligations légales de conservation.
Droit à la limitation (art. 18 RGPD)
Vous pouvez demander la suspension temporaire du traitement de vos données, notamment pendant la durée d’examen d’une contestation de la licéité du traitement.
Droit à la portabilité (art. 20 RGPD)
Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine, afin de les transmettre à un autre responsable de traitement.
Droit d’opposition (art. 21 RGPD)
Vous pouvez vous opposer à tout moment au traitement de vos données fondé sur l’intérêt légitime, notamment à des fins de prospection commerciale.
Droit de retrait du consentement
Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment, sans que cela n’affecte la licéité du traitement antérieur.
Droit de recours (art. 77 RGPD)
Vous avez le droit de déposer une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés.
Comment exercer vos droits ?
Pour exercer l’un des droits listés ci-dessus, envoyez une demande écrite à :
Exercice de vos droits RGPD
contact@amalya-ia.fr — avec l’objet “Exercice de droits RGPD”
Nous nous engageons à répondre à votre demande dans un délai d’un mois à compter de sa réception (art. 12 RGPD). Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe, avec information préalable. Votre demande est gratuite sauf en cas de demandes manifestement infondées ou excessives.
Pour faciliter le traitement de votre demande, merci de joindre une copie d’un justificatif d’identité. Ces informations ne seront utilisées qu’à des fins de vérification et seront supprimées après traitement.
Droit de recours CNIL : Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.
Article 7
Transferts de données hors Union Européenne
Certains de nos prestataires techniques (OpenAI, Anthropic, Cal.com) sont établis aux États-Unis. Ces transferts de données hors de l’Union Européenne sont encadrés par des garanties appropriées conformément au chapitre V du RGPD.
Garanties mises en place
- Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d’exécution 2021/914) pour tous nos prestataires américains
- Data Processing Agreements (DPA) signés avec chaque sous-traitant hors UE
- Data Privacy Framework UE-USA lorsque le prestataire y est certifié
- Minimisation des données transférées au strict nécessaire
- Chiffrement des données en transit (TLS 1.2 minimum)
Option souveraine disponible
Pour les clients dont la réglementation sectorielle ou les politiques internes requièrent un traitement exclusivement sur le territoire européen, Amalya IA propose une stack 100% européenne :
- Automatisation : n8n self-hosted sur serveurs OVHcloud France
- IA : Mistral AI (hébergé en France) en remplacement d’OpenAI/Claude
- Stockage : Nextcloud sur infrastructure OVHcloud France
Cette option est disponible dans le cadre de l’offre Employé IA Senior. Contactez-nous pour en discuter lors de votre audit gratuit.
Article 8
Politique de cookies
Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d’un site web. Conformément à la recommandation de la CNIL du 17 septembre 2020 et à la directive ePrivacy, nous vous informons de l’utilisation des cookies sur amalya-ia.fr.
8.1 Cookies strictement nécessaires (pas de consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
| cookie_notice_accepted | Mémorisation de votre choix de consentement | 12 mois |
| Cookies de sécurité Cloudflare | Protection contre les attaques et bots malveillants | Variable |
8.2 Cookies d’analyse (consentement requis)
Amalya IA n’utilise actuellement aucun outil de mesure d’audience ni de chat en ligne posant des cookies (pas de Google Analytics, pas de chat tiers intégré). Cette section sera mise à jour si un tel outil est déployé.
8.3 Gestion de vos préférences
Vous pouvez à tout moment modifier vos préférences de cookies de la façon suivante :
- Via le bandeau de consentement qui s’affiche lors de votre première visite sur le site
- Via les paramètres de votre navigateur (voir ci-dessous)
- En nous contactant directement à contact@amalya-ia.fr
Pour gérer les cookies via votre navigateur : Chrome · Firefox · Safari · Edge
La désactivation de certains cookies peut affecter le bon fonctionnement de fonctionnalités du site. Les cookies strictement nécessaires ne peuvent pas être désactivés car ils sont indispensables au fonctionnement technique du site.
Article 9
Sécurité des données
Amalya IA met en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD.
Mesures techniques
- Chiffrement en transit : protocole TLS 1.2 minimum sur l’ensemble des échanges de données
- Chiffrement au repos : données stockées chiffrées sur les serveurs OVHcloud
- Pare-feu applicatif (WAF) : protection via Cloudflare contre les injections, XSS et autres attaques web
- Authentification renforcée : accès aux systèmes protégés par authentification à deux facteurs (2FA)
- Sauvegardes automatiques : historique de déploiement Git + Cloudflare Pages, retour possible à toute version antérieure
- Contrôle des accès : principe du moindre privilège — chaque intervenant n’accède qu’aux données strictement nécessaires à sa mission
- Surveillance continue : monitoring des accès et des anomalies
Mesures organisationnelles
- Sensibilisation de l’ensemble des collaborateurs à la protection des données
- Accords de confidentialité signés avec tous les intervenants tiers
- Procédure de gestion des incidents de sécurité documentée
- Audits de sécurité réguliers
En cas de violation de données
En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour vos droits et libertés, Amalya IA s’engage à vous en notifier dans les meilleurs délais et à signaler l’incident à la CNIL dans un délai de 72 heures conformément à l’article 33 du RGPD.
Signaler une faille : Si vous pensez avoir détecté une faille de sécurité sur nos systèmes, contactez-nous immédiatement à contact@amalya-ia.fr avec le sujet “Incident sécurité — confidentiel”. Nous traitons ce type de signalement en priorité absolue.
Article 10
Modifications de la présente Politique de confidentialité
Amalya IA se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour se conformer à une évolution réglementaire, jurisprudentielle ou technique.
En cas de modifications substantielles, vous serez informé par email (si vous êtes client ou prospect ayant consenti à nos communications) et/ou par un avis visible sur le site au moins 30 jours avant l’entrée en vigueur des nouvelles dispositions.
La version en vigueur est celle accessible en ligne sur amalya-ia.fr/politique-de-confidentialite/. La date de la dernière mise à jour est indiquée en haut de ce document. L’utilisation du site après la date d’entrée en vigueur des modifications vaut acceptation de la politique mise à jour.
Historique des versions : Toutes les versions précédentes de cette politique sont archivées et disponibles sur demande écrite à contact@amalya-ia.fr.
Article 11
Contact et responsable de la protection des données
Pour toute question relative à la présente Politique de confidentialité, à la protection de vos données ou à l’exercice de vos droits, vous pouvez contacter le responsable du traitement :
Point de contact Protection des Données
Ridouane Belmostafa — Responsable du traitement
Réponse garantie sous 30 jours (art. 12 RGPD)
Vous avez également la possibilité de vous adresser directement à l’autorité de contrôle compétente :
CNIL — Commission Nationale de l’Informatique et des Libertés 3 Place de Fontenoy, TSA 80715 — 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 Site web : www.cnil.fr
Une question sur vos données ou la Politique de confidentialité ?
Notre équipe répond à toutes vos questions sur la protection des données dans un délai de 30 jours. Nous prenons ces engagements au sérieux.