Politique de confidentialité
Notice explicative sur la collecte, le traitement et la protection de vos données personnelles conformément au Règlement Général sur la Protection des Données (UE 2016/679).
Dernière mise à jour : 17 mars 2026
Responsable du traitement
Le responsable du traitement des données est :
- Raison sociale : Livodit AI
- Siège social : France
- Contact DPO : dpo@livodit.ai
- Contact général : contact@livodit.ai
Conformément au RGPD (articles 13 et 14), nous vous informons ci-dessous de la manière dont vos données personnelles sont collectées, traitées et protégées.
Données collectées
Nous collectons les catégories de données personnelles suivantes :
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Identité | Nom, prénom, identifiant, email | Création et gestion de votre compte | Contrat (Art. 6.1.b) |
| Entreprise | Nom, secteur, taille, pays | Contextualisation des audits et benchmark sectoriel | Contrat (Art. 6.1.b) |
| Technique | Adresse IP, user-agent | Sécurité, journalisation, détection d'abus | Intérêt légitime (Art. 6.1.f) |
| Audit | Résultats d'audit, findings, scores | Fourniture du service d'audit de sécurité | Contrat (Art. 6.1.b) |
| Paiement | Historique de transactions (via Stripe) | Facturation et gestion des crédits | Contrat (Art. 6.1.b) |
| Préférences | Langue, thème, scope d'audit | Personnalisation de l'interface | Consentement (Art. 6.1.a) |
| Analytique | Pages visitées, durée de visite, type d'appareil, pays (via IP anonymisée) | Mesure d'audience et amélioration du service | Intérêt légitime (Art. 6.1.f) |
Outil d'analyse : Nous utilisons Matomo, une solution d'analyse d'audience auto-hébergée sur notre propre infrastructure en France (Scaleway). Aucune donnée n'est transmise à un tiers. Sur le site vitrine et le ranking, Matomo fonctionne en mode sans cookie (cookieless). Sur l'application, les cookies Matomo sont soumis à votre consentement via la bannière de cookies.
Données NON collectées : Nous ne collectons aucune donnée publicitaire, aucun cookie de tracking tiers, et aucune donnée biométrique.
Sous-traitants et transferts de données
Pour fournir notre service, vos données peuvent être transmises aux sous-traitants suivants :
| Sous-traitant | Données transmises | Finalité | Pays | Garanties |
|---|---|---|---|---|
| Anthropic (Claude AI) | Findings d'audit (anonymisés), contexte secteur | Analyse IA des vulnérabilités | États-Unis | DPA, SCCs |
| Mistral AI | Findings d'audit (anonymisés), contexte secteur | Analyse IA des vulnérabilités | France | DPA, hébergement UE |
| Stripe | Email, identifiant, montant | Traitement des paiements | International | PCI-DSS, DPA, SCCs |
| Scaleway | Toutes les données (hébergement) | Infrastructure cloud | France | ISO 27001, HDS, SecNumCloud |
Transferts hors UE : Lorsque des données sont transférées vers les États-Unis (Anthropic), ce transfert est encadré par des Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne, conformément à l'article 46.2.c du RGPD.
Information importante : Lorsque vous lancez un audit avec l'option « Analyse IA » activée, les résultats techniques de votre audit (findings, sévérités, services concernés) sont transmis au modèle IA sélectionné (Claude ou Mistral) pour générer des recommandations personnalisées. Aucune donnée d'identification personnelle (nom, email, IP) n'est incluse dans cette transmission.
Cookies et stockage local
| Nom | Type | Catégorie | Durée | Finalité |
|---|---|---|---|---|
kc_refresh |
Cookie HttpOnly | Essentiel | 7 jours | Maintien de la session utilisateur (refresh token) |
cookie_consent |
localStorage | Essentiel | Permanent | Enregistrement de votre choix de consentement |
lang |
localStorage | Fonctionnel | Permanent | Préférence de langue |
theme |
localStorage | Fonctionnel | Permanent | Préférence de thème |
posture_last_scope |
localStorage | Fonctionnel | Permanent | Dernier périmètre d'audit sélectionné |
_pk_id.*, _pk_ses.* |
Cookie | Analytique | 13 mois / 30 min | Mesure d'audience Matomo (application uniquement, soumis à consentement) |
Les cookies fonctionnels et analytiques ne sont stockés qu'après votre consentement explicite via la bannière de cookies. Vous pouvez modifier votre choix à tout moment depuis le menu utilisateur de l'application.
Mode sans cookie (site vitrine et ranking) : Sur les sites publics livodit.ai et ranking.livodit.ai, Matomo fonctionne en mode cookieless : aucun cookie n'est déposé et aucun identifiant persistant n'est créé. Seules des données agrégées (pages vues, pays, appareil) sont collectées.
Hébergement de l'outil : Matomo est auto-hébergé sur notre infrastructure Scaleway en France. Aucune donnée d'audience n'est transmise à un service tiers.
Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
Durée de conservation
| Données | Durée | Justification |
|---|---|---|
| Compte utilisateur | Jusqu'à suppression du compte | Durée du contrat |
| Résultats d'audit | Jusqu'à suppression du compte | Fourniture du service |
| Journaux d'activité (logs) | 12 mois puis anonymisation automatique | Sécurité et conformité |
| Alertes de sécurité | 12 mois puis suppression automatique | Suivi de la posture de sécurité |
| Transactions financières | Jusqu'à suppression du compte | Obligation légale comptable |
| Credentials cloud chiffrés | Jusqu'à suppression du compte ou suppression manuelle | Audits planifiés |
| Données analytiques (Matomo) | 26 mois puis suppression automatique | Mesure d'audience (recommandation CNIL) |
Un mécanisme de purge automatique s'exécute quotidiennement pour anonymiser les données expirées conformément à l'article 5(1)(e) du RGPD (limitation de la conservation).
Vos droits (RGPD)
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
Droit d'accès (Art. 15)
Obtenir une copie de toutes vos données personnelles. Disponible via le bouton « Exporter mes données » dans votre espace compte.
Droit de rectification (Art. 16)
Modifier vos informations personnelles (nom, email) directement depuis votre profil utilisateur.
Droit à l'effacement (Art. 17)
Supprimer l'intégralité de votre compte et données associées. Disponible via « Supprimer mon compte ». Cette action est irréversible.
Droit à la portabilité (Art. 20)
Exporter vos données dans un format structuré et lisible (JSON). Inclut profil, audits, crédits, alertes et historique d'activité.
Droit d'opposition (Art. 21)
Vous opposer au traitement de vos données basé sur l'intérêt légitime. Contactez dpo@livodit.ai.
Droit de réclamation
Introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) : www.cnil.fr.
Pour exercer vos droits, contactez-nous à dpo@livodit.ai. Nous répondrons dans un délai maximum de 30 jours.
Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données (Art. 32 RGPD) :
Suppression du compte
Lorsque vous supprimez votre compte, les opérations suivantes sont effectuées :
- Supprimé : Compte Keycloak (identifiants, email, mot de passe)
- Supprimé : Association entreprise, crédits et transactions
- Supprimé : Credentials cloud chiffrés et audits planifiés
- Supprimé : Actions d'auto-fix, alertes et configuration d'alertes
- Anonymisé : Journaux d'activité (username remplacé, IP et détails effacés)
- Anonymisé : Historique d'audits (username remplacé par « deleted_user »)
- Anonymisé : Données de ranking (préservation des statistiques agrégées anonymes)
Cette opération est irréversible. Nous vous recommandons d'exporter vos données au préalable.
Modifications de cette politique
Cette politique de confidentialité peut être mise à jour pour refléter des changements dans nos pratiques ou dans la réglementation applicable. En cas de modification substantielle, nous vous en informerons par email ou via une notification dans l'application.
La date de dernière mise à jour est indiquée en haut de cette page.
Une question sur vos données ?
Notre délégué à la protection des données est à votre disposition pour toute question relative à vos données personnelles.
Contacter le DPO