Politique de confidentialité (édition Suisse)
Dernière mise à jour : 24 mai 2026
La présente politique décrit comment AGENSIO AI collecte, utilise, conserve et protège les données personnelles des utilisateurs résidant en Suisse, conformément à la nouvelle Loi fédérale sur la protection des données (nLPD) entrée en vigueur le 1er septembre 2023. Pour les utilisateurs UE/EEE, le RGPD s'applique en complément.
1. Responsable du traitement (art. 5 lit. j nLPD)
AGENSIO AI - SASU droit français, capital 1 EUR
SIREN : 102 258 076 (RNE France, 13.03.2026)
Siège : 4 Impasse Rémi Belleau, 44430 Le Loroux-Bottereau, France
E-mail : contact@agensio.fr
Représentant légal : Theo BOUCHET, Président
2. Données collectées
Identification (nom, e-mail, raison sociale), connexion/usage (IP tronquée, navigateur, OS, pages), transaction (Stripe IDs, aucune donnée carte stockée), données business soumises aux agents IA.
3. Bases légales (art. 31 nLPD)
- Exécution du contrat (art. 31 al. 2 lit. a) : gestion compte, agents IA
- Obligation légale (art. 31 al. 2 lit. b) : facturation 10 ans (CO 958f)
- Intérêt prépondérant (art. 31 al. 2 lit. c) : sécurité, analytics, prospection B2B
- Consentement (art. 6 al. 6) : cookies analytiques
4. Transferts transfrontaliers (art. 16 nLPD)
Sous-traitants US : Vercel, Stripe, OpenAI, Anthropic, Resend, Twilio, Google, Microsoft. Garanties :
- Reconnaissance d'adéquation par le Conseil fédéral pour l'UE/EEE (depuis 2023-2024)
- Swiss-US Data Privacy Framework (en vigueur depuis le 15.09.2024)
- Clauses contractuelles types CH reconnues par le PFPDT
- Chiffrement TLS 1.3 + AES-256, "zero data retention" sur les fournisseurs IA
5. API Google (Limited Use)
Agensio's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
Scopes gmail.modify, calendar. Données utilisées uniquement pour les fonctions demandées (agent Secrétaire). Jamais pour publicité, profilage ou entraînement IA. Tokens chiffrés AES-256-GCM.
6. Sécurité (art. 8 nLPD)
TLS 1.3, AES-256, OAuth 2.0 + MFA, principe du moindre privilège, sauvegardes géo-redondantes, journalisation, audit CASA Tier 2 réussi (9.1/10, TAC Security avril 2026).
7. Vos droits selon la nLPD
- Accès (art. 25)
- Rectification (art. 32 al. 1)
- Suppression (art. 32 al. 2 lit. c)
- Portabilité (art. 28 - nouveau dans nLPD)
- Opposition au traitement (art. 30 al. 2)
- Retrait du consentement
- Information sur décisions automatisées (art. 21)
Demande : contact@agensio.fr. Réponse sous 30 jours (art. 25 al. 7).
8. Autorité de contrôle
PFPDT (Préposé fédéral à la protection des données et à la transparence)
Feldeggweg 1, 3003 Berne, Suisse
edoeb.admin.ch
9. Cookies
Voir politique de cookies (édition Suisse).
10. Décisions individuelles automatisées (art. 21 nLPD)
Les agents IA effectuent des traitements automatisés. Vous gardez le contrôle : mode supervision, annulation manuelle, confirmation obligatoire pour actions irréversibles. Vous pouvez exiger une intervention humaine via contact@agensio.fr.
11. Modifications et contact
Politique modifiable. Notification email en cas de changement substantiel. Contact : contact@agensio.fr - AGENSIO AI, 4 Impasse Rémi Belleau, 44430 Le Loroux-Bottereau, France.
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données d'identification
- Nom et prénom
- Adresse email
- Nom de l'entreprise
- Numéro de téléphone (si fourni)
2.2 Données de connexion et d'utilisation
- Adresse IP
- Type de navigateur et système d'exploitation
- Pages visitées et durée de visite
- Données de connexion (date, heure, identifiant)
- Préférences d'affichage (thème clair/sombre)
2.3 Données de transaction
- Historique des abonnements
- Montants et dates de paiement
- Identifiant Stripe (aucune donnée de carte bancaire n'est stockée par AGENSIO AI)
2.4 Données fournies aux agents IA
- Données métier transmises par l'utilisateur (contacts, factures, contenus, etc.)
- Configurations et paramètres des agents
- Historique des interactions avec les agents
3. Bases légales des traitements
| Finalité | Base légale | Durée de conservation |
|---|
| Gestion du compte utilisateur | Exécution du contrat (art. 6.1.b RGPD) | Durée du compte + 3 ans |
| Fourniture des Services (agents IA) | Exécution du contrat (art. 6.1.b RGPD) | Durée de l'abonnement + 30 jours |
| Facturation et paiement | Obligation légale (art. 6.1.c RGPD) | 10 ans (obligation comptable) |
| Emails transactionnels | Exécution du contrat (art. 6.1.b RGPD) | Durée du compte |
| Prospection commerciale | Intérêt légitime (art. 6.1.f RGPD) | 3 ans après dernier contact |
| Analyse et amélioration du service | Intérêt légitime (art. 6.1.f RGPD) | 25 mois (données anonymisées) |
| Cookies analytiques | Consentement (art. 6.1.a RGPD) | 13 mois maximum |
| Sécurité de la plateforme | Intérêt légitime (art. 6.1.f RGPD) | 12 mois |
4. Destinataires des données (sous-traitants)
Vos données personnelles peuvent être communiquées aux sous-traitants suivants, chacun engagé par un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD. La liste est tenue à jour ; toute modification substantielle vous sera communiquée.
| Sous-traitant | Rôle / finalité | Localisation |
| Supabase | Hébergement base de données, authentification, stockage fichiers | UE (région EU) |
| Vercel | Hébergement web et fonctions serverless | UE / États-Unis (SCC + DPF) |
| Stripe | Paiement et facturation (certifié PCI-DSS Level 1) | UE / États-Unis (SCC + DPF) |
| Resend | Envoi d'emails transactionnels | États-Unis (SCC + DPF) |
| Brevo | Envoi et réception de SMS (agent Recouvrement) | UE (France) |
| Twilio | Téléphonie (agent Réceptionniste) | États-Unis (SCC + DPF) |
| Deepgram | Transcription vocale (agent Réceptionniste) | États-Unis (SCC) |
| ElevenLabs | Synthèse vocale (agent Réceptionniste) | États-Unis (SCC) |
| OpenAI | Modèles d'IA (traitement des contenus en temps réel, option zero data retention activée) | États-Unis (SCC + DPF) |
| Anthropic | Modèles d'IA (fallback de résilience, zero data retention) | États-Unis (SCC) |
| Outscraper | Sourcing de prospects publics (agent Leads) | États-Unis (SCC) |
| n8n | Automatisation de workflows (agent Veille) | UE |
| Railway | Hébergement du relais vocal (agent Réceptionniste) | UE / États-Unis (SCC) |
| Google | Authentification OAuth et API Gmail/Calendar (agent Secrétaire) | UE / États-Unis (SCC + DPF) |
| Microsoft | Authentification OAuth et API Outlook (agent Secrétaire) | UE / États-Unis (SCC + DPF) |
AGENSIO AI ne vend, ne loue et ne cède aucune donnée personnelle à des tiers à des fins commerciales.
5. Transferts hors UE
Certains sous-traitants listés ci-dessus (notamment Vercel, Stripe, Resend, Twilio, Deepgram, ElevenLabs, OpenAI, Anthropic, Outscraper, Google, Microsoft) sont susceptibles de traiter des données en dehors de l'Union européenne, principalement aux États-Unis. Dans ce cas, les transferts sont encadrés par :
- Des clauses contractuelles types (CCT / SCC) approuvées par la Commission européenne ;
- Le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework) lorsque le sous-traitant y est certifié ;
- Des mesures techniques supplémentaires (chiffrement en transit et au repos, minimisation des données transmises, option « zero data retention » côté fournisseurs d'IA).
6. Intégration des API Google (Gmail, Calendar)
L'agent Secrétaire d'AGENSIO AI peut, à votre demande explicite et après votre consentement OAuth, accéder à votre compte Google Workspace via les API Google. Cette section détaille de manière transparente comment vos données Google sont traitées.
6.1 Périmètres OAuth (scopes) demandés
https://www.googleapis.com/auth/gmail.modify — lire, envoyer, supprimer et gérer les emails de votre boîte Gmail (nécessaire pour les fonctions de tri, réponse automatique, brouillons et envoi par l'agent).https://www.googleapis.com/auth/calendar — lire et gérer les événements de votre Google Calendar (création de RDV, modification, suppression).openid, email, profile — informations de base de votre compte Google (nom, adresse email) pour identification.
6.2 Conformité — Google API Services User Data Policy & Limited Use
L'utilisation et le transfert par AGENSIO AI des informations reçues des API Google à toute autre application respecteront la Google API Services User Data Policy, y compris les exigences Limited Use.
Agensio's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
6.3 Comment vos données Google sont utilisées
Les données obtenues via les API Google sont utilisées uniquement pour :
- Afficher et résumer vos emails et événements dans l'interface de l'agent Secrétaire ;
- Permettre à l'agent IA, sur votre demande explicite, de rédiger des réponses, créer des brouillons, envoyer des emails ou créer/modifier des événements de calendrier en votre nom ;
- Détecter automatiquement les emails prioritaires, les deadlines et les contacts récurrents pour vous fournir un assistant intelligent.
Nous n'utilisons PAS vos données Google pour :
- Servir des publicités, faire du profilage publicitaire ou de la personnalisation marketing ;
- Entraîner, améliorer ou affiner des modèles d'intelligence artificielle généralisés ;
- Vendre, louer ou céder ces données à des tiers ;
- Effectuer des analyses statistiques agrégées au-delà de ce qui est strictement nécessaire au fonctionnement du Service pour vous.
6.4 Transfert des données Google à des tiers
Le contenu de vos emails et événements Google n'est transféré à des tiers que dans les cas suivants, strictement nécessaires au fonctionnement du Service :
- OpenAI (fournisseur de modèles IA) : le contenu des emails ou demandes que vous traitez via l'agent IA est transmis à OpenAI uniquement pour générer une réponse en temps réel. OpenAI s'engage contractuellement à ne pas utiliser ces données pour entraîner ses modèles (option API « zero data retention » activée). Les données ne sont conservées par OpenAI que le temps strictement nécessaire au traitement de la requête.
- Supabase (base de données) : stockage des résumés et métadonnées d'emails synchronisés, sur des serveurs situés dans l'Union européenne (Supabase EU region).
- Aucun autre transfert n'est réalisé sans votre consentement explicite.
6.5 Stockage et chiffrement des tokens OAuth Google
Les tokens d'accès et de rafraîchissement OAuth délivrés par Google sont chiffrés au repos avec l'algorithme AES-256-GCM au niveau applicatif (en plus du chiffrement disque AES-256 fourni par Supabase). La clé de chiffrement est stockée dans un coffre-fort de variables d'environnement Vercel (KMS-backed) et n'est jamais exposée au client. Une contrainte au niveau de la base de données (PostgreSQL CHECK constraint) garantit qu'aucun token ne peut être inséré en clair, fournissant une défense en profondeur.
6.6 Conservation des données Google
- Tokens OAuth : conservés tant que votre intégration Gmail/Calendar est active. Supprimés immédiatement lorsque vous déconnectez le compte ou supprimez votre compte AGENSIO AI.
- Métadonnées d'emails synchronisés (objet, expéditeur, résumé) : conservées pour fournir le contexte à l'agent. Vous pouvez demander leur suppression à tout moment.
- Contenu des emails : non stocké de manière permanente. Récupéré à la demande pour traitement, puis non persisté au-delà du strict nécessaire à votre demande en cours.
6.7 Révocation et suppression
Vous pouvez à tout moment :
- Déconnecter votre compte Google depuis l'interface de l'agent Secrétaire (Paramètres → Intégrations) ;
- Révoquer les autorisations OAuth depuis votre compte Google : myaccount.google.com/permissions ;
- Demander la suppression complète de toutes vos données Google détenues par AGENSIO AI en envoyant un email à contact@agensio.fr.
La suppression est effective sous 30 jours maximum, conformément aux exigences RGPD.
7. Sécurité des données
AGENSIO AI met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles :
- Chiffrement des données en transit (TLS/HTTPS)
- Chiffrement des données au repos (AES-256)
- Authentification sécurisée (OAuth 2.0 via Supabase Auth)
- Accès restreint aux données sur le principe du moindre privilège
- Sauvegardes régulières
- Surveillance des accès et journalisation
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : obtenir la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation (art. 18) : demander la limitation du traitement dans certains cas.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé.
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes, ou à la prospection commerciale.
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement.
- Directives post-mortem : définir des directives relatives au sort de vos données après votre décès.
Pour exercer vos droits, envoyez un email à contact@agensio.fr avec une copie d'un justificatif d'identité. Nous répondrons dans un délai maximum d'un (1) mois.
9. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site : www.cnil.fr
10. Cookies
Pour une information complète sur les cookies utilisés sur le site, veuillez consulter notre Politique de cookies.
11. Données des mineurs
La Plateforme n'est pas destinée aux personnes de moins de 18 ans. AGENSIO AI ne collecte pas sciemment de données relatives à des mineurs. Si nous découvrons qu'un mineur a fourni des données personnelles, nous les supprimerons immédiatement.
12. Modification de la politique
AGENSIO AI se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle, les utilisateurs seront informés par email ou par notification sur la Plateforme. La date de dernière mise à jour est indiquée en haut de cette page.
13. Contact
AGENSIO AI — Responsable de traitement
4 Impasse Rémi Belleau, 44430 Le Loroux-Bottereau, France
Email : contact@agensio.fr