Politique de Confidentialité

Politique de Confidentialité

Politique de Confidentialité

Politique de Confidentialité




1. Introduction

La présente Politique de Confidentialité a pour objet d’informer les utilisateurs, partenaires et clients de la solution DIYEVA sur la manière dont leurs données personnelles sont collectées, utilisées, stockées et protégées, conformément :

  • au Règlement Général sur la Protection des Données (RGPD) n°2016/679 du 27 avril 2016,

  • à la Loi Informatique et Libertés modifiée (Loi n°78-17 du 6 janvier 1978),

  • ainsi qu’aux normes internationales de sécurité de l’information (ISO 27001, ISO 27701, SOC 2 Type II, HDS).

DIYEVA est une solution d’intelligence vocale conversationnelle, opérée par DIYEVA, établie en France au 101 avenue de Paris 92320 Châtillon, SIRET 84947154500012, qui agit en qualité de Responsable de traitement pour ses utilisateurs directs et de Sous-traitant pour les traitements effectués pour le compte de ses clients professionnels.

Nous nous engageons à garantir la confidentialité, la sécurité, et la transparence dans tous les traitements de données réalisés.


2. Définitions

Aux fins de la présente politique :

  • « Donnée personnelle » : toute information se rapportant à une personne physique identifiée ou identifiable (article 4 du RGPD).

  • « Traitement » : toute opération appliquée à des données personnelles (collecte, enregistrement, conservation, etc.).

  • « Responsable du traitement » : entité déterminant les finalités et moyens du traitement.

  • « Sous-traitant » : entité traitant les données pour le compte du responsable de traitement.

  • « Utilisateur » : toute personne utilisant la solution DIYEVA ou interagissant avec ses services.


3. Données collectées

3.1 Données fournies volontairement

  • Données d’identification : nom, prénom, adresse e-mail, numéro de téléphone, fonction, entreprise ou établissement.

  • Données de compte : identifiant, mot de passe (haché et salé), préférences, paramètres utilisateur.

  • Données contractuelles : abonnements, facturation, historique de services, échanges avec le support.

  • Données vocales et textuelles : enregistrements audio, transcriptions, messages et requêtes utilisateurs.

  • Données de paiement : coordonnées bancaires (gérées via un prestataire certifié PCI-DSS, DIYEVA n’y a jamais accès).

3.2 Données collectées automatiquement

  • Données de connexion : adresse IP, système d’exploitation, navigateur, appareil utilisé.

  • Données d’utilisation : fonctionnalités activées, fréquence, durée des appels ou requêtes, erreurs rencontrées.

  • Données techniques et de sécurité : journaux (logs), alertes, événements système.

3.3 Données issues de services tiers

Lorsqu’un utilisateur connecte DIYEVA à des services externes (ex. CRM, ERP, API tierce), seules les données nécessaires à l’exécution de la fonctionnalité concernée sont traitées, dans le strict respect des accords contractuels et du consentement fourni.


4. Finalités et bases légales du traitement

Finalité du traitement Base légale (RGPD)

Fournir les services vocaux et conversationnels de DIYEVA Exécution du contrat

Gestion des comptes, support et assistance Exécution du contrat

Sécurité, maintenance, amélioration du service Intérêt légitime

Facturation, gestion comptable Obligation légale

Conservation des preuves et conformité Intérêt légitime / Obligation légale

Communications informatives ou commerciales Consentement 



DIYEVA s’interdit tout profilage automatisé ou exploitation commerciale des données sans consentement explicite.



5. Partage et destinataires des données

Les données personnelles ne sont partagées qu’avec :

  • Le personnel autorisé de DIYEVA, soumis à une obligation de confidentialité contractuelle.

  • Nos sous-traitants techniques (hébergement, sécurité, infrastructure, maintenance), tous certifiés RGPD et ISO 27001.

  • Les autorités judiciaires ou administratives compétentes, uniquement en cas d’obligation légale.

DIYEVA ne vend, ne loue, ni ne divulgue aucune donnée personnelle à des tiers non autorisés.


6. Hébergement et sécurité

Vos données sont conservées et stockées sur les serveurs de OVH SAS, 2 rue Kellermann, 59100 Roubaix, France.

OVH est certifié :

  • HDS (Hébergeur de Données de Santé),

  • ISO 27001 (management de la sécurité),

  • ISO 27701 (management de la vie privée).

  • RGPD

Ces serveurs sont situés exclusivement en France, garantissant que aucun transfert de données hors de l’Union Européenne n’a lieu sans garanties appropriées (Clauses Contractuelles Types, décisions d’adéquation ou consentement explicite).

Les mesures de sécurité incluent :

  • Chiffrement AES-256 au repos et TLS 1.3 en transit,

  • Authentification à plusieurs facteurs (MFA),

  • Cloisonnement des environnements (staging / production),

  • Sauvegardes chiffrées, réplication redondante et PRA,

  • Journalisation complète des accès et actions,

  • Tests de pénétration réguliers et audits de conformité.


7. Durée de conservation

Les durées de conservation sont établies selon la finalité du traitement :


Catégorie de données Durée de conservation

Données de compte client Durée du contrat

Données vocales / transcriptions 12 mois

Données techniques et journaux 12 mois

Données de facturation 10 ans (obligation légale)

Données de consentement durée du contrat

Données supprimées / inactives Anonymisation ou suppression sous 30 jours


Au terme de ces durées, les données sont supprimées ou anonymisées de manière irréversible.


8. Droits des personnes concernées

Conformément aux articles 13 à 22 du RGPD, tout utilisateur dispose des droits suivants :

  • Droit d’accès à ses données,

  • Droit de rectification des données inexactes ou incomplètes,

  • Droit d’effacement (“droit à l’oubli”),

  • Droit à la limitation du traitement,

  • Droit à la portabilité (export des données dans un format lisible),

  • Droit d’opposition au traitement fondé sur l’intérêt légitime,

  • Droit de retirer le consentement à tout moment,

  • Droit d’introduire une réclamation auprès de la CNIL,

  • Droit de définir des directives post-mortem sur le devenir de ses données.

Exercice des droits

Les demandes doivent être adressées à :

📧 contact@diyeva.ai

DIYEVA s’engage à répondre dans un délai maximum de 30 jours.

Un justificatif d’identité peut être demandé afin de garantir la sécurité des traitements.


9. Sous-traitance et conformité contractuelle

Tous les sous-traitants de DIYEVA sont liés par :

  • des contrats de traitement conformes à l’article 28 du RGPD,

  • des clauses de confidentialité renforcées,

  • et une obligation de notification en cas d’incident.

Une liste à jour des sous-traitants peut être fournie sur demande.


10. Sécurité opérationnelle et gestion des incidents

DIYEVA applique une politique de cybersécurité de niveau entreprise, comprenant :

  • un plan de gestion des vulnérabilités,

  • une politique de gestion des accès,

  • des revues régulières des habilitations,

  • une procédure de réponse aux incidents, incluant notification à la CNIL sous 72h en cas de violation.


11. Comptes inactifs et suppression

Tout compte utilisateur inactif depuis 30 jours est susceptible d’être supprimé après notification préalable.

Les données essentielles (facturation, conformité) peuvent être archivées pendant la durée légale (10 ans).


12. Évolutions de la politique

DIYEVA se réserve le droit de modifier la présente politique en fonction :

  • des évolutions légales et réglementaires,

  • des recommandations de la CNIL,

  • ou des ajustements techniques.

Les utilisateurs seront informés de toute modification substantielle avant son entrée en vigueur.


13. Contact

Pour toute question relative à cette politique ou à la protection des données :

📧 contact@diyeva.ai






Dernière mise à jour : 1er Octobre 2025




  1. 1. Introduction

    La présente Politique de Confidentialité a pour objet d’informer les utilisateurs, partenaires et clients de la solution DIYEVA sur la manière dont leurs données personnelles sont collectées, utilisées, stockées et protégées, conformément :

    • au Règlement Général sur la Protection des Données (RGPD) n°2016/679 du 27 avril 2016,

    • à la Loi Informatique et Libertés modifiée (Loi n°78-17 du 6 janvier 1978),

    • ainsi qu’aux normes internationales de sécurité de l’information (ISO 27001, ISO 27701, SOC 2 Type II, HDS).

    DIYEVA est une solution d’intelligence vocale conversationnelle, opérée par [DIYEVA / société en cours de constitution], établie en France, qui agit en qualité de Responsable de traitement pour ses utilisateurs directs et de Sous-traitant pour les traitements effectués pour le compte de ses clients professionnels.

    Nous nous engageons à garantir la confidentialité, la sécurité, et la transparence dans tous les traitements de données réalisés.


    2. Définitions

    Aux fins de la présente politique :

    • « Donnée personnelle » : toute information se rapportant à une personne physique identifiée ou identifiable (article 4 du RGPD).

    • « Traitement » : toute opération appliquée à des données personnelles (collecte, enregistrement, conservation, etc.).

    • « Responsable du traitement » : entité déterminant les finalités et moyens du traitement.

    • « Sous-traitant » : entité traitant les données pour le compte du responsable de traitement.

    • « Utilisateur » : toute personne utilisant la solution DIYEVA ou interagissant avec ses services.


    3. Données collectées

    3.1 Données fournies volontairement

    • Données d’identification : nom, prénom, adresse e-mail, numéro de téléphone, fonction, entreprise ou établissement.

    • Données de compte : identifiant, mot de passe (haché et salé), préférences, paramètres utilisateur.

    • Données contractuelles : abonnements, facturation, historique de services, échanges avec le support.

    • Données vocales et textuelles : enregistrements audio, transcriptions, messages et requêtes utilisateurs.

    • Données de paiement : coordonnées bancaires (gérées via un prestataire certifié PCI-DSS, DIYEVA n’y a jamais accès).

    3.2 Données collectées automatiquement

    • Données de connexion : adresse IP, système d’exploitation, navigateur, appareil utilisé.

    • Données d’utilisation : fonctionnalités activées, fréquence, durée des appels ou requêtes, erreurs rencontrées.

    • Données techniques et de sécurité : journaux (logs), alertes, événements système.

    3.3 Données issues de services tiers

    Lorsqu’un utilisateur connecte DIYEVA à des services externes (ex. CRM, ERP, API tierce), seules les données nécessaires à l’exécution de la fonctionnalité concernée sont traitées, dans le strict respect des accords contractuels et du consentement fourni.


    4. Finalités et bases légales du traitement

    Finalité du traitement Base légale (RGPD)

    Fournir les services vocaux et conversationnels de DIYEVA Exécution du contrat (Art. 6.1.b)

    Gestion des comptes, support et assistance Exécution du contrat

    Sécurité, maintenance, amélioration du service Intérêt légitime (Art. 6.1.f)

    Facturation, gestion comptable Obligation légale

    Conservation des preuves et conformité Intérêt légitime / Obligation légale

    Communications informatives ou commerciales Consentement 



    DIYEVA s’interdit tout profilage automatisé ou exploitation commerciale des données sans consentement explicite.



    5. Partage et destinataires des données

    Les données personnelles ne sont partagées qu’avec :

    • Le personnel autorisé de DIYEVA, soumis à une obligation de confidentialité contractuelle.

    • Nos sous-traitants techniques (hébergement, sécurité, infrastructure, maintenance), tous certifiés RGPD et ISO 27001.

    • Les autorités judiciaires ou administratives compétentes, uniquement en cas d’obligation légale.

    DIYEVA ne vend, ne loue, ni ne divulgue aucune donnée personnelle à des tiers non autorisés.


    6. Hébergement et sécurité

    Vos données sont conservées et stockées sur les serveurs de OVH SAS, 2 rue Kellermann, 59100 Roubaix, France.

    OVH est certifié :

    • HDS (Hébergeur de Données de Santé),

    • ISO 27001 (management de la sécurité),

    • ISO 27701 (management de la vie privée).

    • RGPD

    Ces serveurs sont situés exclusivement en France, garantissant que aucun transfert de données hors de l’Union Européenne n’a lieu sans garanties appropriées (Clauses Contractuelles Types, décisions d’adéquation ou consentement explicite).

    Les mesures de sécurité incluent :

    • Chiffrement AES-256 au repos et TLS 1.3 en transit,

    • Authentification à plusieurs facteurs (MFA),

    • Cloisonnement des environnements (staging / production),

    • Sauvegardes chiffrées, réplication redondante et PRA,

    • Journalisation complète des accès et actions,

    • Tests de pénétration réguliers et audits de conformité.


    7. Durée de conservation

    Les durées de conservation sont établies selon la finalité du traitement :


    Catégorie de données Durée de conservation

    Données de compte client Durée du contrat

    Données vocales / transcriptions 12 mois

    Données techniques et journaux 12 mois

    Données de facturation 10 ans (obligation légale)

    Données de consentement durée du contrat

    Données supprimées / inactives Anonymisation ou suppression sous 30 jours


    Au terme de ces durées, les données sont supprimées ou anonymisées de manière irréversible.


    8. Droits des personnes concernées

    Conformément aux articles 13 à 22 du RGPD, tout utilisateur dispose des droits suivants :

    • Droit d’accès à ses données,

    • Droit de rectification des données inexactes ou incomplètes,

    • Droit d’effacement (“droit à l’oubli”),

    • Droit à la limitation du traitement,

    • Droit à la portabilité (export des données dans un format lisible),

    • Droit d’opposition au traitement fondé sur l’intérêt légitime,

    • Droit de retirer le consentement à tout moment,

    • Droit d’introduire une réclamation auprès de la CNIL,

    • Droit de définir des directives post-mortem sur le devenir de ses données.

    Exercice des droits

    Les demandes doivent être adressées à :

    📧 contact@diyeva.ai

    DIYEVA s’engage à répondre dans un délai maximum de 30 jours.

    Un justificatif d’identité peut être demandé afin de garantir la sécurité des traitements.


    9. Sous-traitance et conformité contractuelle

    Tous les sous-traitants de DIYEVA sont liés par :

    • des contrats de traitement conformes à l’article 28 du RGPD,

    • des clauses de confidentialité renforcées,

    • et une obligation de notification en cas d’incident.

    Une liste à jour des sous-traitants peut être fournie sur demande.


    10. Sécurité opérationnelle et gestion des incidents

    DIYEVA applique une politique de cybersécurité de niveau entreprise, comprenant :

    • un plan de gestion des vulnérabilités,

    • une politique de gestion des accès,

    • des revues régulières des habilitations,

    • une procédure de réponse aux incidents, incluant notification à la CNIL sous 72h en cas de violation.


    11. Comptes inactifs et suppression

    Tout compte utilisateur inactif depuis 30 jours est susceptible d’être supprimé après notification préalable.

    Les données essentielles (facturation, conformité) peuvent être archivées pendant la durée légale (10 ans).


    12. Évolutions de la politique

    DIYEVA se réserve le droit de modifier la présente politique en fonction :

    • des évolutions légales et réglementaires,

    • des recommandations de la CNIL,

    • ou des ajustements techniques.

    Les utilisateurs seront informés de toute modification substantielle avant son entrée en vigueur.


    13. Contact

    Pour toute question relative à cette politique ou à la protection des données :

    📧 contact@diyeva.ai






    Dernière mise à jour : 1er Octobre 2025