Politique de Confidentialité
Dernière mise à jour : 16 mars 2026
1. Responsable du traitement
Identité : Innovel Studio (SASU)
Adresse : 58 rue de Monceau, 75008 Paris
Email DPO / contact : privacy@agentplugged.ai
2. Données collectées
2.1 Données de compte
Lors de l'inscription et de l'utilisation de la Plateforme, nous collectons : nom, prénom, adresse email, mot de passe (haché), informations de facturation (via notre prestataire de paiement), adresse IP, et données de connexion.
2.2 Données d'utilisation
Nous collectons des données relatives à l'utilisation de la Plateforme : logs d'activité, configurations d'agents, métriques de performance, requêtes API (métadonnées uniquement, pas le contenu des échanges avec les LLM sauf en mode debug activé par l'Utilisateur).
2.3 Données traitées par les Agents IA
Les Agents IA créés par les Utilisateurs peuvent traiter des données pour le compte de l'Utilisateur. L'Éditeur agit en qualité de sous-traitant pour ces données. L'Utilisateur reste responsable de la licéité du traitement et de l'information des personnes concernées.
2.4 Cookies et traceurs
La Plateforme utilise des cookies strictement nécessaires au fonctionnement du service (authentification, préférences). Les cookies analytiques et de mesure d'audience ne sont déposés qu'avec le consentement explicite de l'Utilisateur, conformément aux recommandations de la CNIL.
3. Finalités et bases légales
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Gestion du compte et fourniture des Services | Exécution du contrat (art. 6.1.b RGPD) | Durée de la relation contractuelle + 3 ans |
| Facturation et comptabilité | Obligation légale (art. 6.1.c RGPD) | 10 ans (obligations comptables) |
| Support client | Exécution du contrat | Durée de la relation + 2 ans |
| Amélioration de la Plateforme et statistiques | Intérêt légitime (art. 6.1.f RGPD) | 26 mois (données anonymisées) |
| Communication marketing | Consentement (art. 6.1.a RGPD) | Jusqu'au retrait du consentement |
| Sécurité et prévention des fraudes | Intérêt légitime | 1 an (logs de sécurité) |
| Hébergement et exécution des Agents IA | Exécution du contrat (sous-traitance art. 28 RGPD) | Durée du contrat + 30 jours |
4. Destinataires des données
Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes :
- a)Prestataires techniques : hébergeur d'infrastructure, prestataire de paiement, fournisseurs de modèles LLM (uniquement les métadonnées nécessaires à l'exécution des requêtes) ;
- b)Prestataires de services : outil d'emailing, analytics (si consentement) ;
- c)Autorités compétentes en cas d'obligation légale.
Les prestataires sont soumis à des obligations contractuelles de confidentialité et de sécurité conformes au RGPD.
5. Transferts hors UE
Certains prestataires sont situés hors de l'Espace Économique Européen. Ces transferts sont encadrés par des clauses contractuelles types de la Commission européenne, conformément aux articles 44 à 49 du RGPD. Les prestataires concernés sont : Railway (hébergement de la Plateforme, États-Unis), OpenAI (modèles LLM, États-Unis), Stripe (paiement, États-Unis), Resend (emailing transactionnel, États-Unis).
6. Sécurité des données
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données :
- a)Chiffrement des données en transit (TLS 1.3) et au repos ;
- b)Chiffrement des clés API tierces stockées ;
- c)Authentification renforcée et gestion des accès par rôles ;
- d)Journalisation des accès et monitoring continu ;
- e)Sauvegardes régulières et plan de reprise d'activité ;
- f)Tests de sécurité réguliers.
7. Sous-traitance — Contrat de traitement des données (DPA)
Lorsque l'Éditeur traite des données personnelles pour le compte de l'Utilisateur (dans le cadre de l'exécution des Agents IA), il agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
À ce titre, l'Éditeur s'engage à :
- a)Ne traiter les données que sur instruction documentée de l'Utilisateur ;
- b)Garantir la confidentialité des données ;
- c)Mettre en œuvre les mesures de sécurité décrites à l'article 6 ;
- d)Ne pas faire appel à un autre sous-traitant sans autorisation préalable ;
- e)Coopérer avec l'Utilisateur pour répondre aux demandes d'exercice de droits des personnes concernées ;
- f)Notifier l'Utilisateur dans les meilleurs délais (et au plus tard 72 heures) de toute violation de données ;
- g)Supprimer ou restituer les données à la fin du contrat, au choix de l'Utilisateur.
8. Droits des personnes concernées
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès : obtenir la confirmation du traitement de vos données et une copie de celles-ci.
Droit de rectification : corriger des données inexactes ou incomplètes.
Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation).
Droit à la limitation : demander la suspension du traitement dans certains cas.
Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.
Droit de retrait du consentement : retirer votre consentement à tout moment pour les traitements fondés sur celui-ci.
Pour exercer vos droits, contactez-nous à l'adresse indiquée en section 1. Nous répondrons dans un délai maximum de 30 jours.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Intelligence artificielle et transparence
La Plateforme utilise des modèles d'intelligence artificielle (LLM) pour la génération et l'exécution d'Agents IA. Conformément au EU AI Act :
- a)Les Agents IA déployés n'interagissent pas directement avec des personnes physiques sans que celles-ci en soient informées (obligation de transparence) ;
- b)L'Utilisateur est responsable de la classification de risque de ses Agents IA et de la mise en conformité avec les obligations correspondantes ;
- c)L'Éditeur fournit la documentation technique nécessaire pour permettre à l'Utilisateur de remplir ses obligations.
10. Notification des violations de données
En cas de violation de données personnelles présentant un risque pour les droits et libertés des personnes concernées, l'Éditeur :
- a)Notifiera la CNIL dans les 72 heures suivant la prise de connaissance de la violation ;
- b)Informera les personnes concernées dans les meilleurs délais si le risque est élevé ;
- c)Documentera l'incident dans un registre des violations.
11. Modifications
La présente Politique de Confidentialité peut être modifiée à tout moment. Les Utilisateurs seront informés de toute modification substantielle par email au moins 30 jours avant son entrée en vigueur.