Politique de confidentialité
Ce document décrit comment darenothium gère les informations que nous recevons de nos utilisateurs. Notre approche repose sur la transparence totale et le respect de vos droits.
Dernière mise à jour : 15 janvier 2025Notre philosophie de gestion des données
darenothium fonctionne selon un principe simple : nous ne recueillons que ce qui sert directement à fournir nos services de scoring prédictif basés sur l'apprentissage automatique. Chaque élément d'information que vous nous transmettez répond à une nécessité opérationnelle précise. Nous refusons l'accumulation excessive. Cette retenue découle d'une conviction profonde que la quantité de données ne garantit pas la qualité du service, mais accroît les risques pour toutes les parties.
Nos modèles de machine learning exigent certaines données d'entrée pour produire des analyses fiables. Sans ces informations de base, le système ne peut fonctionner. Mais une fois ces besoins satisfaits, nous n'élargissons pas notre collecte par opportunisme ou par habitude. Cette limitation volontaire guide chaque décision technique que nous prenons depuis la création de darenothium en 2019.
La confiance se construit sur des choix concrets, pas sur des déclarations d'intention. Vous découvrirez dans ce document des engagements spécifiques qui définissent notre relation avec vos informations personnelles.
Quelles informations entrent dans notre système
Le moment où vous créez un compte marque le premier échange d'informations. Nous enregistrons alors votre identité professionnelle — nom complet, fonction au sein de votre organisation, adresse électronique professionnelle. Ces éléments nous permettent de vous reconnaître lors de vos connexions ultérieures et d'associer vos actions à votre profil d'utilisateur.
Lorsque vous soumettez des données à analyser par nos algorithmes de scoring, nous recevons évidemment ces ensembles de données opérationnelles. Leur nature varie selon votre secteur d'activité : historiques transactionnels, comportements clients, indicateurs de risque, variables métier spécifiques. Ces informations transitent vers nos serveurs, sont traitées par nos modèles, puis restent accessibles dans votre espace sécurisé pour consultation future.
Nos systèmes capturent automatiquement certaines traces techniques de votre utilisation. Votre adresse IP apparaît dans nos journaux à chaque connexion. Le type de navigateur que vous employez, le système d'exploitation de votre appareil, les moments précis où vous accédez à la plateforme — tout cela génère des enregistrements automatiques. Ces métadonnées techniques nous aident à maintenir la sécurité du système et à détecter des anomalies potentielles.
Nous ne déployons aucun système de traçage comportemental sophistiqué. Pas de profilage publicitaire, pas d'analyse de personnalité, pas de cartographie de vos intérêts personnels. Notre politique concernant les cookies et technologies similaires figure dans un document séparé que vous trouverez sur notre site.
Quand vous nous contactez par courriel ou via notre formulaire de support, vos messages et demandes entrent naturellement dans notre système de gestion client. Nous conservons cette correspondance pour assurer un suivi cohérent de votre dossier.
Les informations de paiement et facturation suivent un chemin particulier. Vous transmettez ces détails directement à notre prestataire de paiement qui les traite de manière isolée. Nous recevons uniquement une confirmation de transaction et conservons les informations nécessaires à l'émission de factures conformes aux obligations comptables françaises.
Pourquoi ces informations nous sont nécessaires
Chaque catégorie de données répond à des besoins fonctionnels distincts que nous pouvons articuler clairement.
Fonctionnement du service de scoring
Vos données opérationnelles alimentent directement nos algorithmes de machine learning. Sans elles, le scoring prédictif que vous recherchez ne peut tout simplement pas exister. Ces modèles apprennent des patterns, détectent des corrélations, produisent des prédictions — mais uniquement si vous leur fournissez la matière première nécessaire. C'est la raison d'être fondamentale de notre plateforme.
Authentification et sécurité d'accès
Vos identifiants de connexion créent une barrière protectrice autour de vos données. Chaque fois que vous vous connectez, nous vérifions votre identité pour garantir que personne d'autre n'accède à votre espace. Les traces techniques que nous capturons servent à repérer des tentatives d'intrusion : connexions depuis des localisations inhabituelles, comportements suspects, activités automatisées malveillantes.
Communication directe avec vous
Votre adresse électronique nous permet de vous joindre pour des raisons essentielles : alertes de sécurité, modifications importantes de nos conditions, résultats d'analyses critiques, réponses à vos demandes de support. Nous ne l'utilisons pas pour vous inonder de marketing non sollicité.
Obligations réglementaires et contractuelles
Certaines informations doivent être conservées parce que la loi française l'exige. Les données de facturation en sont l'exemple le plus évident — la législation comptable impose leur archivage pendant dix années. D'autres obligations découlent du RGPD lui-même, qui nous demande de documenter comment nous traitons vos données et de pouvoir démontrer notre conformité.
Amélioration technique continue
Les données d'utilisation agrégées et anonymisées nous éclairent sur les performances de notre infrastructure. Elles révèlent les points de friction dans l'interface, les fonctionnalités sous-utilisées, les ralentissements techniques. Cette intelligence collective améliore l'expérience de tous nos utilisateurs sans compromettre la vie privée de quiconque.
Comment nous travaillons avec ces données
Le traitement que nous appliquons varie selon la nature des informations et leur finalité.
- Les données de scoring que vous soumettez traversent nos pipelines d'apprentissage automatique. Les algorithmes les analysent, les transforment, en extraient des patterns statistiques, génèrent des prédictions. Ce processus est largement automatisé, supervisé par nos équipes techniques qui ajustent les paramètres des modèles.
- Vos informations d'identification sont hachées cryptographiquement avant stockage. Personne chez darenothium, pas même nos administrateurs système, ne peut lire votre mot de passe en clair. Cette protection unidirectionnelle garantit que même une intrusion dans nos bases de données ne révélerait pas vos identifiants utilisables.
- Les demandes de support arrivent d'abord dans notre système de tickets automatisé qui les catégorise et les attribue. Un membre de notre équipe client lit ensuite votre message, consulte votre historique si nécessaire, et formule une réponse personnalisée. Cette intervention humaine reste encadrée par des protocoles stricts de confidentialité.
- Les métadonnées techniques alimentent nos tableaux de bord de surveillance. Des alertes automatiques se déclenchent quand des seuils anormaux sont franchis. Nos ingénieurs examinent alors ces signaux pour identifier d'éventuels problèmes de sécurité ou de performance.
Aucune décision automatisée produisant des effets juridiques significatifs ne repose uniquement sur le traitement algorithmique de vos données personnelles. Nos modèles de scoring analysent les données que vous nous confiez pour évaluer, mais ces résultats servent à informer vos propres décisions — pas à vous imposer des conclusions sans possibilité d'intervention humaine.
Qui peut accéder à vos informations en interne
L'accès aux données suit une logique de compartimentage strict. Nous appliquons le principe du moindre privilège : chaque personne chez darenothium ne voit que ce dont elle a absolument besoin pour accomplir sa mission.
| Rôle | Accès aux données clients | Justification |
|---|---|---|
| Équipe support client | Informations de compte et historique d'utilisation | Nécessaire pour résoudre vos demandes et diagnostiquer les problèmes techniques |
| Data scientists | Données de scoring anonymisées uniquement | Amélioration des modèles prédictifs sans exposition d'identités |
| Administrateurs système | Accès technique limité aux infrastructures | Maintenance serveurs et sécurité, sans consultation de contenu métier |
| Équipe commerciale | Aucun accès aux données opérationnelles | Séparation stricte entre activité commerciale et données clients |
| Direction | Tableaux de bord agrégés uniquement | Vision stratégique sans accès aux informations individuelles |
Tous nos employés signent des accords de confidentialité stricts dès leur embauche. Ces engagements contractuels survivent à leur départ de l'entreprise. Des audits internes réguliers vérifient le respect de ces règles d'accès.
Quand vos données quittent notre organisation
Plusieurs situations entraînent le transfert de vos informations vers des entités externes. Chaque mouvement répond à une nécessité spécifique et reste encadré par des garanties contractuelles.
Prestataires techniques essentiels
Notre infrastructure cloud repose sur des fournisseurs d'hébergement professionnels situés en France. Ces sociétés stockent physiquement les serveurs qui contiennent vos données. Nous avons sélectionné des partenaires certifiés ISO 27001 et conformes aux exigences RGPD, liés par des contrats de sous-traitance qui les soumettent à nos instructions strictes. Ils ne peuvent exploiter vos données pour leurs propres finalités.
Le processeur de paiement que nous employons reçoit directement vos informations bancaires lors des transactions. Nous avons délibérément choisi de ne jamais transiter ces données sensibles par nos propres systèmes. Ce prestataire opère selon les normes PCI-DSS qui régissent la sécurité des paiements par carte.
Obligation légale de divulgation
Dans certaines circonstances exceptionnelles, la loi nous contraint à communiquer des informations aux autorités. Une assignation judiciaire, une demande formelle de la CNIL, une enquête sur un délit grave — ces situations nous obligent à coopérer. Nous examinons scrupuleusement chaque demande pour vérifier sa légitimité et sa portée, ne divulguant que le strict nécessaire. Dans les limites légales, nous vous informons lorsqu'une telle divulgation survient.
Transfert d'activité
Si darenothium fait l'objet d'une acquisition, d'une fusion, ou d'une cession d'actifs, vos données feraient partie des éléments transférés au nouveau propriétaire. Cette hypothèse, bien que non prévue à court terme, mérite d'être mentionnée par souci de transparence. Le cas échéant, nous vous notifierions avant tout transfert effectif et vous expliquons vos options.
Ce que nous ne faisons jamais
Nous ne vendons pas vos données à des courtiers d'informations. Nous ne les louons pas à des annonceurs. Nous ne les échangeons pas contre des services marketing. Nous ne les agrégeons pas avec d'autres sources pour créer des profils enrichis destinés à la revente. Cette pratique lucrative mais éthiquement contestable ne correspond pas à notre modèle économique. Nos revenus proviennent exclusivement de vos abonnements à notre service de scoring.
Notre approche de la protection des données
La sécurité absolue n'existe pas. Aucune organisation connectée à Internet ne peut garantir une protection infaillible à 100%. Nous pouvons cependant décrire précisément les mesures que nous déployons pour réduire les risques à un niveau résiduel acceptable.
Chiffrement systématique
Toutes les communications entre votre navigateur et nos serveurs transitent via HTTPS avec certificats TLS modernes. Cette enveloppe cryptographique empêche l'interception des données en transit. Une fois arrivées sur nos serveurs, les informations sensibles sont chiffrées au repos dans nos bases de données. Les clés de chiffrement sont stockées séparément, protégées par des modules matériels de sécurité.
Architecture de défense en profondeur
Nos systèmes s'organisent en couches successives de protection. Des pare-feu filtrent le trafic entrant. Des systèmes de détection d'intrusion surveillent les comportements anormaux. L'authentification multi-facteurs bloque les accès non autorisés même si un mot de passe fuite. Les sauvegardes chiffrées permettent la récupération rapide après un incident.
Gestion des vulnérabilités
Nous appliquons les correctifs de sécurité dès leur publication par les éditeurs de nos logiciels. Des audits externes testent régulièrement nos défenses pour identifier les failles avant que des attaquants ne les exploitent. Notre équipe technique participe à des formations continues sur les menaces émergentes.
Préparation aux incidents
Malgré toutes ces précautions, une violation de données reste possible. Nous maintenons un plan de réponse aux incidents qui définit les procédures à suivre : containment immédiat de la brèche, investigation forensique, notification des autorités dans les 72 heures, communication transparente avec les personnes affectées. Ces protocoles sont testés périodiquement.
Vos droits et comment les exercer
Le RGPD vous confère plusieurs prérogatives sur vos données personnelles. Ces droits ne sont pas théoriques — nous avons mis en place des processus concrets pour que vous puissiez les activer facilement.
Consultation de vos informations
Vous pouvez demander une copie complète de toutes les données personnelles que nous détenons à votre sujet. Cette demande d'accès génère un export structuré que nous vous transmettons sous format lisible par machine. Le délai de réponse n'excède pas un mois. Cette démarche est gratuite pour la première demande annuelle.
Correction des inexactitudes
Si vous constatez des erreurs dans vos informations de profil, vous pouvez les rectifier directement depuis votre espace personnel. Pour des modifications plus complexes touchant à votre historique d'utilisation, contactez notre support qui vérifiera puis appliquera les corrections légitimes.
Suppression de vos données
Dans certaines circonstances, vous pouvez exiger l'effacement de vos données : si elles ne sont plus nécessaires aux finalités initiales, si vous retirez votre consentement, si vous vous opposez à leur traitement et qu'aucun motif légitime impérieux ne justifie leur conservation. Cette suppression connaît des limites légales — nous devons conserver certaines informations comptables ou réglementaires malgré votre demande.
Limitation du traitement
Vous pouvez demander le gel temporaire du traitement de vos données pendant que vous contestez leur exactitude, ou que vous vous opposez à leur utilisation, ou que nous vérifions si nos motifs légitimes prévalent sur vos droits. Durant cette période, nous conservons les données mais cessons de les traiter activement sauf exceptions légales.
Portabilité de vos données
Pour les informations que vous nous avez fournies directement et que nous traitons de manière automatisée sur base contractuelle ou avec votre consentement, vous pouvez récupérer ces données dans un format structuré couramment utilisé. Vous pouvez également demander leur transmission directe à un autre responsable de traitement lorsque c'est techniquement possible.
Opposition au traitement
Lorsque nous traitons vos données sur base de notre intérêt légitime, vous pouvez vous y opposer pour des raisons tenant à votre situation particulière. Nous devons alors cesser ce traitement sauf si nous démontrons des motifs légitimes et impérieux qui prévalent sur vos intérêts et droits.
Pour exercer l'un de ces droits, envoyez votre demande à l'adresse contact@darenothium.com en précisant clairement votre identité et le droit que vous souhaitez activer. Nous vérifions votre identité avant de traiter toute demande sensible pour éviter la divulgation frauduleuse d'informations. Notre délai de réponse standard est de deux semaines, avec un maximum légal d'un mois.
Durées de conservation
Nous ne gardons pas vos données indéfiniment. Chaque catégorie suit un cycle de vie défini par des critères fonctionnels et légaux.
| Type de données | Durée de conservation | Fondement |
|---|---|---|
| Données de compte actif | Pendant toute la durée de la relation contractuelle | Nécessaire à l'exécution du service |
| Données de scoring | 3 ans après la fin du contrat | Intérêt légitime pour l'amélioration des modèles |
| Journaux techniques | 12 mois glissants | Sécurité et détection d'incidents |
| Documents comptables | 10 ans après clôture d'exercice | Obligation légale fiscale |
| Correspondance support | 2 ans après résolution | Qualité de service et traçabilité |
Lorsqu'une période de conservation expire, nous lançons un processus de suppression irréversible. Les données sont écrasées selon des protocoles sécurisés qui empêchent toute récupération ultérieure. Les sauvegardes anciennes contenant ces informations sont progressivement purgées selon leur cycle de rotation.
Des événements spécifiques peuvent modifier ces durées. Une procédure judiciaire en cours nous oblige à conserver les éléments pertinents jusqu'à sa conclusion. Une demande explicite de suppression de votre part déclenche l'effacement anticipé sauf si une obligation légale l'empêche.
Fondements juridiques de nos traitements
Le RGPD exige que chaque traitement de données personnelles repose sur une base légale valide. Nous pouvons identifier précisément le fondement de chacune de nos activités.
- Exécution du contrat : Le traitement de vos données de compte et de scoring découle directement de notre relation contractuelle. Vous avez souscrit à notre service, ce qui nécessite inévitablement que nous traitions certaines informations pour délivrer la prestation promise. Sans ce traitement, nous ne pourrions tout simplement pas honorer nos engagements.
- Obligation légale : La conservation des documents comptables, la coopération avec les autorités judiciaires, certaines obligations de sécurité — ces traitements s'imposent à nous par la loi française et européenne. Nous n'avons aucune marge de manœuvre à leur égard.
- Intérêt légitime : L'amélioration continue de nos modèles, la détection de la fraude, la sécurisation de nos systèmes — ces finalités correspondent à des intérêts légitimes que nous poursuivons tout en respectant vos droits fondamentaux. Nous avons effectué des tests de proportionnalité pour vérifier que ces intérêts ne l'emportent pas indûment sur votre vie privée.
- Consentement : Pour certaines communications marketing non essentielles, nous sollicitons votre accord explicite. Ce consentement reste révocable à tout moment sans affecter la licéité des traitements antérieurs.
Utilisateurs mineurs
Nos services s'adressent exclusivement à des professionnels majeurs agissant dans un contexte commercial. Nous ne collectons pas sciemment d'informations concernant des personnes de moins de 18 ans. Si vous découvrez qu'un mineur nous a transmis des données personnelles, alertez-nous immédiatement afin que nous puissions supprimer ces informations de nos systèmes.
Transferts internationaux
Toutes vos données restent hébergées sur des serveurs physiquement situés en France. Nous n'effectuons aucun transfert vers des pays tiers hors Union Européenne. Cette localisation géographique stricte simplifie notre conformité RGPD et vous offre la protection maximale du cadre juridique européen.
Certains de nos prestataires techniques maintiennent des équipes dans plusieurs pays. Leurs accès à vos données, lorsqu'ils existent, sont strictement encadrés par des clauses contractuelles types approuvées par la Commission Européenne. Ces garanties assurent un niveau de protection équivalent au RGPD même en cas d'intervention technique depuis l'étranger.
Modifications de cette politique
Cette politique évolue avec nos pratiques et le cadre réglementaire. Lorsque nous apportons des modifications substantielles qui affectent vos droits, nous vous en informons par courrier électronique avec un préavis de 30 jours. Les ajustements mineurs de formulation ou les mises à jour techniques sans impact matériel peuvent intervenir sans notification préalable. La date de dernière mise à jour apparaît en haut de ce document.
Nous archivons les versions antérieures de cette politique pendant trois ans. Vous pouvez les consulter sur demande si vous souhaitez comparer les évolutions de nos pratiques dans le temps.
Réclamations et voies de recours
Si vous estimez que nous ne respectons pas vos droits en matière de protection des données, plusieurs options s'offrent à vous.
Commencez par nous contacter directement. La plupart des préoccupations trouvent une résolution rapide par le dialogue. Expliquez-nous clairement votre problème, nous examinerons votre situation avec attention et vous proposerons une solution dans un délai raisonnable.
Si notre réponse ne vous satisfait pas, vous disposez du droit de saisir la Commission Nationale de l'Informatique et des Libertés (CNIL), l'autorité française de contrôle. Vous pouvez déposer une plainte en ligne sur le site cnil.fr ou par courrier à l'adresse : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07. La CNIL dispose de pouvoirs d'investigation et de sanctions pour faire respecter le RGPD.
Vous conservez également la possibilité d'introduire un recours juridictionnel devant les tribunaux compétents si vous estimez avoir subi un préjudice du fait d'un traitement non conforme.