Politique de confidentialité
RGPD (UE 2016/679) — Loi Informatique & Libertés 78-17 modifiée — Version 2.0 — Mise à jour : 17 mai 2026
1. Responsable de traitement
JARVIS SAS, Société par Actions Simplifiée (SAS), immatriculée au 938 848 546 R.C.S. Créteil — siège social : 64 Avenue Marinville, 94100 Saint-Maur-des-Fossés, France. Contact RGPD : contact@wewinbid.com (objet : « RGPD »).
JARVIS SAS n'est pas légalement tenue de désigner un Délégué à la Protection des Données (DPO). Un point de contact unique est néanmoins mis en place pour toutes les demandes RGPD.
2. Données traitées, finalités, bases légales & durées
| Catégorie | Données | Base légale | Durée |
|---|---|---|---|
| Identification compte | Email, nom, mot de passe (hashé bcrypt) | Exécution du contrat (art. 6.1.b) | Durée du compte + 3 ans après suppression |
| Société | Raison sociale, SIRET, adresse, code APE | Exécution du contrat | Durée du compte |
| Usage applicatif | Projets AO, contacts CRM, fichiers téléversés | Exécution du contrat | Durée du compte + export 30 j |
| Facturation | Factures, IDs Stripe (jamais les n° de carte) | Obligation légale (art. L.123-22 C. com.) | 10 ans (obligation comptable) |
| Logs techniques | IP, user-agent, route HTTP, horodatage | Intérêt légitime (sécurité) | 12 mois |
| Cookies analytiques | Identifiant anonyme de mesure d'audience | Consentement (art. 82 loi 78-17) | 13 mois max (CNIL) |
| Prompts IA | Texte/fichier transmis à Claude/OpenAI | Exécution du contrat | Non conservé côté IA (zero retention) |
Aucune donnée sensible au sens de l'art. 9 RGPD (santé, opinion, orientation, etc.) n'est traitée par WeWinBid. Aucune donnée de mineur n'est volontairement collectée (service strictement B2B).
3. Origine & destinataires des données
Les données sont collectées directement auprès de vous (création de compte, formulaires, téléversement). Aucun enrichissement par data broker n'est pratiqué. Les destinataires internes sont strictement les personnes habilitées de l'Éditeur agissant sous obligation de confidentialité. Les destinataires externes sont les sous-traitants listés au §4.
4. Sous-traitants (art. 28 RGPD)
Supabase Inc.
Base de données + auth
📍 AWS eu-west-1 (Dublin, Irlande)
🛡️ RGPD — UE
Vercel Inc.
Hébergement frontend / edge
📍 Europe (Paris, Francfort)
🛡️ RGPD — données au repos UE
Stripe Payments Europe Ltd.
Paiements
📍 Dublin, Irlande
🛡️ RGPD — PCI DSS Level 1
Anthropic PBC
IA générative (Claude)
📍 USA
🛡️ CCT 2021/914 + zero data retention
Sendinblue SAS (Brevo)
Emails transactionnels
📍 Paris, France
🛡️ RGPD — UE
OpenAI L.L.C.
IA générative (optionnelle)
📍 USA
🛡️ CCT 2021/914 + opt-out training
Liste mise à jour à chaque évolution. Toute nouvelle sous-traitance est notifiée au Client par email avec faculté d'objection raisonnable (art. 28.2 RGPD).
5. Transferts hors UE
Certains sous-traitants (Anthropic, OpenAI) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types CE 2021/914 de la Commission européenne, complétées de mesures techniques supplémentaires (chiffrement en transit TLS 1.3, options zero data retention, opt-out d'entraînement). Aucune Donnée Client n'est transférée à des fins commerciales ou publicitaires.
6. Sécurité des données
- Transit chiffré TLS 1.3 (HSTS, redirection forcée HTTPS, certificats Let's Encrypt renouvelés automatiquement)
- Repos chiffré AES-256 sur Supabase / AWS
- Mots de passe hashés avec bcrypt (coût adaptatif)
- Isolation multi-tenant par Row Level Security PostgreSQL
- Tokens OAuth chiffrés en base avec clé maître séparée
- Rate limiting sur authentification et endpoints sensibles
- Webhook Stripe signé (vérification HMAC-SHA256)
- Sauvegardes quotidiennes chiffrées (rétention 30 jours)
- Plan de continuité d'activité (RPO ≤ 24 h, RTO ≤ 4 h)
- Audits de sécurité — voir page Sécurité
7. Décisions automatisées (art. 22 RGPD)
WeWinBid utilise des modèles d'IA générative pour assister la rédaction et l'analyse documentaire. Aucune décision exclusivement automatisée produisant un effet juridique au sens de l'art. 22 RGPD n'est prise. Toutes les suggestions IA requièrent validation humaine du Client.
8. Cookies
Voir la Politique cookies dédiée. Seuls les cookies strictement nécessaires sont déposés sans consentement (art. 82 loi 78-17). Le bandeau peut être rouvert à tout moment.
9. Vos droits
| Article | Droit | Description |
|---|---|---|
| Art. 15 | Accès | Obtenir une copie de vos données |
| Art. 16 | Rectification | Corriger des informations inexactes |
| Art. 17 | Effacement | Suppression compte + données (sous réserve obligations légales) |
| Art. 18 | Limitation | Geler un traitement contesté |
| Art. 20 | Portabilité | Export ZIP/JSON/PDF auto-service |
| Art. 21 | Opposition | S'opposer à un traitement fondé sur l'intérêt légitime |
| Art. 22 | Décision automatisée | Refuser une décision exclusivement automatisée |
| Art. 85 L78-17 | Directives post-mortem | Choisir le sort de vos données après décès |
Modalités : écrire à contact@wewinbid.com (objet : « RGPD - Exercice de droits »). Une vérification d'identité raisonnable peut être demandée. Réponse sous 30 jours (prolongeable de 2 mois en cas de complexité, art. 12.3 RGPD). Service gratuit, sauf demande manifestement infondée ou excessive.
10. Réclamation auprès de l'autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL — Commission Nationale de l'Informatique et des Libertés — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 — https://www.cnil.fr.
11. Violation de données
En cas de violation susceptible d'engendrer un risque pour vos droits et libertés, l'Éditeur notifie la CNIL dans un délai de 72 heures après prise de connaissance (art. 33 rgpd) et, le cas échéant, les personnes concernées sans délai injustifié (art. 33 et 34 RGPD).
12. Registre des traitements
JARVIS SAS tient un registre des activités de traitement conforme à l'art. 30 RGPD. Un extrait peut être communiqué sur demande motivée à contact@wewinbid.com.
13. Modifications
La présente politique peut être modifiée pour refléter les évolutions réglementaires ou techniques. Toute modification substantielle est notifiée par email et bandeau dans l'application au moins 15 jours avant entrée en vigueur.