Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur le site epsiio.fr et dans le cadre des prestations Epsiio est :

• Édouard Porcheron — Entrepreneur individuel (EI), exerçant sous le nom commercial Epsiio
• Inscrit au RCS de Bernay sous le numéro 104 925 433
• SIRET : 104 925 433 00013
• Adresse : 340 Rue des Forges, 27210 Boulleville, France
• Email : edouard@epsiio.fr
• Téléphone : 07 49 06 47 00

Compte tenu de la taille de la structure (entrepreneur individuel, volume de traitements limité, absence de traitement à grande échelle de données sensibles), aucun Délégué à la Protection des Données (DPO) n'est désigné. Les demandes relatives aux données personnelles sont traitées directement par le responsable du traitement à l'adresse ci-dessus.

2. Données collectées

Seules les données strictement nécessaires aux finalités décrites ci-dessous sont collectées (principe de minimisation, article 5.1.c RGPD).

• Formulaire de contact — champs obligatoires : nom, prénom, email, entreprise, contenu du message ; champ facultatif : téléphone. La fourniture des champs obligatoires conditionne la possibilité de répondre à votre demande.
• Prise de rendez-vous (Cal.com) : nom, adresse email, fuseau horaire, date et heure choisies, éventuel message de contexte.
• Échanges professionnels : correspondance par email, documents partagés dans le cadre d'une mission (brief, comptes rendus, livrables).
• Données de connexion : adresse IP, type de navigateur, pages visitées, logs serveurs (conservés à titre de sécurité et de preuve légale).
• Données contractuelles et comptables : coordonnées de facturation, historique des prestations (dans le cadre d'une relation client).

Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, santé, orientation sexuelle, etc.) n'est collectée.

3. Finalités & bases légales

Chaque traitement repose sur l'une des bases légales prévues à l'article 6 du RGPD :

• Répondre aux demandes de contact — mesures précontractuelles à la demande de la personne concernée (article 6.1.b).
• Exécution des prestations et facturation — exécution du contrat (article 6.1.b) et respect d'obligations légales (article 6.1.c — notamment obligations comptables et fiscales).
• Sécurité du site et prévention des abus (logs, anti-spam, protection contre les bots) — intérêt légitime (article 6.1.f).
• Communications commerciales — consentement explicite (article 6.1.a) pour les particuliers et les nouveaux prospects, ou intérêt légitime pour les prospects B2B dans la limite de produits ou services analogues, conformément à l'article L.34-5 du Code des postes et des communications électroniques.

4. Durée de conservation

• Demandes de contact sans suite : 3 ans à compter du dernier contact.
• Données clients (relation contractuelle) : durée de la relation contractuelle, puis 5 ans après la fin du contrat (prescription civile de droit commun — article 2224 du Code civil).
• Documents comptables et factures : 10 ans (article L.123-22 du Code de commerce).
• Logs de connexion : 12 mois maximum (article L.34-1 du Code des postes et des communications électroniques).
• Prospects (consentement marketing) : 3 ans à compter de la collecte ou du dernier contact actif.

5. Destinataires & sous-traitants

Vos données ne sont jamais vendues, louées ou cédées à des tiers. Elles sont traitées exclusivement par le responsable du traitement. Certains prestataires techniques peuvent accéder aux données dans le cadre strict de leur mission, sous contrat conforme à l'article 28 du RGPD :

• Hébergement web : Vercel Inc. (États-Unis) — infrastructure du site epsiio.fr.
• Mesure d'audience anonyme : Vercel Web Analytics (Vercel Inc.) — statistiques agrégées sans cookie ni identifiant persistant, adresses IP hachées, pas de suivi inter-sites.
• Prise de rendez-vous en ligne : Cal.com, Inc. (États-Unis) — widget de réservation intégré à la page contact, traitement des créneaux, rappels par email, synchronisation avec l'agenda du responsable du traitement.
• Envoi d'emails transactionnels : Gmail / Google Workspace (Google Ireland Limited).
• Comptabilité et obligations fiscales : expert-comptable (sous secret professionnel) et administration fiscale, sur requête légale.

La liste des sous-traitants peut évoluer. Pour connaître l'état actuel, contactez-nous.

6. Transferts hors Union Européenne

Certains sous-traitants (Vercel, Google, Cal.com) peuvent traiter des données sur des serveurs situés aux États-Unis. Ces transferts sont encadrés par :

• les clauses contractuelles types de la Commission européenne (décision d'exécution 2021/914) ;
• et/ou la certification au EU-U.S. Data Privacy Framework (décision d'adéquation du 10 juillet 2023).

7. Sécurité des données

Des mesures techniques et organisationnelles adaptées sont mises en œuvre conformément à l'article 32 du RGPD : chiffrement TLS des communications, contrôle d'accès aux systèmes, sauvegardes régulières, authentification forte sur les comptes critiques, confidentialité contractuelle avec les sous-traitants. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous serez informé conformément à l'article 34 du RGPD, et la CNIL notifiée sous 72h (article 33 du RGPD).

8. Vos droits

Conformément aux articles 15 à 22 du RGPD et aux articles 38 à 43 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès — obtenir confirmation et copie des données traitées.
• Droit de rectification — faire corriger des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli ») — dans les cas prévus par l'article 17 du RGPD.
• Droit à la limitation du traitement — article 18 du RGPD.
• Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine, les transmettre à un autre responsable de traitement (article 20).
• Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection.
• Droit de retirer votre consentement à tout moment, sans que cela affecte la licéité du traitement antérieur.
• Droit de définir des directives post mortem — article 40-1 de la loi Informatique et Libertés.

Pour exercer vos droits, envoyez une demande (accompagnée le cas échéant d'une pièce d'identité en cas de doute sur l'identité du demandeur) à : edouard@epsiio.fr. Une réponse vous sera adressée sous un mois, conformément à l'article 12 du RGPD.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — cnil.fr.

9. Cookies et traceurs

Le site epsiio.fr ne dépose aucun cookie HTTP sur votre navigateur. Une préférence d'affichage (mode clair/sombre) est enregistrée localement via localStorage afin de conserver votre choix d'interface entre deux visites. Cette information reste sur votre appareil, n'est pas transmise au serveur, et constitue un traceur strictement nécessaire au sens de l'article 82 de la loi Informatique et Libertés (exempté de consentement, conformément aux recommandations CNIL).

La mesure d'audience est assurée par Vercel Web Analytics, solution sans cookie qui produit des statistiques agrégées (pages vues, sources de trafic, type d'appareil). Les adresses IP sont hachées et aucun identifiant persistant n'est conservé, ce qui permet de bénéficier de l'exemption de consentement prévue par la délibération CNIL n° 2020-091 pour la mesure d'audience strictement anonyme.

La page Contact intègre un widget de prise de rendez-vous Cal.com (chargé dans une iframe sur le domaine app.cal.com). Ce widget peut déposer ses propres cookies sur le domaine de Cal.com lorsque vous interagissez avec le calendrier ; ces cookies relèvent exclusivement de la politique de confidentialité de Cal.com et ne sont pas accessibles au site epsiio.fr.

Aucun cookie de publicité, de réseau social ou de traçage tiers n'est déposé sans votre consentement préalable.

10. Intelligence artificielle et transparence (AI Act)

Epsiio conçoit et intègre des systèmes d'intelligence artificielle dans le cadre de prestations client. Conformément au Règlement (UE) 2024/1689 (AI Act) et aux principes de transparence :

• Usage interne : des outils d'IA générative peuvent être utilisés pour la productivité (rédaction, analyse, code). Aucune donnée client confidentielle n'est soumise à ces outils sans accord préalable.
• Livraison client : les systèmes IA livrés dans le cadre d'une mission font l'objet d'une documentation claire — finalités, modèles utilisés, limites connues, mesures de sécurité, journalisation, mécanismes de supervision humaine.
• Entraînement : aucune donnée personnelle collectée via ce site n'est utilisée pour entraîner des modèles d'IA.
• Décisions automatisées : aucune décision produisant des effets juridiques ou significatifs ne vous concernant n'est prise uniquement sur la base d'un traitement automatisé, sans intervention humaine (article 22 du RGPD).

Pour toute question sur les systèmes IA utilisés ou livrés, vous pouvez solliciter une explication à : edouard@epsiio.fr.

11. Mineurs

Le site et les services Epsiio s'adressent à une clientèle professionnelle majeure. Les données de mineurs ne sont pas collectées sciemment. Si vous pensez que des données d'un mineur ont été transmises, contactez-nous pour leur suppression immédiate.

12. Modifications de la politique

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. La date de dernière mise à jour figure en haut du document. En cas de changement substantiel, une information spécifique sera communiquée.

13. Contact

Pour toute question, demande d'exercice de droit ou réclamation : edouard@epsiio.fr.

Voir également les mentions légales.