Politique de confidentialité
Dernière mise à jour : 7 mai 2026 (rc87 v2 · refonte exhaustive : ajout DPO phasé, Engagement souverain, Procédure violations 72h, Modifications, AI Act + DORA)
1. Responsable du traitement
OGMA Systems · Florian Andreani, Fondateur
83000 Toulon, France
Email général : contact@ogma-ai.fr
Statut juridique et SIRET : à compléter post-validation administrative
OGMA Systems agit en qualité de responsable de traitement au sens de l’article 4(7) du Règlement (UE) 2016/679 (« RGPD ») pour l’ensemble des traitements de données personnelles décrits dans la présente politique. Pour les Agents privés OGMA déployés chez nos Clients professionnels, OGMA Systems agit en qualité de sous-traitant au sens de l’article 4(8) RGPD, dans le cadre d’un Accord de Traitement des Données (DPA) signé entre OGMA Systems et le Client.
2. Délégué à la protection des données (DPO)
OGMA Systems a désigné un Délégué à la Protection des Données (DPO) interne conformément à l’article 37 RGPD :
- Nom : Florian Andreani
- Email DPO : dpo@ogma-ai.fr
- Adresse postale : 83000 Toulon, France
- Numéro de désignation CNIL : à renseigner post-déclaration formelle (mai-juin 2026)
Le DPO est votre point de contact unique pour toute question relative au traitement de vos données personnelles, à l’exercice de vos droits, ou à toute préoccupation concernant la conformité d’OGMA Systems au RGPD.
Phasage de la fonction DPO : OGMA Systems applique un phasage en deux temps. Phase 1 (moins de 50 clients) · Florian Andreani exerce la fonction de DPO interne. Phase 2 (à partir de 50 clients) · OGMA Systems basculera sur un DPO externe certifié AFNOR ou CNIL pour renforcer l’indépendance de la fonction conformément à l’article 38 RGPD. Cette transition sera annoncée dans une mise à jour de la présente politique.
3. Engagement souverain OGMA Systems
OGMA Systems se positionne comme une Conciergerie IA sur mesure souveraine, hébergée intégralement en France et en Union européenne. Cet engagement souverain se traduit par :
- Hébergement principal en France · Scaleway SAS (entité française, datacenters Paris & Lille)
- Inférence intelligence artificielle souveraine · Mistral AI (siège France, endpoints UE) ou modèles open-weight auto-hébergés sur infrastructure française
- Analytics web cookieless · Plausible Analytics (Plausible Insights OÜ Estonie · UE · hébergement Hetzner Allemagne · UE)
- Email transactionnel · Proton AG (Suisse, sous décision d’adéquation européenne)
- Aucun transfert systématique de vos données vers des pays hors Union européenne
- Politique privacy-by-default · minimisation systématique, pseudonymisation par défaut, pas de cookies analytics tiers, pas de tracking comportemental cross-site
L’unique exception à cet engagement souverain concerne le pare-feu applicatif Wordfence (Defiant Inc., États-Unis), strictement limité à la sécurité technique du site, sans transfert de données personnelles de visiteurs. Cette exception fait l’objet d’une analyse d’impact des transferts (Transfer Impact Assessment) conforme aux Recommandations 01/2020 du Comité européen de la protection des données · disponible sur demande à dpo@ogma-ai.fr.
4. Données collectées
Nous collectons uniquement les données strictement nécessaires dans le cadre de nos services :
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom | Identification du demandeur | Exécution pré-contractuelle (art. 6.1.b) |
| Email professionnel | Communication, envoi du récapitulatif | Exécution pré-contractuelle (art. 6.1.b) |
| Téléphone | Prise de rendez-vous audit | Exécution pré-contractuelle (art. 6.1.b) |
| Entreprise, fonction | Contextualisation de l’audit | Intérêt légitime (art. 6.1.f) |
| Description du projet | Préparation de l’audit | Exécution pré-contractuelle (art. 6.1.b) |
| Données de navigation anonymisées (URL visitée, source de trafic, pays · sans identifiant persistant) | Mesure d’audience cookieless via Plausible Analytics (Plausible Insights OÜ, Estonie · UE · hébergement Hetzner Allemagne · UE) | Exemption CNIL Recommandation Mesure d’audience 2024 (5 critères cumulés satisfaits) |
5. Traitement par intelligence artificielle (AI Act 2024/1689)
Conformément au RGPD et à l’AI Act (Règlement (UE) 2024/1689 entré en application progressive depuis le 2 août 2024) :
- Aucune donnée collectée via ce site n’est traitée par un système d’IA.
- Les systèmes d’IA déployés pour nos clients traitent des données dans l’environnement technique du client, sous son contrôle exclusif.
- Aucune décision automatisée au sens de l’article 22 du RGPD n’est appliquée via ce site.
- Conformité AI Act 2024/1689 · pour les Agents privés OGMA déployés chez nos Clients, OGMA Systems agit en qualité de fournisseur (« provider ») au sens de l’article 3.3 ; le Client agit en qualité de déployeur (« deployer ») au sens de l’article 3.4. Pour les interactions conversationnelles directes avec des personnes physiques, OGMA Systems applique l’article 50 (transparence des chatbots) qui devient pleinement applicable le 2 août 2026.
- AI literacy article 4 AI Act · Florian Andreani et tout futur collaborateur OGMA suivent un programme de formation continue à l’IA et au RGPD (MOOC L’Atelier RGPD CNIL · veille mensuelle EDPB/CNIL · spécialisations DORA pour FinTech).
Conformité DORA 2022/2554 pour Clients FinTech · pour nos Clients qualifiés d’entités financières au sens du Règlement (UE) 2022/2554 (DORA), entré en application le 17 janvier 2025, OGMA Systems applique les obligations spécifiques aux prestataires de services TIC critiques visées aux articles 28-30 DORA, incluant la notification des incidents TIC majeurs dans les 4 heures, la coopération avec les autorités de supervision (ACPR, AMF, EBA), une stratégie de sortie documentée, et un registre TIC à jour.
6. Destinataires et sous-traitants RGPD (article 28)
Vos données sont accessibles uniquement aux entités suivantes, toutes liées à OGMA Systems par un accord de sous-traitance (DPA) :
| Sous-traitant | Finalité | Localisation | Données concernées |
|---|---|---|---|
| Florian Andreani · OGMA Systems (responsable du traitement) | Réponse à vos demandes, audit, suivi commercial | France (Toulon) | Toutes données de contact |
| Scaleway SAS | Hébergement du site web, base de données, sauvegardes | France (Paris & Lille · DPA signé) | Formulaires soumis, données de session site |
| Plausible Insights OÜ (Plausible Analytics) | Mesure d’audience cookieless du site | Estonie (UE) · hébergement Hetzner Online GmbH Allemagne (UE) · DPA Plausible RGPD-conforme | Données de navigation strictement cookieless (URL visitée, source de trafic, type d’appareil, pays · sans cookie ni identifiant persistant) |
| UpdraftPlus + Google LLC | Sauvegardes chiffrées du site | France & UE (Google Workspace EU). Sauvegardes elles-mêmes chiffrées AES-256 avant transfert. | Snapshot complet du site (incluant base de données chiffrée) |
| Proton AG (Proton Calendar Bookings) | Réservation en ligne du créneau d’audit (calendrier sécurisé) | Suisse · pays bénéficiant d’une décision d’adéquation de la Commission européenne (Décision 2000/518/CE confirmée 2023). Chiffrement bout-en-bout natif Proton, DPA RGPD-conforme. | Identité de la personne réservant (nom, email professionnel), horaire choisi · données saisies directement sur l’interface Proton, jamais transmises depuis ogmasystems.ogma-ai.fr |
Aucune donnée n’est transmise à des tiers commerciaux, partenaires publicitaires, courtiers en données ou réseaux sociaux. Aucun croisement n’est effectué entre les sous-traitants.
7. Transferts hors UE et pays adéquats
Aucun transfert de données personnelles vers un pays sans garantie de protection adéquate.
Vos données sont traitées exclusivement au sein de l’Espace Économique Européen (EEE) ou dans des pays bénéficiant d’une décision d’adéquation de la Commission européenne (art. 45 RGPD, niveau de protection équivalent au RGPD garanti) :
- Site web et formulaires · France (Scaleway, datacenters Paris & Lille) · EEE
- Mesure d’audience Plausible Analytics cookieless · Estonie (Plausible Insights OÜ, UE) · hébergement Hetzner Online GmbH Allemagne (UE) · EEE
- Sauvegardes · UE (Google Workspace EU), chiffrement AES-256 avant transfert (clé sous contrôle OGMA Systems) · EEE
- Calendrier de réservation Proton · Suisse (Proton AG) · pays bénéficiant d’une décision d’adéquation de la Commission européenne (Décision 2000/518/CE révisée et confirmée en 2023). Chiffrement bout-en-bout natif Proton.
Aucune donnée ne transite par des serveurs soumis au Cloud Act américain ou à toute autre juridiction extra-européenne sans niveau de protection adéquat. Tous les sous-traitants sont liés par des DPA conformes art. 28 RGPD.
8. Durée de conservation
| Donnée | Durée de conservation |
|---|---|
| Formulaire audit (prospects non-clients) | 12 mois après le dernier contact |
| Données clients (contrat actif) | Durée du contrat + 3 ans (prescription) |
| Données de navigation cookieless (Plausible Analytics) | 24 mois (agrégats anonymes · sans identifiant) |
| Factures et données comptables | 10 ans (obligation légale) |
9. Vos droits (articles 15 à 22 du RGPD)
Vous disposez des droits suivants :
- Droit d’accès (art. 15) · Obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) · Corriger des données inexactes
- Droit à l’effacement (art. 17) · Supprimer vos données (« droit à l’oubli »)
- Droit à la limitation (art. 18) · Restreindre le traitement
- Droit à la portabilité (art. 20) · Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d’opposition (art. 21) · S’opposer au traitement fondé sur l’intérêt légitime ou sur la mesure d’audience exemptée
- Droit de retrait du consentement (art. 7.3) · Retirer à tout moment un consentement précédemment donné, aussi simplement qu’il a été recueilli
Pour exercer vos droits : dpo@ogma-ai.fr (DPO) ou contact@ogma-ai.fr. Délai de réponse : 1 mois maximum (article 12.3 RGPD), prorogeable de 2 mois en cas de complexité avec notification motivée. Délai opérationnel cible OGMA : 7 jours ouvrés.
OGMA Systems peut, en cas de doute raisonnable sur l’identité de la personne présentant une demande, demander des informations supplémentaires nécessaires à la vérification d’identité (article 12.6 RGPD). Cette pièce justificative est immédiatement supprimée après vérification.
10. Droit d’introduire une réclamation auprès de la CNIL
Conformément aux articles 13.2.d et 14.2.e du RGPD, OGMA Systems vous informe systématiquement de votre droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD :
- Adresse postale : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
- Plainte en ligne : www.cnil.fr/fr/plaintes
- Site web : www.cnil.fr
- Téléphone : 01 53 73 22 22 (du lundi au jeudi 9h-18h, vendredi 9h-16h45)
Indépendamment de ce droit de réclamation, vous disposez d’un droit à un recours juridictionnel effectif contre toute décision d’OGMA Systems vous concernant (article 79 RGPD), ainsi que d’un droit à réparation civile (article 82 RGPD).
11. Cookies & mesure d’audience
Pour le détail complet de notre politique cookies, consultez notre page dédiée Politique cookies.
Plausible Analytics · Mesure d’audience strictement cookieless
Nous utilisons Plausible Analytics en configuration strictement cookieless (sans aucun cookie ni identifiant persistant), conformément aux lignes directrices de la CNIL (Délibération n° 2020-091 modifiée et Recommandation Mesure d’audience 2024). Cette configuration est exemptée de consentement préalable car elle remplit toutes les conditions cumulatives suivantes :
- Aucun cookie ni autre traceur n’est déposé sur votre terminal
- Aucun identifiant persistant ni fingerprinting · pseudonymisation immédiate de l’IP côté serveur
- Données traitées par Plausible Insights OÜ (Plausible Analytics) en Estonie (UE) · hébergement physique chez Hetzner Online GmbH en Allemagne (UE) · DPA conforme art. 28 RGPD signé
- Aucun croisement de données avec d’autres services
- Aucun partage avec des tiers commerciaux, publicitaires ou réseaux sociaux
- Statistiques agrégées anonymes uniquement · pas de suivi cross-site
- Finalité strictement limitée à la mesure d’audience pour le seul exploitant du site OGMA Systems
Détail des données collectées (transparence art. 13 RGPD) :
- Pages vues anonymes · URL visitée, page de provenance (referrer), terminal (mobile/desktop), navigateur, langue, pays d’origine (niveau pays uniquement, sans ville)
- Pseudonymisation IP · l’adresse IP est hashée immédiatement côté serveur avec rotation cryptographique quotidienne du sel · jamais stockée en clair · aucun identifiant individuel persistant
Aucune donnée personnelle saisie dans nos formulaires n’est transmise à Plausible Analytics. Les événements d’interaction sont anonymes et agrégés et servent uniquement à mesurer l’efficacité du site (taux de clic, friction, parcours).
Droit d’opposition · Vous pouvez vous opposer à tout moment à la mesure d’audience en activant l’option « Do Not Track » de votre navigateur ou en nous contactant à contact@ogma-ai.fr. Aucun pénalité d’usage du site ne s’applique en cas d’opposition.
Aucun autre traceur (Google Analytics, Facebook Pixel, retargeting, etc.) n’est utilisé sur ce site.
12. Sécurité de vos données (article 32 RGPD)
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement TLS 1.3 obligatoire pour toutes les communications · HSTS preload
- Chiffrement AES-256 pour les données au repos et les sauvegardes
- Accès restreint aux données (principe du moindre privilège)
- Sauvegardes chiffrées quotidiennes (UpdraftPlus + Google Workspace EU)
- Pare-feu applicatif (Wordfence) + protection brute-force + 2FA admin obligatoire
- Mises à jour de sécurité appliquées sous 48h
- Politique de mots de passe robustes + rotation des secrets
- CSP enforce (Content Security Policy) avec nonces dynamiques + Mozilla Observatory A+ vérifié
- Logs techniques limités à 6 mois maximum (Référentiel sécurité CNIL juin 2018)
13. Procédure en cas de violation de données (articles 33-34 RGPD)
En cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, OGMA Systems applique la procédure suivante :
- Notification CNIL sous 72 heures (article 33 RGPD) · via le portail officiel notifications.cnil.fr avec scoring de gravité méthodologie EDPB/ENISA (Severity = DPC × CB + EI)
- Notification des personnes concernées (article 34 RGPD) si risque élevé · par email direct, sans délai et avec information claire et concise
- Documentation interne de toute violation, même non notifiable, conservée pour audit CNIL (article 33.5 RGPD)
- Délai contractuel sous-traitant · pour les Clients dont OGMA est sous-traitant, notification au Client sous 24 heures à compter de la prise de connaissance (cohérence DORA pour FinTech : 4 heures pour incidents TIC majeurs)
14. Modifications de la politique de confidentialité
OGMA Systems se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour :
- Refléter une évolution réglementaire (RGPD, AI Act, DORA, ePrivacy Regulation européenne)
- Intégrer un nouveau sous-traitant ou un nouveau service tiers
- Améliorer la précision des informations fournies
- Refléter une nouvelle décision CNIL ou EDPB
Toute modification substantielle fera l’objet d’une notification claire (bannière en page d’accueil minimum 30 jours · mise à jour de la date d’application en en-tête · email de notification aux personnes ayant manifesté leur consentement si applicable). La date de dernière mise à jour figure en en-tête de la présente politique.
Révision annuelle obligatoire · la présente politique fait l’objet d’une revue annuelle systématique par le DPO OGMA, en plus des revues ponctuelles déclenchées par les événements ci-dessus.