Ce document détaille la politique de confidentialité de Dimarc, incluant la collecte, l'utilisation, le stockage et la protection des données personnelles
Mise à jour le 19/03/2026
1. Introduction
La présente Politique de Confidentialité décrit les pratiques de Dimarc SAS (SIREN 977 812 189), dont le siège social est situé au 11 AVENUE DE LA PETITE HOLLANDE, 59700 MARCQ-EN-BAROEUL, concernant la collecte, l’utilisation, le stockage, le partage et la protection des données personnelles de ses utilisateurs.
Cette politique s’applique à l’ensemble des services proposés via la plateforme app.dimarc.ai, incluant l’authentification, les agents virtuels et les intégrations tierces.
En utilisant nos services, vous acceptez les pratiques décrites dans ce document. Pour toute question, contactez notre DPO à dpo@dimarc.fr.
2. Données Collectées
2.1 Données d’inscription et d’authentification
Lors de la création de votre compte, nous collectons :
- Adresse e-mail : identifiant principal de votre compte
- Prénom et nom : affichage et personnalisation du service
- Identifiant fournisseur : identifiant technique attribué par Google ou Microsoft lors de l’authentification OAuth
2.2 Données issues de l’authentification Google
Lorsque vous vous connectez via Google, nous accédons exclusivement aux informations suivantes, contenues dans le jeton d’identification Google (ID Token) :
| Donnée Google | Utilisation Dimarc |
|---|---|
email | Identifiant du compte utilisateur |
given_name (prénom) | Affichage dans l’interface |
family_name (nom) | Affichage dans l’interface |
sub (identifiant Google) | Liaison entre votre compte Google et votre compte Dimarc |
Nous n’accédons pas à votre photo de profil, vos contacts, votre historique de recherche, ni à aucune autre donnée Google au-delà de celles listées ci-dessus lors de l’authentification.
2.3 Données issues de l’authentification Microsoft
Lorsque vous vous connectez via Microsoft, nous demandons les scopes openid, profile, email et User.Read. Les données suivantes sont récupérées via l’API Microsoft Graph (/me) :
| Donnée Microsoft | Utilisation Dimarc |
|---|---|
mail ou userPrincipalName | Identifiant du compte utilisateur |
givenName (prénom) | Affichage dans l’interface |
surname (nom) | Affichage dans l’interface |
id (identifiant Microsoft) | Liaison entre votre compte Microsoft et votre compte Dimarc |
Nous n’accédons pas à votre photo de profil, vos fichiers OneDrive, votre historique d’activité, ni à aucune autre donnée Microsoft au-delà de celles listées ci-dessus lors de l’authentification.
2.4 Données issues des intégrations e-mail et calendrier (optionnelles)
Si vous choisissez de connecter des services e-mail ou calendrier à vos agents Dimarc, des permissions supplémentaires sont demandées avec votre consentement explicite :
Intégration Gmail :
gmail.send: envoi d’e-mails au nom de l’agentgmail.modify: lecture et modification d’e-mailscontacts: accès aux contacts pour l’envoi d’e-mailsuserinfo.emailetuserinfo.profile: identification du compte connecté
Intégration Google Calendar :
calendar.readonly: lecture des événementscalendar.events: création et modification d’événementsuserinfo.emailetuserinfo.profile: identification du compte connecté
Intégration Outlook (Microsoft Mail) :
Mail.ReadetMail.ReadWrite: lecture et modification d’e-mailsMail.Send: envoi d’e-mails au nom de l’agentUser.Read: identification du compte connecté
Intégration Microsoft Calendar :
Calendars.ReadetCalendars.ReadWrite: lecture, création et modification d’événementsUser.Read: identification du compte connecté
Ces intégrations sont facultatives, activées individuellement par l’utilisateur, et révocables à tout moment depuis les paramètres de l’agent.
2.5 Données d’utilisation
- Interactions avec les agents virtuels (requêtes, réponses)
- Documents téléversés pour traitement par les agents
- Logs techniques (adresses IP, user-agent, horodatages)
2.6 Données de paiement
Les informations de paiement (numéro de carte, adresse de facturation) sont collectées et traitées exclusivement par Stripe. Dimarc ne stocke aucune donnée bancaire.
3. Utilisation des Données
3.1 Finalités principales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion de votre compte | Exécution du contrat |
| Fourniture des services d’agents IA | Exécution du contrat |
| Authentification et sécurité des sessions | Exécution du contrat |
| Intégrations e-mail et calendrier (Google, Microsoft) | Consentement explicite |
| Amélioration du service (données anonymisées) | Intérêt légitime |
| Communication de service (incidents, mises à jour) | Intérêt légitime |
3.2 Utilisation des données Google et Microsoft
Les données obtenues via Google OAuth et Microsoft OAuth sont utilisées exclusivement pour :
- Authentification : vérifier votre identité et créer/retrouver votre compte Dimarc
- Affichage : personnaliser l’interface avec votre prénom et nom
- Intégrations : exécuter les actions e-mail et calendrier demandées par vos agents, uniquement si vous avez activé ces intégrations
Dimarc n’utilise pas les données Google ou Microsoft pour :
- Afficher de la publicité
- Créer des profils marketing
- Entraîner des modèles d’intelligence artificielle
- Toute finalité autre que la fourniture directe du service
L’utilisation des données reçues des API Google est conforme à la Google API Services User Data Policy, y compris les exigences d’utilisation limitée (Limited Use).
L’utilisation des données reçues des API Microsoft est conforme aux Microsoft APIs Terms of Use.
4. Partage des Données
4.1 Sous-traitants
Dimarc partage des données personnelles avec les sous-traitants suivants, strictement dans le cadre de la fourniture du service :
| Sous-traitant | Données partagées | Localisation | Finalité |
|---|---|---|---|
| Scaleway | Toutes les données (hébergement) | France | Infrastructure cloud, LLM |
| Stripe | Nom, e-mail, adresse de facturation | États-Unis (CCT) | Traitement des paiements |
| HubSpot | Adresse e-mail | États-Unis (CCT) | CRM et communications |
CCT = Clauses Contractuelles Types approuvées par la Commission européenne
4.2 Données Google, Microsoft et tiers
Les données obtenues via Google OAuth et Microsoft OAuth ne sont pas partagées avec des tiers à des fins de publicité, d’analyse marketing ou de revente. Elles transitent uniquement par notre infrastructure hébergée chez Scaleway (France) pour le fonctionnement du service.
4.3 Obligations légales
Dimarc peut divulguer des données personnelles si la loi l’exige (décision de justice, réquisition judiciaire).
5. Stockage et Protection des Données
5.1 Localisation
L’ensemble des données personnelles est hébergé en France, sur l’infrastructure Scaleway (certifiée ISO/IEC 27001).
5.2 Mesures de sécurité techniques
- Chiffrement en transit : TLS 1.3 pour toutes les communications
- Chiffrement au repos : AES-256 pour les données stockées
- Authentification des sessions : tokens signés, expiration à 7 jours, validation du user-agent
- Tokens d’intégration (Google, Microsoft) : stockés chiffrés, rafraîchis automatiquement, révocables
- Sauvegardes : quotidiennes, conservation 30 jours
- Contrôle d’accès : RBAC (Role-Based Access Control)
- Journalisation : logs d’accès et d’audit
5.3 Mesures organisationnelles
- Formation du personnel à la protection des données
- Procédures de gestion des incidents
- Audit de sécurité régulier
5.4 Notification de violation
En cas de violation de données, Dimarc s’engage à :
- Notifier la CNIL sous 72 heures
- Informer les utilisateurs concernés dans les meilleurs délais
- Mettre en place les mesures correctives immédiates
6. Conservation et Suppression des Données
6.1 Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (email, nom, identifiant Google/Microsoft) | Durée de la relation contractuelle + 12 mois |
| Interactions avec les agents | 2 ans après la dernière activité |
| Tokens d’intégration (Gmail, Outlook, Calendriers) | Jusqu’à déconnexion de l’intégration par l’utilisateur |
| Logs techniques | 1 an |
| Données de facturation | 10 ans (obligation légale française) |
6.2 Suppression
À l’expiration des durées ci-dessus, les données sont supprimées ou anonymisées de manière irréversible.
En cas de suppression de compte :
- Les données personnelles sont supprimées sous 30 jours
- Les tokens d’intégration Google et Microsoft sont révoqués immédiatement
- Les données de facturation sont conservées selon l’obligation légale (10 ans)
6.3 Exercice de vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données personnelles
- Rectification : corriger des données inexactes
- Effacement : demander la suppression de vos données
- Limitation : restreindre le traitement de vos données
- Portabilité : recevoir vos données dans un format structuré
- Opposition : vous opposer au traitement de vos données
- Retrait du consentement : révoquer les intégrations Google et Microsoft à tout moment
Pour exercer ces droits, contactez-nous à dpo@dimarc.fr. Nous répondons sous 30 jours.
Vous pouvez également déposer une réclamation auprès de la CNIL : www.cnil.fr.
7. Révocation des accès Google et Microsoft
Vous pouvez à tout moment :
- Déconnecter une intégration (Gmail, Outlook, Google Calendar, Microsoft Calendar) depuis les paramètres de votre agent Dimarc. Les tokens d’accès sont immédiatement révoqués.
- Révoquer l’accès Dimarc depuis Google : Paramètres de sécurité Google.
- Révoquer l’accès Dimarc depuis Microsoft : Paramètres de confidentialité Microsoft.
- Supprimer votre compte Dimarc, ce qui entraîne la révocation de tous les tokens Google et Microsoft et la suppression de vos données.
8. Modifications de cette politique
Toute modification substantielle de cette politique sera communiquée par e-mail au moins 14 jours avant son entrée en vigueur. La poursuite de l’utilisation du service après notification vaut acceptation.
L’historique des modifications est disponible sur demande à dpo@dimarc.fr.
9. Contact
- DPO : dpo@dimarc.fr
- Support : contact@dimarc.fr
- Adresse : Dimarc SAS, 11 Avenue de la Petite Hollande, 59700 Marcq-en-Baroeul, France
Navigation
Pour une vue d’ensemble de tous nos documents légaux, consultez notre Plan du Site.