Notice de confidentialité – Clients organisationnels (B2B / SaaS)

1. Objet et périmètre

La présente notice de confidentialité décrit de manière détaillée les principes applicables aux traitements de données à caractère personnel effectués via la plateforme Polymnia dans le cadre d’un contrat organisationnel (écoles, établissements d’enseignement supérieur, entreprises privées, institutions publiques, associations, organismes de formation ou toute autre entité morale).

Elle a vocation à informer les organisations clientes ainsi que leurs interlocuteurs internes (Directions Générales, Directions des Systèmes d’Information, Délégués à la Protection des Données, Directions Juridiques, Responsables Conformité) des éléments structurants du cadre RGPD applicable à la solution.

La présente notice constitue un document d’information synthétique. Les engagements contractuels détaillés sont définis dans :

• Le Contrat SaaS
• L’Accord de Traitement des Données (DPA)
• L’Annexe Technique Sécurité et Hébergement

2. Rôles et responsabilités au sens du RGPD

Dans le cadre d’un usage organisationnel de la plateforme :

2.1 Responsable de traitement

L’Organisation cliente agit en qualité de Responsable de traitement au sens des articles 4 et 24 du RGPD. À ce titre, elle :

• Détermine les finalités du traitement
• Définit les catégories d’utilisateurs autorisés
• Paramètre les durées de conservation internes
• Décide de l’activation ou non de certaines fonctionnalités
• Informe ses propres utilisateurs de l’utilisation de la plateforme

2.2 Sous-traitant

POLYMNIA agit exclusivement en qualité de Sous-traitant (article 28 RGPD).

POLYMNIA traite les données personnelles uniquement :

• Sur instruction documentée de l’Organisation cliente
• Dans les limites strictes du Contrat
• Pour les seules finalités contractuelles définies

POLYMNIA ne détermine pas les finalités des traitements réalisés pour le compte de ses clients organisationnels. Les modalités relatives aux instructions, à la sécurité, aux audits, aux sous-traitants ultérieurs, à la gestion des violations de données et à la fin de contrat sont formalisées dans le DPA annexé au Contrat SaaS.

3. Catégories de données susceptibles d’être traitées

Selon la configuration retenue par l’Organisation cliente, la plateforme peut traiter les catégories suivantes :

3.1 Données d’identification professionnelles

• Nom et prénom
• Adresse email professionnelle
• Rôle ou fonction
• Identifiant interne organisationnel (le cas échéant)

3.2 Données techniques

• Adresse IP
• Logs de connexion
• Horodatage des sessions
• Journaux techniques nécessaires à la sécurité et à la traçabilité

3.3 Données liées à l’analyse

• Fichiers audio transmis pour analyse
• Transcriptions générées automatiquement
• Indicateurs d’analyse vocale
• Résultats statistiques et recommandations générées

3.4 Traitement vidéo et données gestuelles

• Aucune vidéo n’est stockée sur les serveurs de POLYMNIA.
• Les traitements gestuels ou d’analyse visuelle, lorsqu’ils sont activés, sont réalisés localement dans le navigateur de l’utilisateur.
• Aucun flux vidéo n’est conservé côté serveur.

La plateforme n’a pas vocation à traiter des données sensibles au sens de l’article 9 du RGPD. L’Organisation cliente demeure responsable de la conformité des contenus transmis par ses utilisateurs.

4. Finalités des traitements

Les traitements réalisés par POLYMNIA pour le compte de l’Organisation cliente ont pour finalités exclusives :

• La fourniture du service contractuel d’analyse et de restitution
• L’administration technique des comptes et espaces organisationnels
• La gestion des accès et habilitations
• La sécurité, la supervision et la prévention des usages frauduleux
• La maintenance corrective et évolutive de la plateforme

POLYMNIA n’exploite pas les données personnelles traitées en environnement client de production pour son propre compte.

5. Localisation des traitements et hébergement

5.1 Localisation géographique

Les traitements réalisés dans les environnements clients en production sont effectués exclusivement au sein de l’ Espace Économique Européen (EEE).

Aucun transfert de données hors EEE n’est réalisé dans les environnements de production sans mise en place préalable d’un mécanisme juridique conforme aux articles 44 et suivants du RGPD.

5.2 Hébergement

• Infrastructure applicative : OVHcloud – Gravelines (France)
• Bases de données : OVHcloud – France
• Stockage temporaire des fichiers audio : Google Cloud – Europe (buckets privés chiffrés)

5.3 Sous-traitants principaux (environnements de production)

• OVHcloud (France)
• Google Cloud (Europe)
• Mistral AI (France) – composant conversationnel et contextuel (lorsqu’activé par configuration)

Des outils tiers (notamment OpenAI ou Claude) peuvent être utilisés exclusivement dans le cadre de tests internes de benchmark, sans traitement de données issues des environnements clients en production.

6. Durée de conservation et suppression

6.1 Conservation

• Fichiers audio : conservation temporaire et suppression automatique sous 10 jours maximum.
• Transcriptions et résultats d’analyse : conservés pendant la durée contractuelle ou selon les paramètres définis par l’Organisation cliente.
• Comptes utilisateurs : conservés tant que l’espace organisationnel est actif.

6.2 Suppression sur demande

À la demande écrite de l’Organisation cliente, POLYMNIA procède à la suppression des données relevant de l’espace organisationnel concerné dans un délai maximal de 30 jours calendaires.

Les données supprimées peuvent subsister temporairement dans des sauvegardes automatiques sécurisées, selon la politique interne de rotation des backups, sans être accessibles en production.

7. Sécurité des traitements

POLYMNIA met en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque, incluant notamment :

• Chiffrement des communications (TLS 1.3)
• Chiffrement des données au repos (notamment stockage audio)
• Authentification sécurisée avec possibilité de MFA
• Gestion des habilitations et cloisonnement des environnements
• Sauvegardes régulières avec mécanisme de restauration
• Journalisation des accès et supervision technique
• Outils de protection périmétrique (pare-feu, filtrage, surveillance)
• Procédure interne de gestion des incidents de sécurité

Une description plus détaillée figure dans l’Annexe Technique et dans le DPA.

8. Droits des personnes concernées

Dans un cadre organisationnel, les utilisateurs finaux doivent exercer leurs droits (accès, rectification, effacement, opposition, limitation, portabilité) auprès de l’Organisation cliente, en sa qualité de Responsable de traitement.

Conformément au DPA, POLYMNIA assiste raisonnablement l’Organisation cliente afin de permettre la prise en compte effective des demandes.

9. Utilisation des données et intelligence artificielle

Les données personnelles traitées dans les environnements clients en production ne sont pas utilisées pour entraîner des modèles d’intelligence artificielle tiers.

Aucune revente, cession ou exploitation commerciale des données clients n’est réalisée.

Toute évolution impliquant une utilisation différente des données ferait l’objet :

• D’un encadrement contractuel spécifique
• D’une information préalable de l’Organisation cliente
• Le cas échéant, d’un avenant contractuel

10. Coopération et conformité

POLYMNIA coopère avec ses clients organisationnels dans le cadre :

• Des analyses d’impact (PIA/DPIA) lorsque requises
• Des audits raisonnables prévus contractuellement
• Des obligations de notification en cas de violation de données

Les modalités précises sont définies dans le DPA.

11. Contact

Pour toute question relative à la présente notice ou au cadre de traitement applicable :

• Email : contact@polymnia-france.com
• Adresse postale : 34 Allée Vivaldi, 75012 Paris

12. Mise à jour

La présente notice peut être mise à jour afin de refléter des évolutions réglementaires, contractuelles, techniques ou organisationnelles. La version en vigueur est celle communiquée ou publiée à la date de consultation.