L'AI Act concerne-t-il vraiment ma PME ?

Oui, si vous utilisez un outil qui intègre de l'intelligence artificielle, même acheté à un éditeur. L'AI Act s'applique à tout déployeur dans l'Union européenne, quelle que soit la taille. Chatbot, ChatGPT, tri de CV, scoring, recommandation : vous êtes concerné.

Que se passe-t-il si je ne fais rien ?

L'amende affichée au règlement peut atteindre 35 millions EUR, mais pour une PME l'Article 99 §6 plafonne au montant le plus bas et l'amende réaliste se compte en dizaines à centaines de milliers d'euros. Les conséquences indirectes (exclusion d'appels d'offres, perte de contrats, retrait du marché) sont souvent plus coûteuses que l'amende.

Les documents générés ont-ils une valeur juridique ?

Ce sont des brouillons structurés qui couvrent les exigences de la loi. Ils doivent être relus et validés par vos équipes avant usage officiel. Ils ne remplacent pas un avis juridique, mais vous font gagner 80% du temps de rédaction et vous assurent de ne rien oublier dans la structure requise.

Mes données sont-elles en sécurité ?

Hébergement chez Hetzner en Allemagne, IA Mistral en France, chiffrement AES-256 au repos et TLS 1.3 en transit. Isolation multi-tenant via Row-Level Security. Aucune donnée ne sert à entraîner un modèle. Aucune donnée ne quitte l'UE.

Et si la loi évolue ? On paye à nouveau ?

Non. Les mises à jour du moteur de classification et des modèles de documents sont incluses jusqu'en 2029. Si un acte délégué modifie une obligation d'ici là, AI Declare se met à jour automatiquement et vous êtes notifié des éléments à revoir dans votre dossier.

Qui doit utiliser l'outil en interne ?

Selon la taille : dirigeant ou DAF pour une TPE, DPO ou responsable conformité pour une PME de 50-150 salariés, cellule transverse (DPO, RSSI, métiers) pour une PME de 150-500. L'outil accepte plusieurs utilisateurs avec des rôles différents.

Conformité RGPD

Politique de confidentialité

Dernière mise à jour :: 23 avril 2026
Version :: 1.0 (projet)

Avertissement : ce document est un projet rédigé en interne. Il doit être relu et validé par un avocat spécialisé en droit du numérique avant son usage commercial.

1. Préambule

La présente politique de confidentialité décrit la manière dont AI Declare (ci-après AI Declare, nous ou notre) collecte, utilise, partage et protège les données à caractère personnel des utilisateurs de son service.

AI Declare est un logiciel en ligne (SaaS) qui aide les entreprises à se conformer au règlement (UE) 2024/1689 sur l'intelligence artificielle (dit EU AI Act). Dans le cadre de cette mission, nous collectons un minimum de données personnelles, et nous nous engageons à les traiter avec le plus grand respect de la réglementation européenne en vigueur, notamment le Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679) et la loi française Informatique et Libertés modifiée.

Cette politique s'applique à toute personne qui :

crée un compte sur AI Declare,
utilise le service en tant qu'utilisateur ajouté par un client (salarié d'une entreprise abonnée),
visite notre site web ou répond à nos formulaires (quiz, checklist, lead magnets),
nous contacte par email ou via un formulaire.

2. Responsable du traitement

Le responsable du traitement des données personnelles est la société Quai des Pecheurs SAS, exploitant le service AI Declare :

Quai des Pecheurs SAS Siège social : 15 quai des Pecheurs, 67000 Strasbourg, France SIRET : 93772411000013 Représentant légal : Nicolas Coulange Délégué à la protection des données (DPO) Email : nicolas.coulange@quai-des-pecheurs.eu

Pour toute question relative à cette politique ou à vos données personnelles, vous pouvez nous écrire à l'adresse ci-dessus ou par courriel à nicolas.coulange@quai-des-pecheurs.eu.

3. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service, à la génération de leads, à la facturation et à la conformité légale. Nous distinguons six catégories de données.

3.1 Données de compte

Lors de la création d'un compte utilisateur :

nom et prénom,
adresse email professionnelle,
mot de passe (stocké sous forme hachée, non réversible, avec l'algorithme Argon2id),
fonction dans l'entreprise (optionnel),
numéro de téléphone (optionnel).

3.2 Données d'organisation (client entreprise)

Lorsqu'une entreprise souscrit au service :

dénomination sociale,
adresse de facturation,
numéro SIRET,
numéro de TVA intracommunautaire si applicable,
secteur d'activité et taille de l'entreprise,
nom et email des contacts facturation et conformité.

3.3 Données d'usage du service

Données techniques générées par votre utilisation du service :

journaux de connexion (date, heure, adresse IP),
pages et fonctionnalités consultées,
actions réalisées dans l'outil (création, modification, suppression de systèmes IA, génération de documents, exports),
informations techniques sur votre appareil (navigateur, système d'exploitation, résolution d'écran),
piste d'audit horodatée (voir section 6.3).

3.4 Données métier saisies dans l'outil

Données que vous saisissez volontairement pour produire votre dossier de conformité AI Act : description des systèmes d'IA utilisés, réponses aux questionnaires, finalités et cas d'usage, fournisseurs d'IA utilisés, éléments de gouvernance, documents générés.

Ces données sont en principe des informations sur l'organisation, pas des données personnelles. Toutefois, elles peuvent occasionnellement contenir des données personnelles si l'utilisateur les saisit (par exemple le nom d'un salarié désigné comme responsable). Nous recommandons de ne saisir que les données strictement nécessaires.

3.5 Données de paiement

Pour les achats payants :

nom du titulaire de la carte,
4 derniers chiffres de la carte bancaire (affichage uniquement),
type de carte (Visa, Mastercard, etc.),
historique des factures (montant, date, formule).

Les données complètes de carte bancaire ne sont jamais stockées sur nos serveurs. Elles sont traitées directement par Stripe, certifié PCI-DSS niveau 1.

3.6 Données de prospection et formulaires de contact

Lorsque vous remplissez un formulaire sur notre site web (quiz AI Act, téléchargement de lead magnet, demande de contact), nous collectons :

votre adresse email (obligatoire),
le nom de votre entreprise (optionnel),
vos réponses aux questions du quiz,
le résultat calculé (niveau de risque A, B ou C) envoyé par email.

Ces données sont utilisées pour vous envoyer le contenu demandé, vous recontacter sur la conformité AI Act, et affiner nos contenus marketing. Vous pouvez vous désinscrire à tout moment via le lien présent dans chaque email.

4. Finalités et bases légales du traitement

Chaque traitement de vos données repose sur une base légale prévue par l'article 6 du RGPD.

Finalité	Base légale	Données concernées
Création et gestion du compte utilisateur	Exécution du contrat (art. 6.1.b)	Données de compte, organisation
Fourniture du service (inventaire, classification, documentation)	Exécution du contrat (art. 6.1.b)	Données d'usage, métier
Facturation et encaissement	Exécution du contrat + obligation légale	Données de paiement, organisation
Support client	Exécution du contrat (art. 6.1.b)	Données de compte, échanges
Traitement des leads (quiz, formulaires)	Consentement (art. 6.1.a)	Email, entreprise, réponses
Communications marketing (newsletter, offres)	Consentement (art. 6.1.a)	Email
Amélioration du service (statistiques agrégées)	Intérêt légitime (art. 6.1.f)	Données d'usage anonymisées
Prévention de la fraude et sécurité	Intérêt légitime + obligation légale	Données de connexion, piste d'audit
Conservation des preuves en cas de litige	Intérêt légitime (art. 6.1.f)	Données d'usage, piste d'audit
Respect des obligations comptables et fiscales	Obligation légale (art. 6.1.c)	Données de facturation

Vous pouvez à tout moment retirer votre consentement aux finalités qui en dépendent (quiz, marketing), sans que cela affecte la licéité des traitements déjà effectués.

5. Destinataires et sous-traitants

Vos données sont accessibles aux personnes habilitées suivantes :

les salariés d'AI Declare dans la limite stricte de leurs fonctions (équipe produit, support, facturation, conformité),
nos sous-traitants techniques, limités à l'exécution de leur mission.

Nous ne vendons, n'échangeons et ne louons jamais vos données à des tiers à des fins commerciales.

5.1 Liste des sous-traitants

Conformément à l'article 28 du RGPD, tous nos sous-traitants sont liés par un contrat comportant les garanties requises.

Sous-traitant	Finalité	Localisation
Hetzner Online GmbH	Hébergement de l'infrastructure	Allemagne (UE)
Netlify (Netlify Inc.)	Hébergement du site web vitrine et du quiz	UE (région Frankfurt)
Stripe Payments Europe Ltd	Traitement des paiements en ligne	Irlande (UE), clauses contractuelles types pour transferts
Mistral AI	Génération de documents de conformité	France (UE)
Resend Inc.	Emails transactionnels et marketing	Union européenne
Plausible Analytics	Mesure d'audience anonymisée	Union européenne
Sentry (Functional Software Inc.)	Détection et suivi des erreurs techniques	Union européenne (région EU)

Cette liste peut evoluer. Toute modification significative fera l'objet d'une mise a jour de la presente politique.

5.2 Transferts hors de l'Union europeenne

Par defaut, toutes vos donnees sont hebergees et traitees au sein de l'Union europeenne. L'infrastructure principale est localisee en Allemagne (Hetzner), l'intelligence artificielle de generation de documents est fournie par Mistral AI (France), le site web vitrine est servi depuis Netlify (region Frankfurt).

Certains de nos sous-traitants (notamment Stripe) peuvent occasionnellement transferer des donnees vers des pays tiers (etats-Unis). Ces transferts sont encadres par les clauses contractuelles types adoptees par la Commission europeenne (decision 2021/914), completees si necessaire par des mesures techniques supplementaires (chiffrement, pseudonymisation).

5.3 Intelligence artificielle et protection des donnees

AI Declare utilise Mistral AI pour generer certains documents de conformite. A cet egard :

les donnees transmises a Mistral AI restent dans l'Union europeenne (serveurs en France),
Mistral AI ne reutilise pas vos donnees pour entrainer ses modeles (engagement contractuel),
aucune donnee personnelle n'est transmise en clair inutilement : nous minimisons les donnees envoyees au modele,
vous gardez le controle : vous pouvez a tout moment ne pas utiliser les fonctionnalites de generation automatique.

6. Duree de conservation

Nous conservons vos donnees uniquement pendant la duree necessaire aux finalites pour lesquelles elles ont ete collectees (article 5.1.e du RGPD).

6.1 Donnees de compte et d'organisation: Pendant toute la duree de votre utilisation du service. Apres fermeture du compte : suppression definitive sous 30 jours, sauf obligations legales de conservation.
6.2 Donnees metier: Pendant toute la duree de votre utilisation. Export ou suppression a tout moment via l'interface. Apres fermeture : suppression sous 30 jours avec possibilite d'export prealable.
6.3 Piste d'audit: Formule Essentiel : 90 jours. Formule Pro : 1 an. Formule Business : conservation illimitee tant que le compte est actif.
6.4 Donnees de facturation: Conservation de 10 ans (obligations comptables et fiscales).
6.5 Donnees de connexion (logs): Conservation de 12 mois (article L.34-1 du Code des postes et des communications electroniques).
6.6 Donnees de prospection (quiz, formulaires): 3 ans a compter du dernier contact emis par le prospect (recommandation CNIL).

7. Vos droits

Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants :

Droit	Signification
Acces (art. 15)	Obtenir confirmation que nous traitons vos donnees et en recevoir une copie
Rectification (art. 16)	Corriger des donnees inexactes ou incompletes
Effacement (art. 17)	Obtenir la suppression de vos donnees (droit a l'oubli)
Limitation (art. 18)	Suspendre temporairement un traitement
Portabilite (art. 20)	Recuperer vos donnees dans un format structure et reutilisable
Opposition (art. 21)	Vous opposer a un traitement fonde sur l'interet legitime ou la prospection
Retrait du consentement	Retirer le consentement donne (marketing, cookies, quiz)
Decision automatisee (art. 22)	Demander une intervention humaine sur une decision automatisee

Comment exercer vos droits ?

Envoyez votre demande a l'adresse : nicolas.coulange@quai-des-pecheurs.eu. Nous pourrons vous demander une preuve d'identite en cas de doute raisonnable. Reponse sous un mois maximum, prolongeable de deux mois en cas de demande complexe (avec information prealable). Ces services sont gratuits, sauf demandes manifestement infondees ou excessives (article 12.5 du RGPD).

Reclamation aupres de la CNIL

Si vous estimez que le traitement de vos donnees n'est pas conforme a la reglementation, vous avez le droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes :

Commission Nationale de l'Informatique et des Libertes 3 Place de Fontenoy TSA 80715 75334 Paris Cedex 07 Telephone : 01 53 73 22 22 Site : www.cnil.fr

8. Securite des donnees

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees (article 32 du RGPD).

Mesures techniques

chiffrement des donnees au repos (AES-256) sur l'ensemble des bases,
chiffrement des donnees en transit (TLS 1.3),
hachage des mots de passe (Argon2id, non reversible),
isolation multi-tenant avec Row-Level Security au niveau de la base de donnees,
sauvegardes chiffrees quotidiennes, retention 30 jours,
surveillance et journalisation des acces administrateurs,
audits de securite reguliers, mises a jour appliquees sans delai.

Mesures organisationnelles

formation du personnel a la protection des donnees,
acces aux donnees base sur le principe du moindre privilege,
engagement de confidentialite signe par chaque collaborateur,
DPA signes avec tous les sous-traitants.

En cas de violation de donnees

Nous nous engageons a notifier la CNIL dans un delai de 72 heures (article 33 du RGPD), a vous informer dans les meilleurs delais lorsque la violation est susceptible d'engendrer un risque eleve (article 34), et a documenter la violation ainsi que les mesures prises.

9. Cookies et traceurs

Notre site et notre application utilisent des cookies et traceurs pour fonctionner correctement.

Categorie	Finalite	Duree	Consentement
Strictement necessaires	Authentification, session, securite	Session ou 13 mois max	Non
Mesure d'audience (Plausible)	Statistiques de frequentation anonymisees	24h	Non (exemption CNIL)
Fonctionnels	Memorisation de vos preferences	13 mois max	Oui
Marketing	Non utilises actuellement	—	Oui

Nous n'utilisons aucun cookie publicitaire ni de reciblage.

Lors de votre premiere visite, un bandeau vous permet d'accepter ou de refuser les cookies non strictement necessaires. Vous pouvez modifier vos choix a tout moment via le lien Gerer mes cookies en pied de page ou via les parametres de votre navigateur.

10. Donnees des mineurs

AI Declare est un service professionnel destine aux entreprises. Il n'est pas destine a etre utilise par des personnes mineures (moins de 18 ans). Nous ne collectons pas sciemment de donnees relatives a des mineurs. Si vous estimez qu'un mineur nous a transmis des donnees personnelles, merci de nous contacter pour que nous puissions les supprimer.

11. Modifications de la politique

Nous sommes susceptibles de modifier cette politique pour refleter des evolutions reglementaires, techniques ou des changements dans notre service. En cas de modification substantielle, la date de derniere mise a jour sera actualisee, les utilisateurs actifs seront informes par email au moins 30 jours avant l'entree en vigueur, et les modifications purement formelles peuvent etre apportees sans notification prealable.

12. Contact

Pour toute question relative a la presente politique, a l'exercice de vos droits ou a un signalement :

Delegue a la protection des donnees (DPO) Email : nicolas.coulange@quai-des-pecheurs.eu Courrier postal Quai des Pecheurs SAS 15 quai des Pecheurs 67000 Strasbourg, France

Nous nous engageons a vous repondre dans les meilleurs delais et au plus tard dans un mois.