Politique de confidentialité
Dernière mise à jour : 18 mai 2026
1. Préambule
Ghislain Levrat, entrepreneur individuel (micro-entreprise), accorde une importance capitale à la protection des données personnelles de ses utilisateurs et clients. La présente politique de confidentialité a pour objet de vous informer de manière transparente sur la façon dont vos données personnelles sont collectées, traitées et protégées dans le cadre de l'utilisation des services Escouade.
Cette politique s'applique à l'ensemble des sites et services exploités par Ghislain Levrat :
- escouade.io et ses sous-domaines (app.escouade.io, api.escouade.io, auth.escouade.io) — suite d'agents IA pour les professionnels
- prescriptio.fr — veille construction et marchés publics
Cette politique est rédigée en conformité avec le Règlement général sur la protection des données (RGPD — Règlement UE 2016/679) et la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée).
En utilisant nos services, vous reconnaissez avoir pris connaissance de la présente politique de confidentialité.
2. Responsable du traitement
Le responsable du traitement des données personnelles collectées via les services Escouade est :
- Nom : Ghislain Levrat
- Statut : Entrepreneur individuel (micro-entreprise)
- SIRET : 999 243 322 00016
- Adresse : 48 rue Centrale, 69960 Corbas
- Téléphone : 06 25 98 22 58
- Email : [email protected]
- Référent données personnelles (DPO) : [email protected]
Double rôle : responsable de traitement et sous-traitant
Ghislain Levrat agit en deux qualités distinctes selon le type de données concernées :
- Responsable de traitement pour les données collectées directement auprès des utilisateurs dans le cadre de la fourniture du service : données de compte, données de facturation, journaux de connexion, données d'utilisation du service.
- Sous-traitant pour les données que les utilisateurs saisissent dans le service dans le cadre de leur activité professionnelle (données CRM : contacts, entreprises, opportunités commerciales). Dans ce cas, l'utilisateur est lui-même responsable de traitement de ces données, et Ghislain Levrat les traite uniquement selon ses instructions et pour lui fournir le service. Un accord de traitement des données (Data Processing Agreement) est disponible sur demande à [email protected].
3. Données personnelles collectées
Dans le cadre de la fourniture de nos services, les catégories de données suivantes peuvent être collectées :
Données d'identification
- Nom, prénom, adresse email, numéro de téléphone, nom de l'entreprise, fonction
Données d'authentification
- Mot de passe (chiffré par hachage irréversible, jamais stocké en clair), jetons de session, cookies d'authentification
Données professionnelles (CRM)
- Contacts, entreprises, opportunités commerciales, tâches, événements calendrier saisis par l'utilisateur dans le cadre de son activité
Données de communication
- Contenus d'emails (si l'intégration Gmail est activée volontairement par l'utilisateur), transcriptions vocales, historique de conversations avec l'assistant IA
Données de facturation
- Informations de facturation (nom, email, adresse) transmises au prestataire de paiement (Mollie B.V.). Les données bancaires (numéro de carte, IBAN) ne sont ni stockées ni accessibles par Escouade — elles sont traitées directement et exclusivement par Mollie B.V.
Données techniques
- Adresse IP, type de navigateur (user-agent), journaux de connexion, pages consultées
Données d'utilisation
- Fonctionnalités utilisées, interactions avec le service, retours utilisateur (évaluations, pouces haut/bas), mesures de performance
Données liées à l'intelligence artificielle
- Messages envoyés à l'assistant IA, commandes vocales, contenus générés par l'IA (emails, résumés, analyses, suggestions d'actions)
4. Finalités et bases juridiques du traitement
Chaque traitement de données personnelles repose sur une base juridique valide au sens de l'article 6 du RGPD :
| Finalité | Base juridique (Art. 6 RGPD) |
|---|---|
| Fourniture et gestion du service (compte, accès, fonctionnalités) | Exécution du contrat (Art. 6.1.b) |
| Assistance IA (génération d'emails, suggestions, analyses) | Exécution du contrat (Art. 6.1.b) |
| Intégration Google (Gmail, Calendrier, Drive) activée par l'utilisateur | Consentement (Art. 6.1.a) |
| Facturation et gestion des paiements | Exécution du contrat (Art. 6.1.b) + Obligation légale (Art. 6.1.c) |
| Suivi des ouvertures et clics dans les emails marketing | Intérêt légitime (Art. 6.1.f) — mesure de performance des campagnes |
| Sécurité du service (journaux, détection d'anomalies, protection anti-bot) | Intérêt légitime (Art. 6.1.f) |
| Surveillance des erreurs et amélioration du service | Intérêt légitime (Art. 6.1.f) |
| Prospection commerciale B2B | Intérêt légitime (Art. 6.1.f) — conformément aux recommandations CNIL |
| Conservation des données de facturation | Obligation légale (Art. 6.1.c) — Code de commerce |
| Conservation des journaux de connexion | Obligation légale (Art. 6.1.c) — LCEN |
5. Intelligence artificielle et traitements automatisés
5.1 Fonctionnalités IA
Certaines fonctionnalités du service ont recours à l'intelligence artificielle pour rédiger des emails, résumer des réunions, analyser des données, proposer des actions ou interpréter des commandes vocales. Les utilisateurs sont clairement informés lorsqu'ils interagissent avec un système d'intelligence artificielle.
5.2 Contrôle humain (Human-on-the-Loop)
Les actions suggérées par l'intelligence artificielle sont soumises à validation humaine avant leur exécution. Aucune action critique n'est réalisée sans l'approbation préalable de l'utilisateur. Ce principe de supervision humaine est au cœur de l'architecture du service Escouade.
5.3 Contenus générés
Les contenus générés par l'intelligence artificielle (emails, résumés, analyses, suggestions) sont fournis à titre d'assistance. L'utilisateur demeure seul responsable de la relecture, de la validation et de l'utilisation de ces contenus. Escouade ne saurait être tenu responsable des contenus générés par l'IA et utilisés sans vérification préalable.
5.4 Données et entraînement
Les données des clients ne sont pas utilisées pour entraîner des modèles d'intelligence artificielle tiers. L'IA traite les données des clients uniquement pour leur fournir le service dans le cadre de leur propre utilisation. Des garanties contractuelles en ce sens sont exigées de nos fournisseurs de services d'intelligence artificielle.
5.5 Décisions automatisées (Art. 22 RGPD)
Le service ne prend pas de décisions entièrement automatisées produisant des effets juridiques ou affectant de manière significativement similaire les utilisateurs. Toutes les fonctionnalités d'intelligence artificielle sont des outils d'assistance placés sous supervision humaine.
5.6 Droit de contestation
Conformément à l'article 22 du RGPD, vous disposez du droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester toute décision ou suggestion assistée par l'intelligence artificielle. Pour exercer ce droit, contactez-nous à [email protected].
6. Destinataires et sous-traitants
Dans le cadre de la fourniture du service, certaines données personnelles peuvent être communiquées aux catégories de destinataires suivantes. Chaque sous-traitant a été sélectionné pour les garanties qu'il présente en matière de protection des données, et un contrat de sous-traitance conforme à l'article 28 du RGPD est conclu avec chacun d'eux.
| Sous-traitant | Rôle | Localisation | Données concernées |
|---|---|---|---|
| Scaleway SAS | Hébergement infrastructure et bases de données | France (Paris) | Toutes les données |
| Scaleway SAS | Service d'envoi d'emails transactionnels | France | Adresses email, contenus d'emails |
| Mollie B.V. | Traitement des paiements (carte bancaire, SEPA) | Pays-Bas (UE) | Données de facturation |
| Cloudflare, Inc. | Réseau de diffusion de contenu (CDN), protection contre les attaques (WAF, DDoS) | États-Unis / UE | Adresses IP, métadonnées de requête |
| Google LLC | Intégration Gmail, Calendrier, Drive (activée volontairement par l'utilisateur) | États-Unis | Données Google de l'utilisateur (emails, calendrier, fichiers) |
| Fournisseurs de services d'intelligence artificielle | Traitement du langage naturel, génération de contenu, analyse sémantique | États-Unis / International | Messages, requêtes textuelles (sans données d'identification directe lorsque possible) |
| Fournisseurs de services vocaux | Reconnaissance vocale (speech-to-text), synthèse vocale (text-to-speech) | États-Unis | Flux audio (traitement en temps réel) |
La liste complète et à jour des sous-traitants est disponible sur demande à [email protected].
7. Transferts de données hors de l'Union européenne
L'hébergement principal des données est assuré en France (région Paris) par un prestataire d'infrastructure français, sans transfert hors de l'Union européenne pour le stockage des données.
Certains sous-traitants techniques, notamment les fournisseurs de services d'intelligence artificielle et de reconnaissance vocale, peuvent traiter des données en dehors de l'Union européenne (principalement aux États-Unis). Ces transferts sont encadrés par les mécanismes suivants :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914) ;
- Le cadre EU-US Data Privacy Framework lorsque le sous-traitant est certifié auprès de ce programme.
Des mesures complémentaires de protection sont mises en œuvre :
- Minimisation des données transmises (suppression ou pseudonymisation des données d'identification directe lorsque c'est techniquement possible) ;
- Chiffrement des données en transit (TLS 1.2 minimum) ;
- Accords de confidentialité et de protection des données avec chaque sous-traitant.
Aucun transfert de données n'est effectué vers des pays ne disposant pas de garanties adéquates sans que des mesures de protection appropriées ne soient préalablement mises en place.
8. Durées de conservation
Les données personnelles ne sont conservées que le temps nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales applicables :
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Données du compte utilisateur | Durée du contrat + 3 ans après la résiliation | Prescription civile |
| Données CRM (contacts, opportunités) | Durée du contrat, puis suppression dans les 30 jours après résiliation | Contrat |
| Données de prospection commerciale | 3 ans à compter du dernier contact | Recommandation CNIL |
| Données de facturation | 10 ans | Obligation légale (Code de commerce, art. L123-22) |
| Journaux de connexion | 1 an | Obligation légale (LCEN) |
| Journaux d'erreurs applicatives | 14 jours | Intérêt légitime |
| Historique de conversations IA | Durée du contrat, puis suppression dans les 30 jours | Contrat |
| Enregistrements vocaux | Durée du contrat, puis suppression dans les 30 jours | Contrat |
| Cookies d'authentification | 30 jours (renouvelés à chaque connexion) | Fonctionnement du service |
| Données de suivi d'emails marketing | 3 ans | Intérêt légitime |
9. Cookies et traceurs
9.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas votre consentement conformément à la directive ePrivacy et aux recommandations de la CNIL :
- Cookie d'authentification (
escouade_sso) : permet le maintien de la session et l'authentification unique (SSO) entre les différents services Escouade. Durée : 30 jours, renouvelés à chaque connexion. Chiffré, HTTP-only, Secure. - Cookie de redirection (
sso_redirect_to) : cookie temporaire utilisé lors de la connexion pour rediriger l'utilisateur vers la page demandée. Durée : 10 minutes. - Cookies de sécurité (Cloudflare) : cookies déposés par notre prestataire de sécurité pour la détection de bots et la protection contre les attaques. Durée : variable (session à 30 minutes).
- Jeton de vérification (Cloudflare Turnstile) : utilisé sur la page de connexion pour distinguer les utilisateurs humains des robots automatiques. Traitement en temps réel, aucun cookie persistant.
9.2 Mesure d'audience auto-hébergée
Escouade utilise un système de mesure d'audience entièrement auto-hébergé. Aucune donnée n'est transmise à des services tiers d'analyse (pas de Google Analytics, Mixpanel ou équivalent). Les données collectées — pages consultées, interactions, mesures de performance — sont stockées exclusivement sur nos propres serveurs en France. Un identifiant de session anonyme est stocké dans le stockage de session du navigateur (sessionStorage) et est automatiquement supprimé à la fermeture de l'onglet.
9.3 Traceurs dans les emails marketing
Les emails marketing envoyés via le service peuvent contenir un pixel de suivi (image transparente de 1×1 pixel) permettant de mesurer le taux d'ouverture. Les liens contenus dans les emails marketing peuvent être redirigés via notre service pour mesurer le taux de clic. Ces traceurs sont utilisés exclusivement à des fins de mesure de performance des campagnes. Vous pouvez vous désinscrire à tout moment via le lien de désinscription présent dans chaque email.
9.4 Absence de cookies publicitaires
Aucun cookie publicitaire ni de ciblage comportemental n'est utilisé sur nos sites. Aucun service tiers de publicité, de retargeting ou de suivi inter-sites n'est intégré.
10. Sécurité des données
Ghislain Levrat met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre toute perte, destruction, altération, accès ou divulgation non autorisés, notamment :
- Hébergement en France (région Paris) auprès d'un prestataire d'infrastructure français certifié
- Chiffrement de toutes les communications en transit (TLS 1.2 minimum)
- Chiffrement au repos des données sensibles (AES-256-GCM pour les jetons d'intégration tierce)
- Mots de passe chiffrés par hachage irréversible — jamais stockés en clair
- Isolation stricte des données multi-tenant : séparation par organisation, chaque utilisateur n'accède qu'à ses propres données
- Contrôle d'accès strict et journalisation des opérations
- Protection contre les attaques par déni de service et les bots (pare-feu applicatif WAF, limitation de débit, challenge Cloudflare)
- Sauvegardes quotidiennes chiffrées avec rétention 30 jours
- Surveillance continue des erreurs et des performances via des outils auto-hébergés
- Authentification auto-hébergée — aucune dépendance à un service tiers d'authentification pour les sessions utilisateurs
Malgré ces mesures, aucun système de sécurité n'est infaillible. En cas d'incident de sécurité susceptible d'affecter vos données, vous en serez informé conformément aux obligations légales (voir section 12).
11. Vos droits
Conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès (Art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et, le cas échéant, en obtenir une copie ainsi que des informations sur les modalités du traitement.
- Droit de rectification (Art. 16 RGPD) : obtenir la correction de données inexactes ou incomplètes vous concernant.
- Droit à l'effacement (Art. 17 RGPD) : obtenir la suppression de vos données personnelles dans les cas prévus par la loi (notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées).
- Droit à la limitation du traitement (Art. 18 RGPD) : obtenir la restriction du traitement de vos données dans certaines situations (contestation de l'exactitude des données, traitement illicite, etc.).
- Droit à la portabilité (Art. 20 RGPD) : recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON), et les transmettre à un autre responsable de traitement lorsque le traitement est fondé sur le contrat ou le consentement.
- Droit d'opposition (Art. 21 RGPD) : vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement de vos données fondé sur l'intérêt légitime. Vous pouvez également vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale.
- Droit de ne pas faire l'objet d'une décision automatisée (Art. 22 RGPD) : aucune décision entièrement automatisée produisant des effets juridiques ou vous affectant de manière significativement similaire n'est prise dans le cadre de nos services. Toutes les fonctionnalités IA sont des outils d'assistance placés sous supervision humaine.
- Droit de retrait du consentement : lorsque le traitement est fondé sur votre consentement (notamment l'intégration Google), vous pouvez retirer ce consentement à tout moment, sans que cela remette en cause la licéité du traitement effectué antérieurement.
Comment exercer vos droits
Pour exercer l'un de ces droits, adressez votre demande par email à [email protected] ou [email protected], en joignant une copie d'un justificatif d'identité. Votre demande sera traitée dans un délai d'un mois à compter de sa réception (délai prorogeable de deux mois supplémentaires pour les demandes complexes, avec information préalable). L'exercice de ces droits est gratuit.
12. Notification des violations de données
En cas de violation de données personnelles présentant un risque pour les droits et libertés des personnes concernées, Ghislain Levrat notifie la Commission nationale de l'informatique et des libertés (CNIL) dans les 72 heures suivant la découverte de la violation, conformément à l'article 33 du RGPD.
En cas de risque élevé pour les droits et libertés des personnes concernées, celles-ci sont informées dans les meilleurs délais, conformément à l'article 34 du RGPD.
Un registre interne des violations de données est tenu et mis à jour conformément aux obligations légales.
13. Données des mineurs
Le service Escouade est exclusivement destiné aux professionnels et aux personnes majeures. Il n'est pas conçu pour être utilisé par des personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous êtes un parent ou tuteur légal et avez connaissance qu'un mineur sous votre responsabilité nous a fourni des données personnelles, contactez-nous à [email protected] afin que nous procédions à leur suppression.
14. Modifications de la politique
La présente politique de confidentialité peut être mise à jour pour refléter les évolutions légales, réglementaires ou liées au service. La date de dernière mise à jour figurant en tête de page est modifiée à chaque révision.
Pour tout changement substantiel affectant vos droits ou la façon dont vos données sont traitées, vous en serez informé par email au moins 30 jours avant l'entrée en vigueur des modifications. La poursuite de l'utilisation du service après notification vaut acceptation des nouvelles conditions.
Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles mises à jour.
15. Contact et réclamation
Exercer vos droits ou poser une question
- Par email : [email protected] ou [email protected]
- Par courrier : Ghislain Levrat, 48 rue Centrale, 69960 Corbas
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
- Commission nationale de l'informatique et des libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr
Résolution en ligne des litiges (UE)
Conformément au Règlement (UE) n° 524/2013, la Commission européenne met à disposition une plateforme de règlement en ligne des litiges (ODR) pour les consommateurs et les professionnels de l'Union européenne : https://ec.europa.eu/consumers/odr.
Documents connexes : Mentions légales — Conditions générales de vente et d'utilisation
Cette politique de confidentialité est conforme au Règlement général sur la protection des données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée).