Privacy Notice
Last updated: 24 May 2026
This Privacy Notice explains how AGENSIO AI collects, uses, stores and protects personal data of users of the agensio.ai platform. We comply with the UK General Data Protection Regulation (UK GDPR), the Data Protection Act 2018, the EU GDPR where applicable and ICO guidance.
1. Data controller
AGENSIO AI - SASU with share capital of EUR 1
SIREN: 102 258 076 - registered with the French RNE on 13/03/2026
Registered office: 4 Impasse Rémi Belleau, 44430 Le Loroux-Bottereau, France
Email: contact@agensio.fr
Director: Theo BOUCHET, President
Although established in France, AGENSIO AI processes UK data subjects' personal data. A UK representative under Article 27 UK GDPR will be designated before commercial UK launch.
2. Personal data we collect
- Identification: name, email, company name, VAT number, phone (optional)
- Connection/usage: IP (truncated), browser, OS, pages visited, login data, display preferences
- Transaction: subscription history, payment amounts/dates, Stripe ID (no card data stored - PCI-DSS via Stripe)
- Data provided to AI agents: business data submitted, configurations, interaction history
3. Legal bases and retention
- Performance of contract (Art. 6(1)(b)): account management, AI services, transactional emails
- Legal obligation (Art. 6(1)(c)): invoicing (HMRC retention: 6 years)
- Legitimate interest (Art. 6(1)(f)): B2B direct marketing (Reg. 22 PECR soft opt-in), service analytics, platform security
- Consent (Art. 6(1)(a)): analytics cookies (Reg. 6 PECR) - 13 months max
4. International transfers
Some processors (Vercel, Stripe, OpenAI, Anthropic, Twilio, Google, Microsoft) may process data outside the UK/EEA. Safeguards:
- UK International Data Transfer Agreement (IDTA) or UK Addendum to EU SCCs (Art. 46 UK GDPR)
- UK-US Data Bridge extension of EU-US Data Privacy Framework (October 2023)
- Technical measures: TLS 1.3, AES-256, "zero data retention" with AI vendors
5. Google API integration (Gmail, Calendar)
Agensio's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
OAuth scopes requested: gmail.modify, calendar, basic profile. Data used only for user-requested functions. NOT used for advertising, AI model training, or resale. OAuth tokens encrypted at rest with AES-256-GCM.
Revoke at any time via myaccount.google.com/permissions or contact@agensio.fr.
6. Data security (Art. 32 UK GDPR)
- TLS 1.3 in transit, AES-256 at rest
- Supabase Auth (OAuth 2.0, MFA available)
- Least-privilege access, backups, monitoring
- Independent CASA Tier 2 audit (9.1/10 by TAC Security, April 2026)
7. Your rights under UK GDPR
Right of access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction (Art. 18), portability (Art. 20), objection (Art. 21), withdrawal of consent (Art. 7(3)), automated decision-making (Art. 22).
To exercise: email contact@agensio.fr with an identity document. Response within 1 month (Art. 12(3)).
8. Right to complain
UK: Information Commissioner's Office (ICO)
Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF
Helpline: 0303 123 1113 - Web: ico.org.uk
9. Cookies (PECR)
See our Cookie Notice. Non-essential cookies only set with consent (Reg. 6 PECR).
10. Children's data
The Platform is not directed to persons under 18. If we discover a minor has provided data, we will delete it immediately.
11. Automated decision-making (Art. 22)
AI agents perform automated processing but always allow human intervention via supervision mode, manual override, and explicit confirmation for irreversible actions.
12. Changes and contact
This notice may be updated. Material changes communicated by email. Last update at top of page.
Contact: contact@agensio.fr - AGENSIO AI, 4 Impasse Rémi Belleau, 44430 Le Loroux-Bottereau, France.
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données d'identification
- Nom et prénom
- Adresse email
- Nom de l'entreprise
- Numéro de téléphone (si fourni)
2.2 Données de connexion et d'utilisation
- Adresse IP
- Type de navigateur et système d'exploitation
- Pages visitées et durée de visite
- Données de connexion (date, heure, identifiant)
- Préférences d'affichage (thème clair/sombre)
2.3 Données de transaction
- Historique des abonnements
- Montants et dates de paiement
- Identifiant Stripe (aucune donnée de carte bancaire n'est stockée par AGENSIO AI)
2.4 Données fournies aux agents IA
- Données métier transmises par l'utilisateur (contacts, factures, contenus, etc.)
- Configurations et paramètres des agents
- Historique des interactions avec les agents
3. Bases légales des traitements
| Finalité | Base légale | Durée de conservation |
|---|
| Gestion du compte utilisateur | Exécution du contrat (art. 6.1.b RGPD) | Durée du compte + 3 ans |
| Fourniture des Services (agents IA) | Exécution du contrat (art. 6.1.b RGPD) | Durée de l'abonnement + 30 jours |
| Facturation et paiement | Obligation légale (art. 6.1.c RGPD) | 10 ans (obligation comptable) |
| Emails transactionnels | Exécution du contrat (art. 6.1.b RGPD) | Durée du compte |
| Prospection commerciale | Intérêt légitime (art. 6.1.f RGPD) | 3 ans après dernier contact |
| Analyse et amélioration du service | Intérêt légitime (art. 6.1.f RGPD) | 25 mois (données anonymisées) |
| Cookies analytiques | Consentement (art. 6.1.a RGPD) | 13 mois maximum |
| Sécurité de la plateforme | Intérêt légitime (art. 6.1.f RGPD) | 12 mois |
4. Destinataires des données (sous-traitants)
Vos données personnelles peuvent être communiquées aux sous-traitants suivants, chacun engagé par un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD. La liste est tenue à jour ; toute modification substantielle vous sera communiquée.
| Sous-traitant | Rôle / finalité | Localisation |
| Supabase | Hébergement base de données, authentification, stockage fichiers | UE (région EU) |
| Vercel | Hébergement web et fonctions serverless | UE / États-Unis (SCC + DPF) |
| Stripe | Paiement et facturation (certifié PCI-DSS Level 1) | UE / États-Unis (SCC + DPF) |
| Resend | Envoi d'emails transactionnels | États-Unis (SCC + DPF) |
| Brevo | Envoi et réception de SMS (agent Recouvrement) | UE (France) |
| Twilio | Téléphonie (agent Réceptionniste) | États-Unis (SCC + DPF) |
| Deepgram | Transcription vocale (agent Réceptionniste) | États-Unis (SCC) |
| ElevenLabs | Synthèse vocale (agent Réceptionniste) | États-Unis (SCC) |
| OpenAI | Modèles d'IA (traitement des contenus en temps réel, option zero data retention activée) | États-Unis (SCC + DPF) |
| Anthropic | Modèles d'IA (fallback de résilience, zero data retention) | États-Unis (SCC) |
| Outscraper | Sourcing de prospects publics (agent Leads) | États-Unis (SCC) |
| n8n | Automatisation de workflows (agent Veille) | UE |
| Railway | Hébergement du relais vocal (agent Réceptionniste) | UE / États-Unis (SCC) |
| Google | Authentification OAuth et API Gmail/Calendar (agent Secrétaire) | UE / États-Unis (SCC + DPF) |
| Microsoft | Authentification OAuth et API Outlook (agent Secrétaire) | UE / États-Unis (SCC + DPF) |
AGENSIO AI ne vend, ne loue et ne cède aucune donnée personnelle à des tiers à des fins commerciales.
5. Transferts hors UE
Certains sous-traitants listés ci-dessus (notamment Vercel, Stripe, Resend, Twilio, Deepgram, ElevenLabs, OpenAI, Anthropic, Outscraper, Google, Microsoft) sont susceptibles de traiter des données en dehors de l'Union européenne, principalement aux États-Unis. Dans ce cas, les transferts sont encadrés par :
- Des clauses contractuelles types (CCT / SCC) approuvées par la Commission européenne ;
- Le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework) lorsque le sous-traitant y est certifié ;
- Des mesures techniques supplémentaires (chiffrement en transit et au repos, minimisation des données transmises, option « zero data retention » côté fournisseurs d'IA).
6. Intégration des API Google (Gmail, Calendar)
L'agent Secrétaire d'AGENSIO AI peut, à votre demande explicite et après votre consentement OAuth, accéder à votre compte Google Workspace via les API Google. Cette section détaille de manière transparente comment vos données Google sont traitées.
6.1 Périmètres OAuth (scopes) demandés
https://www.googleapis.com/auth/gmail.modify — lire, envoyer, supprimer et gérer les emails de votre boîte Gmail (nécessaire pour les fonctions de tri, réponse automatique, brouillons et envoi par l'agent).https://www.googleapis.com/auth/calendar — lire et gérer les événements de votre Google Calendar (création de RDV, modification, suppression).openid, email, profile — informations de base de votre compte Google (nom, adresse email) pour identification.
6.2 Conformité — Google API Services User Data Policy & Limited Use
L'utilisation et le transfert par AGENSIO AI des informations reçues des API Google à toute autre application respecteront la Google API Services User Data Policy, y compris les exigences Limited Use.
Agensio's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
6.3 Comment vos données Google sont utilisées
Les données obtenues via les API Google sont utilisées uniquement pour :
- Afficher et résumer vos emails et événements dans l'interface de l'agent Secrétaire ;
- Permettre à l'agent IA, sur votre demande explicite, de rédiger des réponses, créer des brouillons, envoyer des emails ou créer/modifier des événements de calendrier en votre nom ;
- Détecter automatiquement les emails prioritaires, les deadlines et les contacts récurrents pour vous fournir un assistant intelligent.
Nous n'utilisons PAS vos données Google pour :
- Servir des publicités, faire du profilage publicitaire ou de la personnalisation marketing ;
- Entraîner, améliorer ou affiner des modèles d'intelligence artificielle généralisés ;
- Vendre, louer ou céder ces données à des tiers ;
- Effectuer des analyses statistiques agrégées au-delà de ce qui est strictement nécessaire au fonctionnement du Service pour vous.
6.4 Transfert des données Google à des tiers
Le contenu de vos emails et événements Google n'est transféré à des tiers que dans les cas suivants, strictement nécessaires au fonctionnement du Service :
- OpenAI (fournisseur de modèles IA) : le contenu des emails ou demandes que vous traitez via l'agent IA est transmis à OpenAI uniquement pour générer une réponse en temps réel. OpenAI s'engage contractuellement à ne pas utiliser ces données pour entraîner ses modèles (option API « zero data retention » activée). Les données ne sont conservées par OpenAI que le temps strictement nécessaire au traitement de la requête.
- Supabase (base de données) : stockage des résumés et métadonnées d'emails synchronisés, sur des serveurs situés dans l'Union européenne (Supabase EU region).
- Aucun autre transfert n'est réalisé sans votre consentement explicite.
6.5 Stockage et chiffrement des tokens OAuth Google
Les tokens d'accès et de rafraîchissement OAuth délivrés par Google sont chiffrés au repos avec l'algorithme AES-256-GCM au niveau applicatif (en plus du chiffrement disque AES-256 fourni par Supabase). La clé de chiffrement est stockée dans un coffre-fort de variables d'environnement Vercel (KMS-backed) et n'est jamais exposée au client. Une contrainte au niveau de la base de données (PostgreSQL CHECK constraint) garantit qu'aucun token ne peut être inséré en clair, fournissant une défense en profondeur.
6.6 Conservation des données Google
- Tokens OAuth : conservés tant que votre intégration Gmail/Calendar est active. Supprimés immédiatement lorsque vous déconnectez le compte ou supprimez votre compte AGENSIO AI.
- Métadonnées d'emails synchronisés (objet, expéditeur, résumé) : conservées pour fournir le contexte à l'agent. Vous pouvez demander leur suppression à tout moment.
- Contenu des emails : non stocké de manière permanente. Récupéré à la demande pour traitement, puis non persisté au-delà du strict nécessaire à votre demande en cours.
6.7 Révocation et suppression
Vous pouvez à tout moment :
- Déconnecter votre compte Google depuis l'interface de l'agent Secrétaire (Paramètres → Intégrations) ;
- Révoquer les autorisations OAuth depuis votre compte Google : myaccount.google.com/permissions ;
- Demander la suppression complète de toutes vos données Google détenues par AGENSIO AI en envoyant un email à contact@agensio.fr.
La suppression est effective sous 30 jours maximum, conformément aux exigences RGPD.
7. Sécurité des données
AGENSIO AI met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles :
- Chiffrement des données en transit (TLS/HTTPS)
- Chiffrement des données au repos (AES-256)
- Authentification sécurisée (OAuth 2.0 via Supabase Auth)
- Accès restreint aux données sur le principe du moindre privilège
- Sauvegardes régulières
- Surveillance des accès et journalisation
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : obtenir la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation (art. 18) : demander la limitation du traitement dans certains cas.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé.
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes, ou à la prospection commerciale.
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement.
- Directives post-mortem : définir des directives relatives au sort de vos données après votre décès.
Pour exercer vos droits, envoyez un email à contact@agensio.fr avec une copie d'un justificatif d'identité. Nous répondrons dans un délai maximum d'un (1) mois.
9. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site : www.cnil.fr
10. Cookies
Pour une information complète sur les cookies utilisés sur le site, veuillez consulter notre Politique de cookies.
11. Données des mineurs
La Plateforme n'est pas destinée aux personnes de moins de 18 ans. AGENSIO AI ne collecte pas sciemment de données relatives à des mineurs. Si nous découvrons qu'un mineur a fourni des données personnelles, nous les supprimerons immédiatement.
12. Modification de la politique
AGENSIO AI se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle, les utilisateurs seront informés par email ou par notification sur la Plateforme. La date de dernière mise à jour est indiquée en haut de cette page.
13. Contact
AGENSIO AI — Responsable de traitement
4 Impasse Rémi Belleau, 44430 Le Loroux-Bottereau, France
Email : contact@agensio.fr