Politique de confidentialité et de protection des données à caractère personnel
Dernière mise à jour :
Insign, dont le siège social est situé au 7, rue de la République 69001 Lyon, en sa qualité de responsable de traitement, porte un intérêt à la protection des données à caractère personnel et de la vie privée de toute personne qui accède à notre écosystème digital.
La présente politique vise à vous informer, conformément au Règlement n°2016-679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 modifiée relative à l'informatique, aux fichiers et aux libertés, de nos pratiques concernant la collecte, l'utilisation et le partage des informations que vous êtes amené(e) à nous fournir lors de l'utilisation de notre outil "Mon Diagnostic AI Act".
Cette politique a pour but de vous informer sur les catégories de données personnelles que nous pourrions recueillir ou détenir sur vous, comment nous les utilisons, avec qui nous les partageons, comment nous les protégeons, et les droits dont vous disposez sur vos données personnelles.
En poursuivant votre utilisation du diagnostic, vous reconnaissez avoir pris connaissance de la présente politique.
Qui collecte les données à caractère personnel ?
Vos données à caractère personnel sont collectées par Insign, 7 rue de la République 69001 Lyon, SAS enregistrée sous le numéro SIREN 524347945 au registre du commerce et des sociétés de Lyon.
Insign a nommé une équipe dédiée à la protection des données personnelles joignable à l'adresse suivante : rgpd@insign.fr.
Quelles sont les données à caractère personnel collectées ?
La notion de « données à caractère personnel » désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement.
Dans le cadre du diagnostic AI Act, les catégories de données collectées sont les suivantes :
| Catégorie | Données concernées |
|---|---|
| Données d'identification | Nom, prénom, adresse e-mail |
| Vie professionnelle | Entreprise, secteur d'activité, taille de l'entreprise |
| Données du diagnostic | Outils d'intelligence artificielle utilisés, niveau de maturité IA déclaré, rôle vis-à-vis de l'IA (déployeur ou fournisseur), réponses au questionnaire de conformité, score de conformité estimé |
Lors de la collecte, vous êtes informé(e) si certaines données doivent être obligatoirement renseignées ou si elles sont facultatives. Les données identifiées par un astérisque au sein du formulaire sont obligatoires. À défaut, l'exécution du diagnostic pourra être restreinte.
Quand collectons-nous vos données personnelles ?
Vos données à caractère personnel sont collectées de manière explicite et transparente, uniquement lorsque vous réalisez un diagnostic de conformité au Règlement européen sur l'IA via l'outil "Mon Diagnostic AI Act".
Pour quelles finalités vos données sont-elles collectées ? Quelle est la base juridique du traitement ?
La collecte et le traitement de vos données à caractère personnel ne sont possibles que pour des finalités précises, explicites et légitimes. Insign s'engage à ne collecter et traiter que des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
| Finalité | Base légale |
|---|---|
| Réaliser le diagnostic AI Act et vous adresser le rapport associé | Consentement |
| Vous recontacter au sujet de nos services d'accompagnement à la conformité IA | Consentement |
| Amélioration de l'outil de diagnostic (statistiques anonymisées) | Intérêt légitime |
Qui sont les destinataires de vos données à caractère personnel ?
Les données collectées sont destinées à Insign en sa qualité de responsable de traitement.
Insign s'engage à ne pas vendre, louer ou céder vos données à caractère personnel à des tiers, sans votre accord préalable et exprès.
Dans le cadre du fonctionnement du diagnostic AI Act, nous travaillons avec deux sous-traitants techniques :
- Make.com, plateforme d'automatisation utilisée pour la transmission sécurisée des données du formulaire de diagnostic vers notre base de prospection. Siège social en République tchèque (Union européenne).
- Airtable Inc., prestataire d'hébergement de notre base de données prospection associée au diagnostic AI Act. Siège social aux États-Unis. Le transfert de données vers cette société est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne, conformément à l'article 46 du RGPD.
Ces sous-traitants n'agissent que conformément à nos instructions et sont contractuellement tenus d'assurer un niveau de sécurité et de confidentialité de vos données identique au nôtre.
Vos données sont-elles transférées en dehors de l'Union européenne ?
Oui, partiellement. Les données collectées via le formulaire de diagnostic AI Act sont transférées vers les serveurs de notre prestataire Airtable Inc., situés aux États-Unis, aux fins d'hébergement de notre base prospection.
Ce transfert est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne dans sa décision 2021/914 du 4 juin 2021, garantissant un niveau de protection adéquat au sens de l'article 46 du RGPD.
Vous pouvez à tout moment demander la communication des garanties associées à ce transfert en écrivant à dpo@insign.fr.
Quelle est la durée de conservation de vos données ?
Insign conserve vos données à caractère personnel dans un environnement sécurisé pendant la durée nécessaire à la réalisation des finalités du traitement, conformément aux recommandations de la CNIL.
| Finalité | Durée de conservation |
|---|---|
| Diagnostic AI Act et suivi commercial associé | 3 ans après le dernier contact |
| Statistiques d'usage de l'outil (anonymisées) | 12 mois |
Comment vos données sont-elles protégées ?
Insign prend des mesures de protection techniques et organisationnelles pour assurer la confidentialité et la sécurité des données à caractère personnel vous concernant et empêcher que ces dernières ne soient modifiées, endommagées, effacées ou que des tiers non autorisés y aient accès.
Seuls les personnels habilités en raison de leurs fonctions ont la possibilité d'accéder à vos données personnelles. Ils sont par ailleurs tenus à une obligation de confidentialité.
Les transferts de données entre le navigateur de l'utilisateur et nos prestataires sont chiffrés (HTTPS / TLS). Les calculs du diagnostic sont effectués côté navigateur, aucune réponse intermédiaire n'est stockée sur nos serveurs.
En cas de violation de vos données personnelles, Insign a l'obligation de la notifier à l'autorité de contrôle compétente (CNIL) et de vous informer, dans les meilleurs délais, de toute violation susceptible d'engendrer un risque élevé pour vos droits et libertés.
Quels sont vos droits et comment les exercer ?
Conformément à la réglementation applicable, vous disposez :
- D'un droit d'accès à vos données
- D'un droit de rectification
- D'un droit à l'effacement (« droit à l'oubli »)
- D'un droit à la limitation du traitement
- D'un droit d'opposition au traitement
- D'un droit à la portabilité de vos données
- Du droit de retirer votre consentement à tout moment
- Du droit de définir des directives post mortem
Vous pouvez exercer ces droits, à tout moment, par e-mail à l'adresse suivante : dpo@insign.fr.
Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) ou d'une autorité de protection des données d'un État membre de l'Union européenne.
Cookies et traceurs
L'outil "Mon Diagnostic AI Act" n'utilise aucun cookie ni traceur. Aucune donnée n'est stockée localement sur votre navigateur en dehors de la durée de la session.
Protection des données des mineurs
L'outil n'est pas destiné aux mineurs de moins de 15 ans. Si vous êtes mineur(e) et avez transmis des données vous concernant, vous garantissez avoir obtenu l'autorisation préalable de l'un de vos parents ou tuteurs.
Modifications de la présente politique
Insign se réserve le droit de modifier la présente politique à tout moment, notamment afin de se conformer à toute évolution réglementaire, jurisprudentielle, éditoriale ou technique. Le cas échéant, cette modification sera signalée sur cette page et sera effective dès sa publication. La date de mise à jour sera indiquée en entête.
Contacter Insign
Pour toute remarque ou question relative à ce document, pour faire valoir vos droits, ou pour toute demande relative à vos données personnelles, vous pouvez écrire à :
- par e-mail : dpo@insign.fr
- par courrier postal : INSIGN SAS, 7 rue de la République, 69001 Lyon
Pour toute information sur la protection des données à caractère personnel, vous pouvez également consulter le site de la Commission Nationale de l'Informatique et des Libertés (CNIL).