Portée et rôles
Cette politique s’applique au site Relay, à son espace d’administration et aux widgets conversationnels fournis par Relay.
Pour le fonctionnement du site, la gestion des comptes et la sécurité de la plateforme, Romain Venne, EI — Appsteroid, agit en qualité de responsable du traitement.
Pour les conversations ouvertes depuis le site d’un client, l’exploitant de ce site détermine généralement les finalités et les moyens essentiels du traitement. Il agit alors comme responsable du traitement et Appsteroid traite les données pour son compte, en qualité de sous-traitant. La politique de confidentialité du site qui intègre le chatbot complète donc la présente information.
Données traitées
Selon la manière dont vous utilisez Relay, les catégories suivantes peuvent être traitées :
- Compte et authentification : nom, adresse email, mot de passe haché, données nécessaires aux passkeys et à l’authentification à deux facteurs, ainsi que les informations de session.
- Administration du service : sites et domaines déclarés, réglages du widget, datasets, documents, contenus indexés et opérations réalisées par les utilisateurs habilités.
- Conversations du widget : questions, réponses, sources citées, identifiant de session, éventuel identifiant externe opaque transmis par le site client, URL de la page, origine ou référent technique et horodatages.
- Données techniques et de sécurité : adresse IP, type de navigateur, user-agent, journaux d’erreur, événements de connexion et données nécessaires à la prévention des abus.
- Échanges avec Appsteroid : contenu de vos demandes et coordonnées que vous choisissez de communiquer.
N’insérez pas dans un chatbot de données sensibles ou de données personnelles qui ne sont pas nécessaires à votre question.
Finalités et bases légales
| Finalité | Base légale principale |
|---|---|
| Créer et administrer un compte, fournir le cockpit et exécuter les fonctionnalités demandées. | Exécution du contrat ou mesures précontractuelles. |
| Importer, indexer et restituer les contenus configurés par un client. | Exécution du contrat et, pour les données confiées, instructions documentées du client. |
| Produire une réponse dans le widget et conserver l’historique associé. | Base déterminée par l’exploitant du site client ; traitement effectué par Appsteroid pour son compte. |
| Sécuriser les accès, limiter les abus, diagnostiquer les erreurs et défendre les droits du service. | Intérêt légitime à exploiter un service fiable et sécurisé, et obligations légales applicables. |
| Répondre aux demandes de contact et d’exercice de droits. | Intérêt légitime, mesures précontractuelles ou obligation légale selon la demande. |
Destinataires et sous-traitants
Les données sont accessibles, dans la limite de leurs attributions, à Appsteroid, aux administrateurs habilités du client concerné, à l’hébergeur OVH et, lorsque la loi l’exige, aux autorités compétentes.
Les composants de recherche vectorielle et de génération de texte exploités par Relay traitent les requêtes côté serveur afin de rechercher les sources et produire les réponses. Relay ne vend pas les données personnelles et ne les utilise pas pour afficher de la publicité ciblée.
Un client peut configurer une image ou une feuille de style de police hébergée par un tiers. Le navigateur du visiteur contacte alors ce tiers, qui peut recevoir des données techniques telles que l’adresse IP. Le client doit choisir ces ressources et en informer ses visiteurs de manière appropriée.
Durées de conservation
Les données sont conservées pendant une durée proportionnée à chaque finalité :
- les données de compte pendant la durée d’utilisation du service, puis pendant les délais nécessaires au respect des obligations légales et à la gestion d’éventuels litiges ;
- les sites, datasets, documents et configurations tant qu’ils sont maintenus dans l’espace du client, puis pendant le délai technique nécessaire à leur suppression et à la rotation des sauvegardes ;
- les conversations selon la durée définie avec l’exploitant du site concerné et ses besoins documentés ; elles ne doivent pas être conservées au-delà de ce qui est nécessaire à la fourniture et au suivi du service ;
- les journaux techniques et de sécurité pendant une durée limitée au diagnostic, à la prévention des abus et à la défense des droits d’Appsteroid.
Les durées précises peuvent être fixées contractuellement avec chaque client. Une obligation légale ou un contentieux peut justifier un archivage intermédiaire plus long, avec un accès restreint.
Cookies et stockage local
Le cockpit utilise des cookies strictement nécessaires à l’authentification, à la sécurité et au maintien de la session. La durée de la session applicative est configurée par défaut à 120 minutes d’inactivité ; elle peut être adaptée lors du déploiement.
Le widget enregistre dans le stockage local du navigateur un identifiant de session propre au chatbot. Cet identifiant relie les messages d’une même conversation. Il est supprimé lorsque l’utilisateur lance une nouvelle conversation ou efface les données du site dans son navigateur.
Dans sa configuration standard, Relay n’intègre pas de traceur publicitaire ni d’outil de mesure d’audience tiers. Si un client ajoute de tels outils sur le site qui héberge le widget, sa propre politique de cookies s’applique.
Transferts internationaux
Le fonctionnement standard de Relay n’organise pas de transfert de données personnelles en dehors de l’Espace économique européen. Si l’architecture, un sous-traitant ou une ressource externe configurée par un client devait conduire à un tel transfert, les personnes concernées seraient informées et les garanties exigées par le RGPD seraient mises en place.
Vos droits
Dans les conditions prévues par le RGPD, vous pouvez demander l’accès à vos données, leur rectification, leur effacement, la limitation du traitement ou leur portabilité. Vous pouvez également vous opposer à un traitement fondé sur l’intérêt légitime et retirer votre consentement lorsqu’un traitement repose sur celui-ci.
Écrivez à relay@appsteroid.fr en précisant votre demande. Pour une conversation de chatbot, indiquez si possible le site concerné, la date approximative et l’identifiant de session. Lorsque le site client est responsable du traitement, la demande peut lui être adressée directement ; Appsteroid l’assistera dans son traitement.
En cas de difficulté non résolue, vous pouvez déposer une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Sécurité et décisions automatisées
Relay met en œuvre des mesures techniques et organisationnelles destinées à protéger les données, notamment le contrôle des accès, l’isolement logique des contenus par site, la vérification des domaines autorisés et le chiffrement HTTPS en production. Aucun système connecté à internet ne peut toutefois offrir une sécurité absolue.
Le chatbot produit automatiquement des réponses, mais Relay ne prend pas, pour son propre compte, de décision produisant des effets juridiques ou affectant de manière similaire et significative une personne sur la seule base de ce traitement automatisé.
Évolution de la politique
Cette politique peut évoluer avec les fonctionnalités, l’architecture ou les exigences légales. La date de mise à jour affichée en tête de page permet d’identifier la version applicable. Toute modification substantielle sera signalée par un moyen approprié.