Mentions légales
Politique de confidentialité
Dernière mise à jour : 11 mai 2026
La présente Politique de confidentialité décrit la manière dont Ironact, Inc. (« Prompt Architect », « nous » ou « notre ») collecte, utilise, divulgue et protège les informations personnelles lorsque vous utilisez la plateforme Prompt Architect, les sites web et les services associés (les « Services »). Elle s'applique au niveau mondial et contient des informations spécifiques pour les résidents des États-Unis (fédéral, Californie et mosaïque d'États), du Royaume-Uni, de l'Espace économique européen (EEE), de la République de Corée, de l'Allemagne et de la France.
1. Responsable du traitement et représentants
Le responsable du traitement est :
Ironact, Inc. 1111B S Governors Ave Ste 51691 Dover, DE 19904 United States Téléphone : +1 (415) 851-9366 contact@ironact.net
Représentant UE (GDPR Art. 27)
EU Representative — appointment in progress. Ironact is in the process of designating an EU representative under GDPR Art. 27 and will publish the appointee here as soon as the appointment is complete. In the interim, EEA residents who wish to exercise rights under the GDPR (access, rectification, erasure, restriction, portability, objection, withdrawal of consent) or who otherwise need to contact us about personal data may do so at contact@ironact.net or contact@ironact.net. We will respond within the timelines required by GDPR Art. 12 (generally one month, extendable by two further months for complex requests).
Représentant UK (UK GDPR Art. 27)
Eui Sung Ko (acting as UK Representative), 267 Hanbury Street, London E1 5JY, United Kingdom. Contact: contact@ironact.net.
Délégué à la protection des informations personnelles / CPO (Corée, PIPA § 31)
Eui Sung Ko (고의성), Co-founder and Personal Information Protection Officer (개인정보 보호책임자). Phone: +82 10 8757 2946 · Email: contact@ironact.net (한국어 응대 가능).
Agent national coréen (PIPA § 39-14)
Not applicable. Ironact does not currently meet either threshold under PIPA Art. 39-14 (prior-year revenue under KRW 1 trillion; fewer than 1 million daily Korean users averaged over three months) and does not have a Korean subsidiary with ≥30% equity. We will designate a domestic agent before crossing either threshold and update this notice accordingly.
Délégué à la protection des données
Nous n'avons pas formellement désigné de Délégué à la protection des données car les seuils légaux fixés par l'article 37 du RGPD ne sont pas atteints par nos traitements actuels. Le point de contact pour toute question de protection des données est contact@ironact.net.
2. Informations que nous collectons
2.1 Informations que vous fournissez
| Catégorie | Exemples |
|---|---|
| Informations de compte | Nom, adresse e-mail, mot de passe (hashé), taille de l'entreprise, fonction, langue préférée |
| Données de marque et de projet | Noms de marques, URL de sites web, listes de concurrents, prompts, contenus téléversés pour analyse |
| Informations de facturation | Nom de facturation, adresse, numéro de TVA/identifiant fiscal, 4 derniers chiffres de la carte (les détails complets de la carte sont gérés par notre prestataire de paiement) |
| Communications | Messages, tickets de support, réponses aux enquêtes |
2.2 Informations collectées automatiquement
| Catégorie | Exemples |
|---|---|
| Données d'utilisation | Pages et fonctionnalités consultées, clics, durée de session, événements d'erreur |
| Données de terminal et de connexion | Adresse IP, type et version du navigateur, système d'exploitation, type d'appareil, URL de provenance |
| Cookies | Voir la Politique relative aux cookies |
2.3 Informations issues de sources tierces
| Catégorie | Source |
|---|---|
| Résultats de requêtes aux moteurs IA | ChatGPT, Perplexity, Gemini, Claude, Grok, Microsoft Copilot (nous envoyons des requêtes liées aux marques et recevons des réponses) |
| Contenu web public | Pages et flux aux URL que vous enregistrez pour surveillance |
| Fournisseurs d'authentification | Google OAuth (si vous vous connectez avec Google) : nom, e-mail, photo de profil, identifiant utilisateur Google |
2.4 Informations personnelles sensibles (CCPA / CPRA)
Les seules catégories d'« informations personnelles sensibles » au sens du Cal. Civ. Code § 1798.140(ae) que nous collectons sont :
- Identifiants de compte (mot de passe hashé) — utilisés uniquement à des fins d'authentification ;
- Géolocalisation précise — nous ne la collectons pas intentionnellement. Une localisation approximative basée sur l'IP peut être déduite à des fins de prévention de la fraude et d'analyse, mais nous ne dérivons pas de géolocalisation précise.
Nous les utilisons uniquement aux fins (i) de vous authentifier, (ii) de sécuriser les Services et (iii) de vous fournir les Services demandés. Aucun de ces usages ne déclenche le « Droit de limiter l'utilisation des informations personnelles sensibles » prévu par le Cal. Civ. Code § 1798.121, et nous ne sommes donc pas tenus d'afficher de lien « Limit Use ». Si nos usages évoluent, nous proposerons ce lien.
Nous ne collectons pas sciemment de données à caractère personnel de catégories particulières au sens de l'article 9 du RGPD (telles que les données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses, à la santé, à la vie sexuelle ou à l'orientation sexuelle), ni de catégories de données sensibles au sens de l'article 23 du PIPA. Veuillez ne pas soumettre de telles données via les Services.
Mention Texas (Tex. Bus. & Com. Code § 541.105). Nous ne vendons pas de données personnelles sensibles ni de données biométriques au sens du Texas Data Privacy and Security Act.
3. Finalités et bases légales (RGPD / UK GDPR)
Pour les utilisateurs de l'EEE, du Royaume-Uni et d'autres juridictions dotées de lois similaires, nous traitons les données personnelles sur les bases légales suivantes. La colonne « Conservation » renvoie aux durées de conservation par catégorie indiquées au § 7.
| Finalité | Catégories utilisées | Base légale | Référence de conservation |
|---|---|---|---|
| Fournir et maintenir les Services (comptes, tableaux de bord, surveillance de marque) | Compte, données de marque, données d'utilisation | Contrat (art. 6(1)(b)) | Jusqu'à la suppression + 90 jours (§ 7) |
| Traiter les paiements et prévenir la fraude | Facturation, données d'utilisation | Contrat (art. 6(1)(b)) et intérêts légitimes (art. 6(1)(f)) — prévention de la fraude | Conservation prévue par la loi fiscale (§ 7) |
| Envoyer des e-mails liés au service (transactionnels, sécurité, facturation) | Compte, communications | Contrat (art. 6(1)(b)) | Tant que le compte est actif (§ 7) |
| E-mails marketing sur les nouvelles fonctionnalités | Compte | Consentement (art. 6(1)(a)) — opt-in ; vous pouvez vous désabonner à tout moment. Pour l'Allemagne, double-opt-in au titre du § 7 UWG | Jusqu'au désabonnement (§ 7) |
| Améliorer les Services, déboguer et mesurer l'utilisation | Utilisation, données de terminal | Intérêts légitimes (art. 6(1)(f)) — exploitation et sécurisation de la plateforme | 30 à 90 jours (§ 7) |
| Respecter les obligations légales (fiscales, comptables, demandes légitimes) | Compte, facturation | Obligation légale (art. 6(1)(c)) | Selon la loi (§ 7) |
| Constatation, exercice ou défense de droits en justice | Toutes selon pertinence | Intérêts légitimes (art. 6(1)(f)) | Délai de prescription |
Vous pouvez vous opposer aux traitements fondés sur les intérêts légitimes à contact@ironact.net (voir § 8).
4. Comment nous utilisons les moteurs IA
La fonction principale des Services consiste à interroger des moteurs de réponse IA tiers avec des prompts liés à la marque et à analyser les réponses. Nous n'envoyons pas de données personnelles identifiables de vos utilisateurs finaux aux moteurs IA. Les requêtes contiennent généralement des noms de marques, des noms de produits et des mots-clés de catégorie que vous avez configurés.
Lorsque vous téléversez votre propre contenu de marque pour le Brand Intelligence Model (BIM), ce contenu peut être traité par des prestataires IA tiers (comme OpenAI pour les embeddings) selon leurs conditions de traitement des données. Nous utilisons les points de terminaison entreprise / API lorsque disponibles ; ces prestataires n'entraînent pas leurs modèles sur votre contenu selon leurs conditions API standard, mais nous vous invitons à consulter leurs politiques liées au § 5.
5. Partage et sous-traitants ultérieurs
Nous ne vendons pas de données personnelles. Nous partageons des données personnelles uniquement avec :
5.1 Sous-traitants ultérieurs qui nous aident à fournir les Services
| Sous-traitant ultérieur | Rôle | Localisation | Lien vie privée |
|---|---|---|---|
| Vercel, Inc. | Hébergement web/applicatif, réseau edge | États-Unis (avec régions edge mondiales) | https://vercel.com/legal/privacy-policy |
| Railway Corp. | Hébergement workers / backend | États-Unis | https://railway.com/legal/privacy |
| Neon, Inc. | Base de données PostgreSQL managée | États-Unis / UE (région de votre projet) | https://neon.tech/privacy-policy |
| OpenAI, L.L.C. | Inférence LLM et embeddings | États-Unis | https://openai.com/policies/privacy-policy |
| Anthropic, PBC | Inférence LLM (Claude) | États-Unis | https://www.anthropic.com/legal/privacy |
| Google LLC | Inférence LLM (Gemini), connexion OAuth | États-Unis / UE | https://policies.google.com/privacy |
| Perplexity AI, Inc. | Requêtes moteurs IA | États-Unis | https://www.perplexity.ai/hub/legal/privacy-policy |
| xAI Corp. | Requêtes moteurs IA (Grok) | États-Unis | https://x.ai/legal/privacy-policy |
| Microsoft Corporation | Requêtes moteurs IA (Copilot) | États-Unis | https://privacy.microsoft.com/privacystatement |
| Stripe, Inc. | Traitement des paiements | États-Unis / UE | https://stripe.com/privacy |
| Axiom Inc. | Journaux applicatifs et observabilité | États-Unis / UE | https://axiom.co/privacy |
| Sentry (Functional Software, Inc.) | Surveillance des erreurs | États-Unis | https://sentry.io/privacy/ |
| Resend, Inc. | E-mails transactionnels et marketing | United States | https://resend.com/legal/privacy-policy |
Nous n'utilisons pas actuellement d'outils d'analyse, de publicité, de rejeu de session, de CRM ou de support client traitant des données personnelles d'utilisateurs finaux. Si nous en ajoutons, nous mettrons à jour la présente Politique et la Politique relative aux cookies et, le cas échéant, redemanderons votre consentement.
Nous tenons une liste à jour des sous-traitants ultérieurs à l'adresse /docs/legal/sub-processors. Les modifications substantielles seront annoncées dans la présente Politique avec un préavis d'au moins 30 jours.
5.2 Autres destinataires
- Autorités légales et réglementaires, lorsque la loi, une décision de justice ou des demandes légitimes l'exigent (nous résistons aux demandes excessives et informons les utilisateurs concernés lorsque la loi le permet).
- Conseils professionnels (avocats, auditeurs, comptables) soumis à la confidentialité.
- Entités successeurs en cas de fusion, acquisition, levée de fonds ou cession d'actifs, auquel cas nous informerons les utilisateurs concernés.
5.3 Traitement CCPA / lois d'État
Nous ne « vendons » pas d'informations personnelles contre rémunération pécuniaire ou autre contrepartie de valeur, et nous ne « partageons » pas d'informations personnelles à des fins de publicité comportementale inter-contexte au sens du CCPA/CPRA, du VCDPA, du CPA, du CTDPA, de l'UCPA, du TDPSA, de l'OCPA, du MCDPA ou de toute autre loi américaine d'État sur la vie privée. Nous n'avons ni vendu ni partagé au cours des 12 derniers mois et n'envisageons pas de le faire.
6. Transferts internationaux de données
Les données personnelles sont principalement traitées aux États-Unis et, selon la région de votre projet, dans des régions UE (Neon).
Transferts EEE / Royaume-Uni / Suisse. Lorsque nous transférons des données personnelles depuis l'EEE, le Royaume-Uni ou la Suisse vers les États-Unis ou un autre pays non reconnu comme offrant un niveau adéquat, nous nous appuyons sur les mécanismes suivants, par ordre de préférence :
- Cadre UE-US Data Privacy Framework (DPF) — pour les sous-traitants ultérieurs auto-certifiés au titre du DPF (Décision d'exécution (UE) 2023/1795 de la Commission). Sub-processors with confirmed self-certification under the EU-US Data Privacy Framework (verified at https://www.dataprivacyframework.gov/list) include: Google LLC, OpenAI L.L.C., Anthropic, PBC, Microsoft Corporation, Stripe, Inc., and Vercel, Inc. Remaining US sub-processors rely on Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914) together with supplementary technical and organizational measures. We re-audit DPF participation annually.
- Clauses contractuelles types (CCT) au titre de la Décision d'exécution (UE) 2021/914 de la Commission ;
- UK International Data Transfer Addendum (IDTA) ou UK Addendum aux CCT UE ;
- CCT suisses pour les transferts depuis la Suisse.
Lorsque nous nous appuyons sur les CCT, nous réalisons une analyse d'impact des transferts (Transfer Impact Assessment, TIA) et appliquons des mesures techniques et organisationnelles supplémentaires (chiffrement en transit, chiffrement au repos, gestion des clés, contrôles d'accès). Une copie des garanties pertinentes est disponible sur demande à contact@ironact.net.
Utilisateurs coréens (PIPA, art. 28-8). Les données personnelles des utilisateurs coréens peuvent être transférées aux États-Unis et aux sous-traitants ultérieurs énumérés au § 5. Nous nous appuyons sur l'article 28-8(1)(iii) du PIPA — la divulgation dans la politique de confidentialité — pour les transferts nécessaires à l'exécution du contrat relatif aux Services. Les informations requises sont :
- Destinataires : tels qu'énumérés au § 5.1.
- Pays de transfert : principalement les États-Unis ; l'UE si vous sélectionnez une région UE pour votre projet.
- Moyens et moment du transfert : transmission chiffrée par Internet (TLS 1.2+) et appels API, au moment où vous utilisez les Services.
- Éléments transférés : informations de compte, données de marque, données d'utilisation, informations de facturation, contenu d'exécution des prompts tel que décrit au § 2.
- Finalité : fournir les Services tels que décrits au § 3.
- Conservation : telle que décrite au § 7.
- Contact du destinataire pour objection : contact@ironact.net.
Si vous vous opposez au transfert à l'étranger, nous pourrions ne pas être en mesure de fournir les Services. Pour vous opposer, contactez contact@ironact.net.
7. Conservation
Nous ne conservons les données personnelles que le temps nécessaire aux finalités pour lesquelles elles ont été collectées, y compris pour nous conformer à nos obligations légales.
7.1 Par catégorie de données (CCPA / CPRA / lois d'État)
| Catégorie CCPA | Exemples dans notre système | Durée de conservation |
|---|---|---|
| Identifiants (nom, e-mail, ID de compte) | Informations de compte | Jusqu'à suppression du compte + 90 jours de sauvegarde ; identifiants de facturation jusqu'à 10 ans (loi fiscale) |
| Dossiers clients (Cal. Civ. Code § 1798.80(e)) | Nom, e-mail, instrument de paiement | Identique à ci-dessus |
| Informations commerciales | Historique d'abonnement, transactions | 10 ans (lois fiscales/comptables) |
| Activité Internet / réseau | Pages visitées, journaux d'erreur, adresse IP | 30 à 90 jours pour les journaux ; 12 mois pour les événements de sécurité |
| Géolocalisation (approximative, dérivée de l'IP) | Déduite de l'IP | Identique à Activité Internet / réseau |
| Données professionnelles / d'emploi | Fonction, taille de l'entreprise | Jusqu'à suppression du compte + 90 jours |
| Déductions (tirées des données ci-dessus) | Analyses de visibilité | Pendant la durée d'activité du projet + 24 mois |
| Informations personnelles sensibles (identifiants) | Mot de passe hashé | Jusqu'à suppression du compte |
7.2 Par type de données (référence opérationnelle)
| Donnée | Durée de conservation |
|---|---|
| Informations de compte | Jusqu'à ce que vous supprimiez votre compte, puis jusqu'à 90 jours pour sauvegardes et résolution des litiges |
| Données de marque et de projet | Jusqu'à ce que vous les supprimiez ou fermiez votre compte, puis jusqu'à 90 jours |
| Exécutions de prompts et sorties analytiques | Pendant la durée d'activité du projet, puis jusqu'à 24 mois pour l'analyse de tendances (vous pouvez demander une suppression anticipée) |
| Documents de facturation et factures | Jusqu'à 10 ans lorsque la loi fiscale l'exige (par ex. Allemagne — § 147 AO ; France — art. L102-B du LPF ; Corée — loi TVA ; États-Unis — IRC) |
| Journaux serveur et applicatifs | 30 à 90 jours |
| Journaux d'événements de sécurité | Jusqu'à 12 mois |
| Données des abonnés aux e-mails marketing | Jusqu'au désabonnement |
| Sauvegardes | Jusqu'à 30 jours, puis purgées automatiquement |
Au-delà de la durée de conservation, nous supprimons ou anonymisons de manière irréversible les données.
8. Vos droits
8.1 EEE / Royaume-Uni (RGPD / UK GDPR)
- Accès — demander une copie de vos données personnelles ;
- Rectification — corriger des données inexactes ou incomplètes ;
- Effacement — nous demander de supprimer vos données (« droit à l'oubli ») ;
- Limitation — restreindre le traitement dans certains cas ;
- Portabilité — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement ;
- Opposition — au traitement fondé sur les intérêts légitimes ou à la prospection directe (nous cesserons sauf motifs légitimes impérieux primant sur vos droits) ;
- Retrait du consentement — à tout moment, sans affecter la licéité du traitement antérieur ;
- Ne pas faire l'objet de décisions automatisées — voir § 11 ;
- Introduire une réclamation — auprès de votre autorité de contrôle locale (voir § 13).
Nous répondrons dans un délai d'un mois (prorogeable de deux mois pour les demandes complexes). La première demande est gratuite ; nous pouvons facturer des frais raisonnables pour les demandes manifestement infondées ou répétitives.
8.2 Californie (CCPA / CPRA)
Les résidents californiens ont le droit de :
- Savoir quelles catégories et éléments spécifiques d'informations personnelles nous collectons, utilisons, divulguons et (le cas échéant) vendons ou partageons ;
- Supprimer les informations personnelles, sous réserve d'exceptions ;
- Corriger les informations personnelles inexactes ;
- Refuser la « vente » ou le « partage » des informations personnelles — nous ne vendons ni ne partageons pas d'informations personnelles à des fins de publicité comportementale inter-contexte ;
- Limiter l'utilisation des informations personnelles sensibles — voir § 2.4 expliquant pourquoi aucun lien n'est requis ;
- Ne pas faire l'objet de discrimination pour avoir exercé vos droits ;
- Désigner un mandataire autorisé pour agir en votre nom.
Technologie de prise de décision automatisée (« ADMT », en vigueur le 1er janvier 2026). En vertu de la réglementation ADMT 2025 de la California Privacy Protection Agency (Cal. Code Regs. Tit. 11), lorsque qu'une entreprise utilise l'ADMT pour une « décision significative » concernant un consommateur, ce dernier a droit à une notification préalable, à un opt-out et à l'accès aux informations relatives à l'ADMT. Comme indiqué au § 11, les Services ne prennent pas aujourd'hui de décisions significatives concernant des consommateurs au moyen d'ADMT. Si nous commencions à le faire, nous mettrions à disposition les notifications, l'opt-out et les canaux d'accès requis à ce moment-là.
Pour exercer ces droits, écrivez à contact@ironact.net ou à l'adresse postale ci-dessus. Nous vérifierons votre identité avant de répondre.
8.3 Autres États américains
Vous pouvez bénéficier de droits au titre de la loi de votre État :
| État | Texte | Droits | Appel |
|---|---|---|---|
| Virginie | VCDPA (§ 59.1-575 et suivants) | Accès, rectification, suppression, portabilité, opt-out de vente/publicité ciblée/profilage ; opt-in données sensibles | Oui — 60 jours |
| Colorado | CPA (§ 6-1-1301 et suivants) | Idem ; signal universel d'opt-out (OOPS) respecté | Oui — 45 jours |
| Connecticut | CTDPA | Idem ; OOPS respecté | Oui |
| Utah | UCPA | Accès, suppression, portabilité, opt-out | Pas de mécanisme d'appel |
| Texas | TDPSA | Idem VCDPA | Oui |
| Oregon | OCPA | Idem ; traitement plus large des données sensibles | Oui |
| Montana | MCDPA | Idem VCDPA | Oui |
| Iowa, Tennessee, New Jersey, Delaware, Indiana, Kentucky, New Hampshire, Maryland, Minnesota, Rhode Island | Divers | Généralement similaires ; consulter le site de l'AG de votre État | La plupart prévoient un appel |
Procédure d'appel. Si nous refusons votre demande, vous pouvez faire appel en écrivant à contact@ironact.net avec pour objet « Appeal » dans les 60 jours. Nous répondrons à l'appel dans le délai requis par la loi de votre État (généralement 45 à 60 jours). Si l'appel est rejeté, vous pouvez contacter le procureur général (Attorney General) de votre État.
Pour exercer vos droits ou faire appel, contactez contact@ironact.net. Nous vérifierons votre identité, y compris via votre mandataire autorisé le cas échéant.
8.4 Corée (PIPA)
Les utilisateurs coréens ont le droit (i) d'être informés du traitement de leurs données personnelles et d'y consentir ; (ii) d'accéder à, de corriger, de supprimer et de suspendre le traitement de leurs données personnelles ; (iii) au titre de l'article 37-2 du PIPA (en vigueur depuis le 15 mars 2024), de refuser, d'obtenir une explication ou de demander un examen humain des décisions entièrement automatisées qui affectent de manière significative leurs droits ou obligations (voir § 11) ; (iv) d'introduire une réclamation auprès du Personal Information Dispute Mediation Committee (개인정보 분쟁조정위원회, https://www.kopico.go.kr) ou de la Personal Information Protection Commission (PIPC, https://www.pipc.go.kr) ; et (v) de réclamer réparation devant les tribunaux.
Vous pouvez exercer ces droits via les paramètres de votre compte ou en contactant le CPO indiqué au § 1.
8.5 Informations Californie (annexe propre au CCPA)
Pour chaque catégorie d'informations personnelles définie par le CCPA, le tableau suivant indique les catégories de sources de collecte, les finalités commerciales ou professionnelles de la collecte, et les catégories de tiers à qui nous divulguons (Cal. Code Regs. Tit. 11 § 7011(e)) :
| Catégorie CCPA | Sources | Finalités | Destinataires | Vendu / partagé ? |
|---|---|---|---|---|
| Identifiants | Vous ; Google OAuth | Fournir les Services, prévention de la fraude, e-mails transactionnels | Sous-traitants ultérieurs d'hébergement / base de données (§ 5.1) | Non |
| Dossiers clients | Vous ; Stripe | Facturation, conformité fiscale | Stripe, prestataires comptables | Non |
| Informations commerciales | Vous | Fournir les abonnements, analytics | Sous-traitants ultérieurs d'hébergement / base de données | Non |
| Activité Internet / réseau | Vous / votre navigateur | Exploitation de la plateforme, sécurité | Hébergement, journalisation, surveillance d'erreurs (§ 5.1) | Non |
| Géolocalisation (approximative) | Adresse IP | Prévention de la fraude, sécurité | Hébergement, journalisation | Non |
| Données professionnelles / d'emploi | Vous | Personnaliser l'expérience | Sous-traitants ultérieurs d'hébergement / base de données | Non |
| Déductions | Dérivées | Analytics, recommandations | Interne uniquement | Non |
| Informations personnelles sensibles (identifiants) | Vous | Authentification | Sous-traitants ultérieurs d'hébergement / base de données | Non |
Nous n'avons ni vendu ni partagé d'informations personnelles au cours des 12 derniers mois.
9. Cookies et technologies similaires
Nous utilisons un petit nombre de cookies strictement nécessaires (session, langue) et pouvons utiliser des cookies d'analyse de première partie. Nous n'utilisons pas de cookies publicitaires tiers. Pour les détails complets, y compris le tableau des cookies et la manière de gérer vos préférences, voir la Politique relative aux cookies.
Pour les utilisateurs de l'EEE, du Royaume-Uni, de la France et de l'Allemagne, lorsque le consentement est requis pour les cookies non essentiels (Directive ePrivacy, § 25 TDDDG en Allemagne, article 82 de la Loi Informatique et Libertés en France), nous obtenons le consentement via le bandeau cookies avant de déposer des cookies non essentiels. Les boutons « Accepter tout » et « Refuser tout » sont d'accessibilité égale sur la première couche du bandeau, conformément à la Délibération CNIL 2020-091 et aux orientations de l'ICO.
10. Enfants
Les Services ne sont pas destinés aux enfants en deçà des limites d'âge décrites au § 1 des CGU. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants.
États-Unis (COPPA). Les Services ne sont pas destinés aux enfants de moins de 13 ans. Nous ne collectons pas sciemment d'informations personnelles auprès d'un enfant de moins de 13 ans. Si nous apprenons en avoir collecté, nous les supprimerons. Les parents/tuteurs peuvent contacter contact@ironact.net pour demander un examen ou une suppression. Nous nous conformerons aux modifications 2025 de la FTC à la Règle COPPA dès leur date d'entrée en vigueur.
Si vous pensez qu'un enfant nous a fourni des informations personnelles, contactez contact@ironact.net et nous les supprimerons.
11. Prise de décision automatisée
Nous ne prenons pas de décisions fondées exclusivement sur un traitement automatisé — y compris le profilage — produisant des effets juridiques ou des effets similaires significatifs vous concernant au sens de l'article 22 du RGPD / de l'article 22 du UK GDPR / de l'article 37-2 du PIPA / des règles ADMT du CCPA. Les analyses générées par IA produites par les Services sont des sorties d'aide à la décision examinées par votre équipe, et non des décisions vous concernant.
Si nos traitements évoluent de telle sorte que des décisions ADMT ou de type art. 22 deviennent pertinentes, nous fournirons les notifications, l'opt-out et les canaux d'examen humain requis, et mettrons à jour la présente Politique.
12. Sécurité
Nous utilisons des mesures techniques et organisationnelles conformes aux standards de l'industrie pour protéger les données personnelles, notamment :
- Chiffrement TLS 1.2+ en transit et chiffrement AES-256 au repos pour les bases de données et sauvegardes ;
- Contrôle d'accès basé sur les rôles et principes du moindre privilège ;
- Journalisation et surveillance des accès administratifs ;
- Mises à jour régulières de sécurité des dépendances et de l'infrastructure ;
- Revues de sécurité annuelles ; contrôles SOC 2 Type II pour les plans Enterprise (en cours / disponibles sur demande).
Aucun système n'est sûr à 100 %. En cas de violation de données personnelles susceptible de présenter un risque pour vos droits et libertés, nous notifierons l'autorité de contrôle compétente (et, le cas échéant, les utilisateurs concernés) dans les délais requis par les articles 33 et 34 du RGPD, par l'article 34 du PIPA (sans retard) et par les lois américaines d'État applicables en matière de notification de violation.
13. Autorités de contrôle
Vous pouvez introduire une réclamation auprès de l'autorité de contrôle de votre pays, notamment :
| Juridiction | Autorité | Site web |
|---|---|---|
| UE (guichet unique) | Votre autorité de contrôle locale — liste à l'adresse https://edpb.europa.eu/about-edpb/about-edpb/members_en | edpb.europa.eu |
| France | Commission Nationale de l'Informatique et des Libertés (CNIL) | cnil.fr |
| Allemagne | Federal Commissioner for Data Protection (BfDI) et l'autorité de contrôle du Land compétent | bfdi.bund.de |
| Royaume-Uni | Information Commissioner's Office (ICO) | ico.org.uk |
| Corée | Personal Information Protection Commission (PIPC) | pipc.go.kr |
| Californie | Attorney General / California Privacy Protection Agency (CPPA) | oag.ca.gov · cppa.ca.gov |
| Texas | Office of the Attorney General | texasattorneygeneral.gov |
| Virginie, Colorado, Connecticut et autres États | Attorney General de l'État | (voir le site de l'AG de votre État) |
Nous vous encourageons à nous contacter d'abord afin que nous puissions traiter directement votre demande.
14. Modifications de la présente Politique
Nous pouvons mettre à jour la présente Politique de temps à autre. Les modifications substantielles seront annoncées par e-mail ou notification dans le produit au moins 30 jours avant leur entrée en vigueur (ou tout délai plus long requis par la loi locale). La date de « Dernière mise à jour » en bas de cette page reflète toujours la version en vigueur. La poursuite de l'utilisation des Services après la date d'effet vaut acceptation de la Politique mise à jour.
15. Contact
E-mail : contact@ironact.net Général : contact@ironact.net
Ironact, Inc. 1111B S Governors Ave Ste 51691 Dover, DE 19904 United States Téléphone : +1 (415) 851-9366