Confidentialité & RGPD

Politique de confidentialité

Dernière mise à jour : 14 avril 2026 · Conforme au Règlement (UE) 2016/679 (RGPD)

Responsable du traitement

RiskDesk SAS — DPO : dpo@riskdesk.com

Vos données ne sont jamais revendues. Elles ne servent jamais à entraîner des modèles d'IA tiers.

1. Données collectées

Données d'identification

Nom, prénom, adresse email
Nom et secteur de l'entreprise
Poste et effectif

Données professionnelles

Documents QHSE générés sur la plateforme
Évaluations et scores de conformité
Rapports d'audit, incidents, DUERP

Données techniques

Adresse IP anonymisée
Type de navigateur et système d'exploitation
Logs de connexion (12 mois maximum)

Ce que nous ne collectons jamais

Données de santé individuelles (Art. 9 RGPD)
Données syndicales ou politiques
Données biométriques

2. Finalités et bases légales

Finalité	Base légale	Détail
Fourniture du service	Exécution du contrat	Accès plateforme, génération de documents, analyses IA
Amélioration du service	Intérêt légitime	Analyse anonymisée des usages pour améliorer les fonctionnalités
Communication	Consentement	Newsletter réglementaire — désabonnement en 1 clic
Obligations légales	Conformité légale	Facturation, archivage comptable (10 ans)

3. Durée de conservation

Données de compteDurée de l'abonnement + 30 jours après résiliation

Documents générésDurée de l'abonnement, exportables à tout moment

Données de facturation10 ans (obligation comptable légale)

Logs de sécurité12 mois maximum

Données marketing3 ans sans activité, ou jusqu'au retrait du consentement

4. Vos droits RGPD

Art. 15

Droit d'accès

Obtenir une copie de toutes vos données personnelles

Art. 16

Droit de rectification

Corriger les données inexactes ou incomplètes

Art. 17

Droit à l'effacement

Demander la suppression de vos données (droit à l'oubli)

Art. 20

Droit à la portabilité

Recevoir vos données dans un format structuré et lisible

Art. 21

Droit d'opposition

Vous opposer à certains traitements (notamment marketing)

Art. 18

Droit à la limitation

Restreindre le traitement dans certains cas prévus

5. Partage des données

RiskDesk SAS ne vend jamais vos données à des tiers à des fins commerciales. Nos sous-traitants (hébergement, OpenAI pour l'IA générative) traitent vos données uniquement pour fournir le service, dans le cadre d'accords de traitement des données (DPA) conformes au RGPD.

Concernant l'IA : les données envoyées à l'API OpenAI ne sont pas utilisées pour entraîner les modèles (accord commercial OpenAI). Nous vous recommandons de ne pas saisir de données nominatives dans les champs de génération IA.

6. Sécurité

Mesures de sécurité déployées : chiffrement TLS 1.3 en transit, AES-256 au repos, authentification sécurisée, accès restreint au personnel habilité (MFA obligatoire), sauvegardes quotidiennes chiffrées, tests de sécurité réguliers.

En cas de violation de données susceptible d'affecter vos droits, nous vous notifierons dans les 72 heures conformément à l'article 33 du RGPD.

7. Transferts internationaux

Vos données sont principalement hébergées en France (Union Européenne). En cas de transfert hors UE (certains services cloud), nous nous assurons de l'existence de garanties appropriées : clauses contractuelles types de la Commission Européenne ou décision d'adéquation.

Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés).

www.cnil.fr

Pour exercer vos droits ou contacter notre DPO

dpo@riskdesk.com

Réponse garantie sous 30 jours (délai légal RGPD)

Voir les mentions légales