Aller au contenu
Documentation Dimarc

Traitements de Données RGPD

Ce document détaille les traitements de données personnelles effectués par Dimarc dans le cadre du RGPD

Mise à jour le 01/12/2025

1. Introduction

1.1 Objectif du Document

Ce document présente l’ensemble des traitements de données personnelles effectués par Dimarc, conformément aux exigences du Règlement Général sur la Protection des Données (RGPD).

1.2 Responsable de Traitement

Dimarc, en tant que responsable de traitement, s’engage à respecter les principes fondamentaux du RGPD :

  • Licéité, loyauté et transparence
  • Finalité déterminée
  • Minimisation des données
  • Exactitude
  • Limitation de la conservation
  • Intégrité et confidentialité
  • Responsabilité

2. Registre des Traitements

2.1 Traitement des Données Clients

  • Finalité : Gestion de la relation client et fourniture des services
  • Catégories de données :
    • Identité (nom, prénom)
    • Coordonnées (email)
    • Données de connexion
    • Historique des interactions
  • Base légale : Exécution du contrat
  • Durée de conservation : 3 ans après la fin de la relation contractuelle

2.2 Traitement des Données Utilisateurs

  • Finalité : Fourniture et amélioration des services d’IA
  • Catégories de données :
    • Données d’utilisation
    • Préférences
    • Interactions avec les agents virtuels
  • Base légale : Consentement et intérêt légitime
  • Durée de conservation : 2 ans après la dernière activité

2.3 Traitement des Données Techniques

  • Finalité : Sécurité et maintenance des systèmes
  • Catégories de données :
    • Logs techniques
    • Adresses IP
    • Données de performance
  • Base légale : Intérêt légitime
  • Durée de conservation : 1 an

3. Mesures de Sécurité

3.1 Mesures Techniques

  • Chiffrement des données en transit et au repos
  • Authentification forte
  • Journalisation des accès
  • Sauvegardes régulières
  • Protection contre les intrusions

3.2 Mesures Organisationnelles

  • Formation du personnel
  • Procédures de sécurité
  • Contrôles d’accès
  • Gestion des incidents

4. Droits des Personnes Concernées

4.1 Droits Applicables

  • Droit d’accès
  • Droit de rectification
  • Droit à l’effacement
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droit d’opposition

4.2 Procédure d’Exercice des Droits

Les personnes concernées peuvent exercer leurs droits en :

  • Contactant le DPO à contact@dimarc.fr
  • Utilisant le formulaire dédié sur notre site
  • Adressant une demande écrite

5. Services Tiers et Transferts de Données

5.1 Services d’Infrastructure Cloud

  • Hébergement et Services Cloud
    • Service : Scaleway
    • Localisation : France
    • Données concernées : Données clients, logs, configurations, bases de données, fichiers
    • Base légale : Exécution du contrat
    • Garanties : Conformité RGPD, chiffrement des données, certifications ISO/IEC 27001

5.2 Services d’IA et d’Analyse

  • Modèles de Langage

    • Service : Scaleway
    • Localisation : France
    • Données concernées : Requêtes utilisateurs, contexte des conversations
    • Base légale : Exécution du contrat
    • Garanties : Conformité RGPD, chiffrement des données, certifications ISO/IEC 27001

  • Modèles de Langage Mistral

    • Service : Mistral AI
    • Localisation : France
    • Données concernées : Requêtes utilisateurs, contexte des conversations
    • Base légale : Exécution du contrat
    • Garanties : Conformité RGPD, chiffrement des données

  • Base de Données Vectorielle - Documentation

    • Service : Qdrant self-hosted
    • Localisation : France
    • Données concernées : Vecteurs d’embeddings, métadonnées
    • Base légale : Exécution du contrat
    • Garanties : Conformité RGPD, chiffrement des données, contrôle total de l’infrastructure

5.3 Services de Communication et CRM

  • CRM et Marketing
    • Service : HubSpot
    • Localisation : États-Unis
    • Données concernées : Adresse mail client
    • Base légale : Exécution du contrat
    • Garanties : Clauses contractuelles types, conformité RGPD

5.4 Services de Paiement

  • Traitement des Paiements
    • Service : Stripe
    • Localisation : États-Unis
    • Données concernées : Données de paiement, informations de facturation (nom/prenom/adresse)
    • Base légale : Exécution du contrat
    • Garanties : Conformité PCI DSS, clauses contractuelles types

5.5 Mesures de Sécurité Globales

  • Pour tous les services :
    • Évaluation préalable des risques
    • Clauses contractuelles types (CCT) pour les transferts hors UE
    • Chiffrement des données sensibles
    • Contrôles d’accès stricts
    • Journalisation des accès
    • Révision annuelle des sous-traitants

5.6 Évaluation Préalable des Risques

5.6.1 Services d’Infrastructure

  • Risques identifiés :
    • Accès non autorisé aux données
    • Perte de disponibilité du service
    • Fuite de données
  • Mesures de mitigation :
    • Chiffrement des données au repos et en transit
    • Sauvegardes régulières
    • Monitoring 24/7
    • Contrôles d’accès basés sur les rôles (RBAC)
  • Impact résiduel : Faible

5.6.2 Services d’IA

  • Risques identifiés :
    • Perte de disponibilité du service
  • Mesures de mitigation :
    • Tests réguliers des modèles pour détecter les anomalie
    • Multiplication des noeuds hébergeant des LLM
  • Impact résiduel : Faible

5.6.5 Communication et CRM (HubSpot)

  • Risques identifiés :
    • Exposition des emails client
    • Utilisation non autorisée des données
    • Synchronisation des données
  • Mesures de mitigation :
    • Anonymisation des données non essentielles
    • Contrôles d’accès stricts
    • Synchronisation sécurisée
    • Audit régulier des accès
  • Impact résiduel : Moyen

5.6.6 Paiement (Stripe)

  • Risques identifiés :
    • Fraude
    • Exposition des données de paiement
    • Non-conformité PCI DSS
  • Mesures de mitigation :
    • Conformité PCI DSS
    • Détection de fraude en temps réel
    • Chiffrement des données de paiement
    • Audit régulier
  • Impact résiduel : Faible

5.7 Surveillance et Conformité

  • Monitoring des services :
    • Alertes automatiques en cas d’incident
    • Rapports réguliers de conformité
    • Mise à jour annuelle des clauses contractuelles
    • Documentation des transferts
    • Registre des sous-traitants

6. Violations de Données

6.1 Procédure de Notification

  • Détection
  • Évaluation
  • Notification à la CNIL
  • Information des personnes concernées

6.2 Mesures Correctives

  • Analyse de l’incident
  • Correction des vulnérabilités
  • Documentation
  • Prévention

7. Évaluation d’Impact

7.1 Critères d’Évaluation

  • Nature des données
  • Volume des données
  • Durée du traitement
  • Risques pour les droits et libertés

7.2 Procédure d’Évaluation

  • Analyse des risques
  • Mesures de mitigation
  • Documentation
  • Révision périodique

Contact

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données (DPO) à dpo@dimarc.fr.

Pour une vue d’ensemble de tous nos documents légaux, consultez notre Plan du Site.