En vigueur au 26/09/2025

En vigueur pour le Site www.ethicog.ai et la Plateforme app.ethicog.ai
Politique archivée et consultable à tout moment sur www.ethicog.ai/politique-de-confidentialite

ARTICLE 1 : PRÉAMBULE
La présente politique de confidentialité a pour but d’informer les utilisateurs du site et de la plateforme :
- Sur la manière dont sont collectées et traitées leurs données personnelles. Sont considérées comme données personnelles toute information permettant d’identifier un utilisateur, directement ou indirectement (nom, prénom, adresse postale ou e-mail, numéro de téléphone, données de connexion, localisation, adresse IP, etc.) ;
- Sur les droits dont ils disposent concernant ces données, en application du RGPD et de la loi Informatique et Libertés ;
- Sur la personne responsable du traitement ;
- Sur les destinataires des données ;
- Sur la politique du site en matière de cookies.
Cette politique complète les Mentions légales, les Conditions Générales d’Utilisation (CGU) et les Conditions Générales de Vente (CGV) accessibles à l’adresse suivante :
- ethicog.ai/mentions-legales
- ethicog.ai/conditions-generales-dutilisation

ARTICLE 2 : PRINCIPES RELATIFS À LA COLLECTE ET AU TRAITEMENT DES DONNÉES
Conformément à l’article 5 du Règlement (UE) 2016/679 :
- Les données sont traitées de manière licite, loyale et transparente ;
- Collectées pour des finalités déterminées, explicites et légitimes (cf. Article 3.1) ;
- Adéquates, pertinentes et limitées à ce qui est nécessaire ;
- Exactes et tenues à jour ;
- Conservées sous une forme permettant l’identification des personnes concernées uniquement pendant la durée nécessaire ;
- Protégées par des mesures techniques et organisationnelles appropriées.
Base légale des traitements :
- Consentement de l’utilisateur ;
- Nécessité contractuelle (exécution d’un devis/contrat) ;
- Obligation légale ;
- Intérêt légitime du responsable de traitement.

ARTICLE 3 : DONNÉES PERSONNELLES COLLECTÉES ET TRAITÉES
3.1 Données collectées via le Site www.ethicog.ai Données collectées : nom, prénom, adresse e-mail professionnelle, entreprise et fonction éventuelle, ainsi que le contenu du message transmis via :
le formulaire de contact,
le formulaire de téléchargement de ressources,
le module de prise de rendez-vous intégré.
Finalités :
Réponse aux demandes de contact et échanges professionnels ;
Fourniture de ressources et documents informatifs ;
Organisation de rendez-vous et échanges précontractuels ;
Envoi d’informations sur les services d’EthiCog.ai lorsque l’utilisateur y consent explicitement (case à cocher) ;
Mesure d’audience du Site (Google Analytics), uniquement après consentement via le bandeau cookies (Google Consent Mode v2).
Durée de conservation :
Demandes de contact : 24 mois après le dernier échange ;
Téléchargements de contenu : 24 mois ou jusqu’au retrait du consentement ;
Données de rendez-vous : durée de la relation précontractuelle ;
Cookies : selon la Politique de cookies.
Sous-traitants concernés (Site uniquement) :
Hébergement : o2switch (France)
Emailing / envoi de communications : Brevo (UE)
Mesure d’audience : Google Tag Manager & Google Analytics (consentement requis, jamais appliqué au SaaS)
Important : Google Analytics et tout traçage marketing ne sont pas utilisés sur la Plateforme app.ethicog.ai.
3.2 Données collectées via la Plateforme app.ethicog.ai
Données collectées : nom, prénom, adresse e-mail professionnelle, rôle, entreprise, informations de progression pédagogique (modules consultés, date de connexion, temps d’usage).
Cas spécifiques : Invitation par un manager ou administrateur client : nom et e-mail du collaborateur invité sont renseignés pour lui créer un accès et lui envoyer un lien d’activation.
Import de listes (CSV) fourni par l’entreprise cliente : ces données sont utilisées uniquement pour inscrire les utilisateurs sur la Plateforme et leur adresser les invitations.
Interactions IA : Aucune donnée personnelle n’est transmise à OpenAI.
Seul le contenu conversationnel généré pendant l’usage est transmis via l’API pour rendre le service pédagogique.
Lorsque le prénom est utilisé dans les échanges avec l’IA, il est fourni par l’utilisateur dans la conversation et non transmis automatiquement par la Plateforme.
OpenAI conserve les journaux techniques au maximum 30 jours, puis les supprime ; ils ne sont pas utilisés pour entraîner les modèles.
Finalités : Création, gestion et gestion des accès utilisateurs ;
Suivi pédagogique dans le cadre de sensibilisations ou formations ;
La formation étant encadrée par la convention-cadre signée entre l’Entreprise cliente et Ethicog.ai, un certificat individuel de réalisation peut être généré en fin de formation si la convention-cadre le prévoit, et sous réserve de l’atteinte du score minimal requis aux quiz de validation (15/20) ;
Reporting agrégé pour les entreprises clientes ;
Amélioration continue du service sur la base de données anonymisées (sans ré-identification possible).
Hébergement :
Exécution serverless sur Cloudflare (Workers) ; stockage de fichiers sur Cloudflare R2 ; base de données sur Supabase (serveurs situés en Union européenne – Dublin).
Le cas échéant, des transferts hors UE (prestataires américains) sont encadrés par des mesures complémentaires, conformément à l’Article 7.
ARTICLE 4 : RESPONSABLE DU TRAITEMENT & CONTACT
Le responsable du traitement est Ethicog.ai, SASU au capital de 6 000 €, immatriculée au RCS de Paris sous le n° 942 792 169, dont le siège social est situé 61 rue de Lyon, 75012 Paris.
TVA intracommunautaire : FR79942792169.
Contact RGPD : contact@ethicog.ai (objet : «Données personnelles»).
Délégué à la protection des données (DPO) : non désigné à ce jour. En cas de désignation, la présente politique sera mise à jour et l’information communiquée.

ARTICLE 5 : BASES LÉGALES DES TRAITEMENTS
Les traitements mis en œuvre par Ethicog.ai reposent, selon les cas, sur les bases légales suivantes :
Exécution d’un contrat ou de mesures précontractuelles :
Création et gestion des comptes sur la Plateforme, fourniture des services pédagogiques, génération d’attestations/justificatifs le cas échéant, support utilisateur, gestion des accès et des crédits.
Intérêt légitime :
Réponse aux demandes via le formulaire de contact, prospection e-mail B2B adressée à des contacts professionnels en lien avec leurs fonctions, amélioration du service (y compris analyses internes sur données anonymisées), supervision humaine des contenus générés par l’IA, sécurité et prévention des abus. Pour la prospection B2B : information au plus tard lors du premier message, lien de désinscription dans chaque e-mail, prise en compte immédiate de toute opposition (mise en liste d’opposition interne).
Consentement :
Envoi de newsletters/ressources marketing hors cadre strictement B2B, et dépôt/lecture de cookies ou traceurs non essentiels (analytics, personnalisation, publicité). Le consentement peut être retiré à tout moment (lien de désinscription, centre de préférences cookies).
Obligation légale :
Facturation et obligations comptables (conservation des pièces), réponses aux demandes d’autorités légalement habilitées, obligations sectorielles de formation lorsque des textes spécifiques l’imposent.
Ethicog.ai n’invoque pas l’« obligation légale » lorsqu’une autre base est la plus appropriée (ex. consentement pour les newsletters hors B2B ; intérêt légitime pour la sécurité).

ARTICLE 6 : DESTINATAIRES, SOUS-TRAITANTS & CONFIDENTIALITÉ
Aucun usage commercial des données personnelles.
Accès internes : seuls les membres habilités d’EthiCog.ai (support, technique, produit, pédagogie) peuvent accéder aux données, dans la limite nécessaire à leurs missions et sous obligations strictes de confidentialité.
Sous-traitants du Site www.ethicog.ai :
o2switch (hébergement du Site — France)
Brevo (emailing / prise de rendez-vous — UE)
Google Tag Manager & Google Analytics (mesure d’audience — consentement requis, non utilisé sur la Plateforme)
Sous-traitants de la Plateforme app.ethicog.ai :
Supabase, Inc. (hébergement — serveurs situés en Union Européenne, Dublin)
Cloudflare, Inc. (réseau, pare-feu applicatif, optimisation de diffusion)
OpenAI OpCo, LLC (API IA — conservation max 30 jours, aucune utilisation à des fins d’entraînement)
Miloctav (développement et maintenance applicative — accès limité, encadré contractuellement)
Des Clauses Contractuelles Types et mesures complémentaires assurent la conformité en cas de transfert.

ARTICLE 7 : TRANSFERTS HORS UNION EUROPÉENNE / EEE
Lorsque des traitements impliquent des prestataires situés hors UE/EEE (ex. Cloudflare, OpenAI), Ethicog.ai met en place des garanties appropriées au sens du RGPD.
Pour OpenAI, les journaux techniques sont conservés au maximum 30 jours puis supprimés, et non utilisés pour l’entraînement des modèles.
Ethicog.ai privilégie l’hébergement et le stockage dans l’Union européenne.

ARTICLE 8 : DURÉES DE CONSERVATION
Les données sont conservées pour des durées limitées et proportionnées aux finalités :
- Demandes de contact (site vitrine) : 24 mois après le dernier échange, sauf relation commerciale active.
- Prospection B2B : conservation des coordonnées professionnelles tant qu’elles sont pertinentes au regard des fonctions et de la relation, avec respect immédiat du droit d’opposition (maintien en liste d’opposition technique).
- Comptes utilisateurs (Plateforme) : durée du contrat, puis 24 mois après sa fin, sauf obligations légales différentes.
- Données pédagogiques/usage : durée du contrat, puis 24 mois (ou durée imposée par un texte spécifique de la formation, lorsqu’applicable).
- Échanges avec l’IA (données brutes) : accès interne restreint, puis anonymisation à terme par Ethicog.ai. L’anonymisation consiste à supprimer tout élément permettant une ré-identification directe ou indirecte (nom, adresse e-mail, identifiant interne, contexte organisationnel). Une fois anonymisées, ces données ne permettent plus d’identifier une personne.
- Données anonymisées issues des interactions IA : conservées aussi longtemps que nécessaire aux finalités d’amélioration, de R&D/entraînement de modèles internes et d’analyses agrégées, sans possibilité d’identification.
- Logs OpenAI (prestataire) : maximum 30 jours, puis suppression.
- Facturation/comptabilité : 10 ans (obligation légale).
- Tickets de support : 18 mois après clôture.
- Cookies/traceurs : selon leur nature et la politique cookies (durées spécifiques indiquées dans ladite politique).

ARTICLE 9 : SÉCURITÉ DES DONNÉES
Ethicog.ai met en œuvre les mesures techniques et organisationnelles adaptées.
En cas de violation de données personnelles, Ethicog.ai applique une procédure interne de gestion d’incident et procède, le cas échéant, aux notifications prévues aux articles 33 et 34 du RGPD (CNIL et, si nécessaire, personnes concernées).
Mesures :
Chiffrement des données en transit (TLS) et au repos (fourni par Supabase) ;
Gestion des habilitations selon le principe du moindre privilège ;
Journalisation des accès et activités sensibles ;
Revue périodique des accès techniques et des sous-traitants ;
Sauvegardes régulières et cloisonnement logique des environnements.
Sécurité & certifications des prestataires
L’exécution de l’application est assurée par Cloudflare (Workers / R2), certifié ISO 27001, ISO 27701 et SOC 2 Type II.
Les données de la Plateforme sont hébergées sur Supabase, certifié SOC 2 Type II, reposant sur des infrastructures cloud conformes aux référentiels ISO 27001.
Ces certifications internationales garantissent la mise en place de contrôles stricts en matière de sécurité, de confidentialité, de continuité de service et d’intégrité des données.

ARTICLE 10 : DROITS DES PERSONNES
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, portabilité, opposition, ainsi que la possibilité de définir des directives post-mortem (droit français).
Droit d’opposition à la prospection : vous pouvez vous opposer à tout moment aux e-mails de prospection B2B via le lien de désinscription présent dans chaque message ou en écrivant à contact@ethicog.ai.
Ethicog.ai maintient une liste d’opposition pour empêcher toute ré-utilisation marketing de votre adresse.
Pour exercer vos droits : contact@ethicog.ai (objet : « Exercice de droits RGPD »). Une réponse vous sera apportée sous un mois (délai prolongeable de deux mois en cas de complexité).
Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr ).

ARTICLE 11 : COOKIES & TRACEURS
Les cookies strictement nécessaires au fonctionnement du site/plateforme sont déposés sans consentement.
Les cookies/traceurs non essentiels (analytics, personnalisation, publicitaires) sont déposés uniquement avec votre consentement, recueilli via un bandeau et un centre de préférences permettant un refus aussi simple que l’acceptation.
Les pixels de suivi insérés dans des e-mails marketing (mesure d’ouverture, etc.) constituent des traceurs non essentiels et nécessitent un consentement préalable ; à défaut, Ethicog.ai désactive ces traceurs ou les met en œuvre sans identification du destinataire.
Les finalités, durées et partenaires sont détaillés dans la Politique de cookies : www.ethicog.ai/politique-de-cookies.
Vous pouvez retirer votre consentement à tout moment.

ARTICLE 12 : MINEURS
Les services s’adressent à un public professionnel. En cas de collecte accidentelle de données de mineurs, merci de nous contacter afin que nous procédions à leur suppression dans les meilleurs délais.

ARTICLE 13 : MODIFICATIONS, ARCHIVAGE & OPPOSABILITÉ
La présente politique peut être mise à jour pour tenir compte de l’évolution des traitements, de la réglementation ou des prestataires.
Version en vigueur : 26/09/2025 — Politique archivée et consultable à tout moment sur www.ethicog.ai/politique-de-confidentialite.
Les modifications substantielles seront notifiées par les canaux habituels (site/plateforme et, le cas échéant, e-mail aux clients).

ARTICLE 14 : CONTACT
Ethicog.ai — 61 rue de Lyon, 75012 Paris — contact@ethicog.ai — 09 72 14 70 69.