Politique de confidentialité — SARA by JDKL (agent-aap.up.railway.app)
Dernière mise à jour : [date de mise en ligne à compléter] Version : 1.0 — brouillon pré-immatriculation Base : Règlement (UE) 2016/679 (RGPD), loi Informatique et Libertés du 6 janvier 1978 modifiée, guide pratique CNIL « Informer les personnes concernées ».
Document à relire par un avocat spécialisé RGPD avant le premier gros contrat fédération et avant toute ouverture publique du service.
1. Qui est responsable de vos données ?
Le responsable de traitement est :
- Judicaël GOELZER, entrepreneur individuel exerçant sous le nom commercial JDKL
- SIRET : [en cours d'immatriculation — mai/juin 2026]
- Adresse : [adresse à compléter]
- Contact RGPD unique : u7332264067@gmail.com
En-dessous des seuils fixés par l'article 37 du RGPD, aucun délégué à la protection des données (DPO) n'est désigné. Toutes les demandes sont traitées par l'éditeur lui-même.
2. Vue d'ensemble en 10 lignes (version accessible)
SARA by JDKL est un outil en ligne qui aide les associations, MJC, centres sociaux, collectivités et fédérations à identifier des financements publics et privés, à remplir des formulaires administratifs (CERFA, notes d'intention, dossiers de mécénat) et à suivre leurs démarches. Pour faire ce travail, SARA by JDKL a besoin de connaître votre structure, vos projets et parfois quelques éléments financiers. Tout est hébergé en priorité en Union européenne. Nous utilisons des sous-traitants techniques listés plus bas (hébergement, envoi de mails, paiement, intelligence artificielle). Aucune donnée n'est revendue. Vous gardez à tout moment le droit de consulter, corriger, exporter ou supprimer vos informations. Si un point vous inquiète, écrivez à u7332264067@gmail.com : un être humain vous répond.
3. Quelles données nous collectons
3.1. Compte utilisateur
- Nom, prénom, adresse email, mot de passe chiffré (hachage), rôle dans la structure, date de création du compte, date de dernière connexion, préférences d'affichage.
3.2. Fiche structure
- Identité juridique : raison sociale, type juridique (association loi 1901, collectivité, entreprise, établissement scolaire, structure médico-sociale, etc.), SIREN/SIRET, date de création, RNA.
- Localisation : adresse du siège, territoire d'intervention (commune, département, région, national).
- Informations économiques : budget annuel, effectif, statut fiscal (TVA/IS/taxes), utilité publique, statut ESUS, QPV, ZRR, ZFU, activité R&D, agréments.
- Gouvernance : dirigeants, contact principal, partenaires clés.
- Champs complémentaires découverts lors des parcours (stockés dans
champs_supplementaires_jsonselon une logique de fiche adaptative).
3.3. Projets, dossiers et démarches
- Projets créés : titre, description, budget prévisionnel, plan de financement, pièces justificatives téléversées.
- Subventions et aides obtenues ou demandées : financeur, montant, date, statut.
- Parcours administratifs en cours (CERFA 12156, kits Le Compte Asso / Démarches Simplifiées, notes d'intention, dossiers mécénat, dispositifs permanents type ACRE, FDVA, DETR…).
- Analyses IA générées : scoring, verdict d'éligibilité, propositions rédactionnelles.
- Feedback utilisateur (
ProjetFeedback) : vos corrections servent à améliorer la pertinence pour votre compte.
3.4. Documents téléversés
SARA by JDKL peut analyser, à votre demande :
- rapports d'activité, statuts, Kbis, extraits RNA, bilans comptables, anciens dossiers de demande, pièces administratives, CERFA vierges ou remplis.
Ces documents sont chiffrés au repos. Leur contenu peut être transmis au sous-traitant IA (Anthropic) pour extraction factuelle, toujours sur instruction explicite.
3.5. Données d'usage et de support
- Journaux applicatifs techniques (logs), horodatage des actions, identifiant de session, type de navigateur, adresse IP, URL visitées au sein du service.
- Contenu des échanges avec le support (courriels, messages dans l'application).
- Contenu des conversations avec l'atelier SARA by JDKL (chat assisté par IA) nécessaires au traitement de votre demande.
3.6. Données de facturation
- Identité du titulaire du compte de facturation, adresse de facturation, email de facturation, SIRET/SIREN, numéro de TVA intracommunautaire le cas échéant.
- Historique des factures, montants, statut de paiement.
- Les données de carte bancaire ne transitent jamais par nos serveurs : elles sont collectées et stockées directement par Stripe Payments Europe, Limited (voir section 7).
3.7. Données que nous ne collectons pas
- Aucune donnée sensible au sens de l'article 9 du RGPD (opinions, religion, santé, vie sexuelle, etc.) n'est délibérément demandée. Si vous téléversez par erreur un document contenant des données sensibles, écrivez-nous : nous les supprimons immédiatement.
- Aucune donnée d'enfants n'est traitée. Le service est destiné à des structures professionnelles et à leurs représentants majeurs.
4. Pourquoi nous les traitons — finalités et bases légales
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat (art. 6.1.b) | Identité, email, mot de passe |
| Fourniture du service (veille, matching, génération CERFA, atelier) | Exécution du contrat (art. 6.1.b) | Fiche structure, projets, documents |
| Facturation et recouvrement | Exécution du contrat + obligation légale comptable (art. 6.1.b et 6.1.c) | Données de facturation |
| Amélioration du service, corrections de bugs, sécurité | Intérêt légitime (art. 6.1.f) | Logs, données d'usage anonymisées |
| Messages opérationnels (factures, alertes, mises à jour de service) | Exécution du contrat (art. 6.1.b) | |
| Communications commerciales (newsletter, nouveautés produit) | Consentement explicite et opt-in (art. 6.1.a) | |
| Réponse à une demande de support | Exécution du contrat (art. 6.1.b) | Identité, email, contenu de la demande |
| Respect des obligations légales (comptabilité, demandes d'autorités) | Obligation légale (art. 6.1.c) | Factures, logs conservés selon délais légaux |
L'intérêt légitime est apprécié au regard des droits et libertés des personnes concernées. Vous pouvez vous opposer à tout traitement fondé sur l'intérêt légitime dans les conditions de la section 9.
5. Durées de conservation
| Catégorie | Durée active | Archivage intermédiaire | Suppression / anonymisation |
|---|---|---|---|
| Compte et fiche structure | Pendant toute la durée d'utilisation du service | 3 ans après la dernière connexion effective | Suppression passée ce délai |
| Projets, dossiers, documents téléversés | Pendant la durée du contrat | Purge 30 jours après résiliation du compte, sauf demande d'export | Suppression complète après la purge |
| Feedback et historique de clôture | Idem projets | Idem | Idem |
| Factures et pièces comptables | — | 10 ans (obligation légale, art. L123-22 du Code de commerce) | Anonymisation au terme |
| Logs techniques applicatifs | — | 12 mois maximum (recommandation CNIL + ordonnance n° 2021-1017) | Purge automatique |
| Conversations avec le support et échanges commerciaux | Durée de la relation | 3 ans après le dernier échange | Suppression |
| Cookies strictement nécessaires | Session ou 13 mois max (CSRF, préférences) | — | Expiration automatique |
| Données anonymisées à des fins statistiques agrégées | — | Sans limite (non-personnelles) | — |
À la résiliation, vous disposez de 30 jours pour exporter vos données via la fonctionnalité d'export ou par demande écrite à u7332264067@gmail.com. Passé ce délai, la suppression est définitive et irréversible.
6. Qui accède à vos données
6.1. Équipe de l'éditeur
L'accès est strictement limité à Judicaël GOELZER (dirigeant de JDKL) dans le cadre de l'administration technique et du support. Les collaborateurs ou prestataires qui pourraient être associés ultérieurement signeront une clause de confidentialité avant tout accès.
6.2. Sous-traitants techniques (article 28 RGPD)
La liste complète, actualisée et accompagnée des engagements contractuels et des localisations, figure dans le Data Processing Agreement (DPA). Un résumé ci-dessous.
| Sous-traitant | Rôle | Localisation des données | Encadrement |
|---|---|---|---|
| Railway Corp. (via Google Cloud) | Hébergement applicatif et bases de données | États-Unis et Union européenne selon région | DPA Railway + clauses contractuelles types (CCT) UE ; Data Privacy Framework pour les transferts US |
| Anthropic PBC | Modèles d'IA Claude (Sonnet, Haiku) — extraction, scoring, chat atelier | États-Unis | DPA Anthropic ; CCT ; no training on customer data (engagement Anthropic) ; rétention courte (zéro ou ≤ 30 j selon API) |
| Stripe Payments Europe, Ltd. | Encaissement des paiements par carte et SEPA | Irlande (siège UE) + États-Unis (infrastructure globale) | DPA Stripe ; CCT ; certification PCI-DSS niveau 1 |
| Zoho Corporation B.V. (Zoho Mail Free) | Boîte email professionnelle u7332264067@gmail.com |
Union européenne (région EU) | DPA Zoho ; CCT si transfert incident |
| Brave Software, Inc. (Brave Search API) | Requêtes de veille (mots-clés vers résultats publics) — pas de données personnelles de l'utilisateur final | États-Unis | Uniquement des requêtes ; aucune donnée client transmise |
| Aides-territoires (beta.gouv.fr, API publique) | Source de veille publique, Licence Ouverte Etalab v2.0 | France | API publique en lecture ; aucune donnée personnelle envoyée |
| Gandi SAS | Gestion des noms de domaine et DNS | France | Prestation technique domaine ; pas d'accès aux données du service |
6.3. Destinataires institutionnels
Vos données ne sont jamais revendues, louées, ni cédées à des tiers à des fins commerciales. Elles peuvent être communiquées uniquement :
- à l'administration fiscale, à l'URSSAF ou à un juge, en cas de réquisition régulière ou d'obligation légale ;
- à nos conseils (avocat, expert-comptable) sous clause de secret professionnel, en cas de contentieux ou d'audit.
7. Transferts hors Union européenne
Certains sous-traitants peuvent traiter des données aux États-Unis (Railway, Anthropic, Stripe, Brave). Ces transferts sont encadrés par :
- la décision d'adéquation Data Privacy Framework du 10 juillet 2023 (UE–US) lorsque le sous-traitant y est certifié ;
- à défaut, par les clauses contractuelles types (CCT) adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914) ;
- et, lorsque pertinent, par des mesures techniques supplémentaires (chiffrement en transit TLS 1.2+ et chiffrement au repos).
Si vous êtes une structure publique ou une DSI exigeant un hébergement strictement UE, écrivez-nous : une migration vers un hébergeur UE natif (Scaleway, OVH Cloud, Clever Cloud) peut être arbitrée au cas par cas avant la signature du contrat.
8. Sécurité
Les mesures techniques et organisationnelles mises en place sont détaillées dans le DPA. En résumé :
- chiffrement en transit (HTTPS / TLS 1.2 minimum) sur l'ensemble du service ;
- chiffrement au repos des bases de données côté hébergeur ;
- hachage des mots de passe (algorithme à facteur de coût configurable) ;
- séparation des environnements de développement et de production ;
- journaux d'accès applicatifs ;
- sauvegardes régulières et testées ;
- procédure de notification d'incident conforme à l'article 33 du RGPD (délai 72 h) ;
- principe du moindre privilège (accès administrateur limité).
Audit CNIL, test d'intrusion annuel ou certification HDS ne sont pas prévus au lancement. Ils pourront être mis en place si un contrat client les exige.
9. Vos droits RGPD
Vous disposez, sur les données qui vous concernent :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : corriger une donnée inexacte.
- Droit à l'effacement (art. 17) : demander la suppression, sauf motif légitime de conservation (obligation comptable, contentieux).
- Droit à la limitation (art. 18) : geler l'utilisation de vos données le temps d'un contrôle.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé (export JSON ou CSV).
- Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime, notamment aux communications commerciales.
- Droit de retirer votre consentement à tout moment (art. 7.3), sans remise en cause de la licéité des traitements antérieurs.
- Droit de définir des directives post mortem (loi Informatique et Libertés, art. 85).
Comment exercer
Par courriel à u7332264067@gmail.com, en précisant l'objet de la demande et en joignant, si nécessaire, une preuve de votre identité.
Nous vous répondons sous 1 mois (prolongeable de 2 mois supplémentaires en cas de demande complexe, avec notification préalable).
Plainte auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
- https://www.cnil.fr/fr/plaintes
10. Cookies
Le service utilise uniquement des cookies strictement nécessaires à son fonctionnement. Ils ne requièrent pas votre consentement préalable au titre de l'article 82 de la loi Informatique et Libertés.
| Nom / catégorie | Finalité | Durée |
|---|---|---|
| Cookie de session | Maintenir la connexion authentifiée | Session (supprimé à la déconnexion ou après inactivité) |
| Jeton CSRF | Protection contre les attaques par falsification de requête | Session |
| Préférence d'affichage | Mémoriser vos options d'interface | 13 mois maximum |
Aucun cookie publicitaire, aucun traceur tiers à finalité marketing ou analytique comportementale n'est utilisé.
Si un jour un outil d'analyse d'audience était ajouté (type Matomo auto-hébergé), une bannière de consentement et une mise à jour de la présente politique seraient publiées préalablement.
11. Prise de décision automatisée et IA
SARA by JDKL utilise des modèles d'intelligence artificielle (Anthropic Claude Sonnet et Haiku) pour produire :
- des extractions factuelles d'appels à projets ;
- des scorings d'éligibilité ;
- des propositions rédactionnelles ;
- des réponses dans le chat atelier.
Ces traitements ne constituent pas une décision entièrement automatisée produisant des effets juridiques à votre égard au sens de l'article 22 du RGPD : ce sont des aides à la décision, toujours relues et validées par vous (utilisateur) avant d'être utilisées dans un dossier réel.
Engagements :
- Anthropic s'engage contractuellement à ne pas entraîner ses modèles sur les données des clients API.
- La rétention côté Anthropic est courte (zéro ou 30 jours selon l'API et la fonctionnalité) ; le détail est consigné au DPA.
12. Modifications
La présente politique peut évoluer. Les modifications substantielles (ajout d'un sous-traitant, modification d'une finalité, nouveau transfert hors UE) vous seront notifiées par email et par bandeau dans l'application au moins 30 jours avant leur entrée en vigueur. L'historique des versions est conservé.
13. Contact
u7332264067@gmail.com
Par courrier postal : Judicaël GOELZER (JDKL), [adresse à compléter].
Brouillon rédigé à partir du modèle CNIL et des obligations RGPD applicables. À relire par un avocat spécialisé avant la première signature d'un contrat B2B avec une fédération, une collectivité ou un financeur public. Placeholders à compléter : SIRET, adresse, date de mise en ligne.