Brouillon v0.6 — en attente de révision juridique. Vérifié structurellement par rapport au site en ligne et à la liste actuelle des sous-traitants. Un avocat espagnol (Angel Javier D., Barreau de Barcelone) a été mandaté le 26/05/2026 ; les corrections sont attendues sous 1 à 2 semaines et feront passer ce document en v1.0. Cette traduction française est fournie à titre de commodité ; en cas de divergence, la version anglaise fait foi.

Légal

Politique de confidentialité

Version 0.6 · Dernière mise à jour le 10 juin 2026

Responsable du traitement : AVA Digital LLC, Wyoming, États-Unis — nom commercial (UE) : AVA Digital (exploité depuis Marbella, Espagne). Contact confidentialité : privacy@avadigital.ai.

1. Qui nous sommes

AVA Digital LLC (« AVA », « nous ») est une société constituée dans le Wyoming et exploitée depuis l'Espagne. Nous fournissons le service d'accueil conversationnel par IA InTake à des entreprises clientes (les « Opérateurs »). La présente politique explique comment nous traitons les données personnelles des visiteurs d'avadigital.ai lui-même — prospects qui parcourent notre site, s'inscrivent à InTake ou discutent avec l'assistante IA intégrée à notre site.

La présente politique est régie par le Règlement général sur la protection des données (RGPD) de l'UE, la loi espagnole LOPDGDD (loi organique 3/2018) et le règlement européen sur l'IA (règlement 2024/1689) pour l'assistante IA présente sur le site.

2. Quelles données personnelles nous collectons, pourquoi, et sur quelle base juridique

2.1 Lorsque vous naviguez sur le site (toujours)

Données	Finalité	Base juridique (art. 6 RGPD)	Conservation
Adresse IP, agent utilisateur du navigateur, horodatage des pages vues	Sécurité (limitation de débit, détection des abus), journaux d'infrastructure	6(1)(f) intérêts légitimes	30 jours dans les journaux bruts ; statistiques agrégées indéfiniment
Cookies strictement nécessaires (session, CSRF)	Faire fonctionner le site	6(1)(f) + exception « strictement nécessaire » de la directive ePrivacy	limité à la session

2.2 Mesure d'audience

Nous n'utilisons actuellement aucun outil de mesure d'audience tiers sur avadigital.ai. Pas de Google Analytics, pas de Plausible, pas de Mixpanel, pas de Hotjar — rien. Si nous ajoutons un service de mesure d'audience à l'avenir, il sera indiqué au § 4 ci-dessous, conditionné à un consentement explicite via les cookies (et désactivé par défaut), et annoncé sur cette page au moins 30 jours avant son déploiement.

2.3 Lorsque vous remplissez le formulaire « Demander une démo » / contact

Données	Finalité	Base juridique	Conservation
Nom, e-mail professionnel, nom de l'entreprise, texte du message	Répondre à votre demande, qualifier le prospect, proposer une démo	6(1)(b) mesures précontractuelles à votre demande	Jusqu'à 24 mois après le dernier contact ; supprimées sur demande

2.4 Lorsque vous discutez avec l'assistante IA sur avadigital.ai

Données	Finalité	Base juridique	Conservation
Vos messages saisis + les réponses de l'assistante	Répondre à vos questions sur InTake ; vous orienter vers le service commercial	6(1)(b) mesures précontractuelles + 6(1)(f) amélioration du produit	90 jours
Identifiant de session (pseudonyme HMAC, pas votre IP)	Dédoublonner, appliquer les limites de débit	6(1)(f)	90 jours

L'assistante IA du site AVA est le même moteur conversationnel InTake que nous vendons à nos Opérateurs, configuré ici pour l'accueil d'AVA elle-même. En vertu de l'article 50 du règlement européen sur l'IA, le premier message indique toujours que vous parlez à une IA. Il s'agit d'un système d'IA à risque limité — aucune décision automatisée produisant des effets juridiques, aucun profilage à des fins de publicité ciblée.

2.5 Lorsque vous créez un compte InTake

Le parcours d'inscription collecte, via la connexion Google, vos nom, adresse e-mail et photo de profil issus de votre compte Google ; si vous connectez un Google Agenda, le jeton d'actualisation OAuth (chiffré au repos sur l'infrastructure d'AVA) ; ainsi que votre statut sur la liste d'autorisation des opérateurs. Base juridique : 6(1)(b) contrat / mesures précontractuelles. À partir du moment où vous devenez Opérateur, l'accord de traitement des données (DPA) régit la relation responsable–sous-traitant concernant les données personnelles que vos clients finaux transmettent dans votre espace — ce flux n'est pas couvert par la présente politique.

3. Cookies et technologies similaires

Consultez la politique relative aux cookies dédiée pour l'inventaire cookie par cookie, les finalités, les durées et l'interface de consentement. La politique relative aux cookies et la présente politique de confidentialité sont tenues à jour de concert — lorsque l'une change, l'autre est révisée dans la même passe.

4. Avec qui nous partageons vos données

Nous ne vendons pas vos données personnelles. Nous les partageons de manière restreinte avec les destinataires suivants, chacun lié par un contrat écrit et (pour les destinataires hors UE) les clauses contractuelles types de l'UE, Module 2 :

Destinataire	Rôle	Lieu	Mécanisme
Google LLC — API Gemini (Cloud, facturation activée)	Traiter les messages de discussion avec l'assistante IA du site (« Lilou ») ; API Google Agenda pour la réservation par les opérateurs ; requêtes de modèle Gemini pour les comptes clients acheminées via la passerelle de modèles gérée d'AVA (AVA Units)	États-Unis (avec routage de modèle dans l'UE lorsque disponible)	CCT Module 2 + cadre de protection des données UE–États-Unis (DPF) + avenant de traitement des données Google Cloud + configuration à conservation nulle
Anthropic, PBC — API Claude	Traiter les requêtes des agents IA (invites + réponses générées) pour les comptes clients qui choisissent Claude via la passerelle de modèles gérée d'AVA (AVA Units). La passerelle elle-même ne journalise aucun contenu de message — uniquement des métadonnées de dépense	États-Unis	CCT Module 2 + conditions commerciales & avenant de traitement des données (DPA) d'Anthropic ; le contenu API n'est pas utilisé pour entraîner les modèles
OpenAI, L.L.C. — API OpenAI	Traiter les requêtes des agents IA (invites + réponses générées) pour les comptes clients qui choisissent GPT via la passerelle de modèles gérée d'AVA (AVA Units). La passerelle elle-même ne journalise aucun contenu de message — uniquement des métadonnées de dépense	États-Unis	CCT Module 2 + DPA d'OpenAI + cadre de protection des données UE–États-Unis (DPF) ; le contenu API n'est pas utilisé pour entraîner les modèles
Resend, Inc.	Envoyer les réponses aux soumissions du formulaire de contact et les confirmations de réservation	États-Unis	CCT Module 2 + DPA Resend signé
Cloudflare, Inc.	CDN, protection anti-DDoS, terminaison TLS, hébergement Pages ; peut traiter des adresses IP + métadonnées de requête en transit	Siège aux États-Unis / edge mondial	CCT Module 2 + DPA Cloudflare
Infrastructure propre d'AVA Digital (première partie — pas un sous-traitant)	Serveurs applicatifs + base de données pour avadigital.ai lui-même	Marbella, Espagne (UE)	S/O (systèmes propres du responsable)

La liste de référence actuelle (avec noms + rôles + juridictions) est publiée dans notre registre interne des sous-traitants et disponible sur demande. Les ajouts substantiels sont annoncés sur cette page au moins 30 jours avant leur entrée en vigueur.

5. Transferts internationaux

Les cinq sous-traitants listés au § 4 (Google, Anthropic, OpenAI, Resend, Cloudflare) sont établis aux États-Unis. Nous nous appuyons sur les garanties suivantes, superposées :

Clauses contractuelles types (CCT) de l'UE — Module 2 (responsable→sous-traitant), adoptées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, signées avec chaque prestataire via leurs avenants de traitement des données respectifs.
Cadre de protection des données UE–États-Unis (DPF) — Google LLC et OpenAI, L.L.C. sont certifiées au titre du DPF, fournissant une base d'adéquation supplémentaire pour les transferts vers les États-Unis.
Mesures techniques complémentaires — TLS 1.2+ en transit ; chiffrement au repos ; configuration à conservation nulle avec l'API Gemini (le contenu des discussions n'est pas utilisé pour entraîner les modèles de fondation de Google et n'est pas conservé chez Google au-delà de la requête) ; conditions API sans entraînement avec Anthropic et OpenAI (le contenu API n'est pas utilisé pour entraîner leurs modèles) ; la passerelle de modèles d'AVA ne journalise aucun contenu d'invite ou de réponse — uniquement les décomptes de jetons et la dépense ; l'accès aux IP et aux métadonnées de requête chez Cloudflare est limité aux finalités de routage + sécurité.

Une copie des CCT pertinentes et de notre analyse d'impact des transferts est disponible sur demande à privacy@avadigital.ai.

6. Vos droits

En vertu des articles 15 à 22 du RGPD, vous disposez du droit de :

Accéder aux données personnelles que nous détenons à votre sujet (art. 15)
Rectifier les données inexactes (art. 16)
Effacer vos données (« droit à l'oubli » — art. 17)
Limiter le traitement (art. 18)
Vous opposer au traitement fondé sur l'intérêt légitime (art. 21)
Recevoir vos données dans un format portable (art. 20)
Retirer votre consentement pour tout traitement fondé sur le consentement — gratuitement, à tout moment, sans préjudice du traitement déjà effectué (art. 7(3))
Introduire une réclamation auprès de l'autorité espagnole de protection des données AEPD (www.aepd.es) ou de l'autorité de contrôle chef de file de votre pays de l'UE

Pour exercer l'un de ces droits, écrivez à privacy@avadigital.ai. Nous répondons dans un délai de 30 jours, comme l'exige l'art. 12(3).

7. Décision automatisée et profilage

L'assistante IA du site AVA ne prend pas de décisions automatisées produisant des effets juridiques ou vous affectant de manière significative au sens de l'art. 22 du RGPD. Elle répond à des questions, vous oriente vers une personne au service commercial et propose de réserver une démo. Il n'y a aucun profilage à des fins de publicité ciblée ni aucune notation des visiteurs.

8. Enfants

avadigital.ai ne s'adresse pas aux enfants et nous ne collectons pas sciemment de données de personnes de moins de 16 ans. Si vous pensez qu'un enfant a utilisé le site, contactez-nous et nous supprimerons les données concernées.

9. Sécurité

Nous protégeons les données par le chiffrement en transit (HTTPS) et au repos, des contrôles d'accès stricts, la journalisation des audits et les mesures techniques exposées à l'annexe II de notre accord de traitement des données. Notre processus de réponse aux incidents notifie l'AEPD dans les 72 heures suivant la prise de connaissance d'une violation à notifier (art. 33 du RGPD).

10. Modifications de la présente politique

Nous pouvons mettre à jour cette politique à mesure que le site, l'assistante IA ou notre liste de sous-traitants évoluent. Les modifications substantielles sont annoncées en haut de cette page au moins 30 jours avant leur entrée en vigueur ; les clarifications mineures sont apportées discrètement avec une date de « dernière mise à jour » actualisée. La version actuelle est toujours disponible à avadigital.ai/fr/privacy.

Journal des modifications

v0.6 · 10 juin 2026 — Ajout d'Anthropic (API Claude) et d'OpenAI (API OpenAI) au tableau des sous-traitants du § 4 : fournisseurs de modèles pour les comptes clients utilisant la passerelle de modèles gérée d'AVA (AVA Units). Annoncé avant le déploiement client conformément à l'engagement de préavis de 30 jours. § 5 mis à jour (cinq sous-traitants américains ; certification DPF d'OpenAI ; conditions API sans entraînement ; la passerelle ne journalise aucun contenu de message).
v0.5 · 27 mai 2026 — F-03 : divulgation des cookies corrigée pour refléter fidèlement intk:ava:lang défini par le widget Intake. CC_VERSION incrémenté pour redemander le consentement.
v0.4 · 26 mai 2026 — Identité du responsable complétée (D-U-N-S, adresse WY, exploitation à Marbella) ; tableau des sous-traitants du § 4 resserré (Google Gemini, Resend, Cloudflare) ; § 5 transferts enrichi des CCT Module 2 + DPF UE–États-Unis + configuration Gemini à conservation nulle ; adresse postale de l'AEPD ajoutée au § 6 ; exemption de représentant UE (art. 27) documentée (établissement art. 3(1)).

11. Contact

Responsable du traitement	AVA Digital LLC
E-mail	privacy@avadigital.ai
Représentant dans l'UE (art. 27 RGPD)	Non requis. Le dirigeant d'AVA Digital LLC réside et exerce depuis l'Espagne, ce qui constitue un dispositif stable dans l'UE au sens du critère d'établissement de l'art. 3(1) du RGPD (selon les lignes directrices 3/2018 du CEPD sur le champ d'application territorial du RGPD). Le traitement est donc directement soumis à l'art. 3(1) du RGPD et la désignation d'un représentant au titre de l'art. 27 n'est pas applicable. Sous réserve de confirmation par un conseil externe lors de la révision v1.0.
Adresse postale (États-Unis)	1603 Capitol Ave, Ste 415, Cheyenne, WY 82001, USA (D-U-N-S 136864260)
Adresse postale (exploitation en Espagne)	Marbella, Espagne (UE)
Autorité de contrôle chef de file	AEPD — Agencia Española de Protección de Datos · C/ Jorge Juan, 6 · 28001 Madrid · www.aepd.es