Politique de Confidentialité

La présente politique de confidentialité a pour objet d'informer les utilisateurs du site axonc.tech (ci-après « le Site ») sur la manière dont leurs données personnelles sont collectées et traitées, conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

1. Responsable du traitement

Identité

Fabien CASEMAJOR, Entrepreneur Individuel

Enseigne commerciale

Axonc

SIREN

502 480 130

SIRET

502 480 130 00041

Adresse

5 Rue Georges Bizet, Villa 111, 13960 Sausset-les-Pins, France

Contact

contact@axonc.tech

Délégué à la Protection des Données (DPO)

Fabien CASEMAJOR exerce la fonction de DPO en propre (auto-DPO — Entreprise Individuelle < 250 salariés, pas d'obligation Art. 37 RGPD).
Contact DPO : contact@axonc.tech

Dans le cadre de la fourniture du Service SIPA (édité par Axonc) à des entreprises clientes B2B, Axonc agit en qualité de sous-traitant au sens de l'article 28 RGPD. Le client B2B demeure responsable du traitement des données de ses salariés. Un Data Processing Agreement (DPA) est conclu via les CGV article 10.

2. Données personnelles collectées

Dans le cadre de l'utilisation du Site, les données suivantes peuvent être collectées :

2.1 Données fournies directement par l'utilisateur

• Lors de l'inscription : adresse email, nom (optionnel), mot de passe (stocké sous forme de hash bcrypt irréversible)
• Lors de l'utilisation du formulaire de contact : nom, adresse email, contenu du message

2.2 Données collectées automatiquement

• Données de connexion : adresse IP, date et heure d'accès, pages consultées
• Données de session : identifiant de session (cookie technique HttpOnly)
• Données de consentement : horodatage, type de consentement, adresse IP, version du document approuvé

3. Finalités et bases juridiques du traitement

Les données personnelles sont traitées pour les finalités suivantes :

Finalité	Base juridique (art. 6 RGPD)
Création et gestion de compte utilisateur	Exécution d'un contrat (art. 6.1.b)
Fourniture des services et applications	Exécution d'un contrat (art. 6.1.b)
Sécurité du Site et prévention des fraudes	Intérêt légitime (art. 6.1.f)
Cookies et traceurs	Consentement (art. 6.1.a)
Respect des obligations légales et réglementaires	Obligation légale (art. 6.1.c)

4. Destinataires des données

Les données personnelles sont accessibles exclusivement :

• Au responsable du traitement (Fabien CASEMAJOR)
• À l'hébergeur technique du Site (cf. section 7)

Aucune donnée personnelle n'est vendue, louée ou communiquée à des tiers à des fins commerciales ou marketing.

5. Durée de conservation

• Données de compte utilisateur : conservées pendant toute la durée d'activité du compte, puis supprimées dans un délai de 30 jours après la demande de suppression
• Données de connexion (logs serveur) : 12 mois maximum, conformément aux obligations légales
• Données de consentement : 5 ans à compter du recueil du consentement (obligation de preuve, art. 7.1 RGPD)
• Cookies de session : durée de la session (maximum 1 heure d'inactivité)

6. Droits des personnes

Conformément aux articles 15 à 21 du RGPD et aux articles 48 à 56 de la loi Informatique & Libertés, vous disposez des droits suivants :

• Droit d'accès (art. 15 RGPD) — obtenir la confirmation que vos données sont traitées et en recevoir une copie
• Droit de rectification (art. 16 RGPD) — corriger les données inexactes ou incomplètes
• Droit à l'effacement (art. 17 RGPD) — demander la suppression de vos données personnelles
• Droit à la limitation du traitement (art. 18 RGPD) — demander la limitation du traitement dans certaines conditions
• Droit à la portabilité (art. 20 RGPD) — recevoir vos données dans un format structuré et lisible par machine
• Droit d'opposition (art. 21 RGPD) — vous opposer au traitement de vos données pour des motifs légitimes
• Droit de retrait du consentement (art. 7.3 RGPD) — retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement antérieur

Pour exercer ces droits, adressez votre demande à : contact@axonc.tech

Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande (art. 12.3 RGPD).

7. Hébergement et sous-traitants

Hébergeur

Hostinger International Ltd

Adresse

61 Lordou Vironos Street, 6023 Larnaca, Chypre

Site web

www.hostinger.fr

Localisation des données

Serveur situé en France (Paris). Données stockées dans l'Union Européenne.

Axonc fait appel à d'autres sous-traitants pour certaines prestations (assistance IA Gemini, paiement Stripe). La liste complète et à jour est publiée sur la page Sous-traitants (Art. 28 RGPD), avec pour chacun les catégories de données traitées, les mesures de sécurité et les mécanismes de transfert hors UE (SCC, DPA).

Toute adjonction ou modification d'un sous-traitant est notifiée par email au client avec un préavis de 30 jours. Le client peut s'opposer par email ; en cas de désaccord non résolu, il peut résilier son abonnement au prorata.

7 bis. Intelligence artificielle et AI Act

Axonc intègre une assistance par intelligence artificielle générative (modèle Google Gemini 2.5 Flash) pour aider à la rédaction des documents QHSE (DUERP, Plans de Prévention, PPSPS, matrices de risques, recherche réglementaire, etc.).

7 bis.1 Conformité AI Act (Règlement UE 2024/1689)

• Identification claire (art. 52 AI Act) : chaque widget d'assistance IA est explicitement signalé par un bandeau ambre « Contenu généré par IA — à valider par un humain ».
• Absence de décision automatisée (art. 22 RGPD) : l'IA est purement assistive. Aucune décision produisant des effets juridiques significatifs ou affectant de manière significative une personne n'est prise automatiquement par le Service.
• Validation humaine obligatoire : les contenus générés par IA sont flaggés en base (source='ai', validated=0) jusqu'à validation explicite par un utilisateur humain habilité. Les risques/phases IA n'apparaissent pas dans les exports signés avant validation.
• Désactivation possible : le client peut désactiver totalement l'assistance IA depuis ses paramètres (quota à 0).
• Droit d'opposition (art. 21 RGPD) : exercice possible par email contact@axonc.tech.

7 bis.2 Données transmises à Gemini

Axonc applique une politique stricte de minimisation des prompts :

• Seul le contenu textuel nécessaire au prompt (descriptions de risques, mémoire entreprise configurée par l'owner) est transmis à Gemini.
• Aucune donnée de santé sensible (art. 9 RGPD) — aucune aptitude médicale, aucune restriction, aucune exposition CMR — n'est transmise à Gemini. Filtrage strict côté applicatif.
• Aucun dump de salariés, aucune identification nominative indirecte.

7 bis.3 Transferts hors UE (Gemini)

Les prompts Gemini sont transférés vers les serveurs Google (États-Unis). Ces transferts sont encadrés par :

• Standard Contractual Clauses (SCC) 2021/914 de la Commission européenne.
• Certification EU-US Data Privacy Framework (DPF) active depuis juillet 2023.
• Google Cloud Data Processing Addendum.

Une analyse d'impact sur les transferts (AIPA) a été réalisée (document interne DPIA disponible sur demande).

7 bis.4 Journalisation IA

Toute requête adressée à Gemini est journalisée (table qhse_ai_usage) : horodatage, utilisateur, entreprise, action, tokens consommés. Conservation 5 ans pour audit. Quota mensuel par entreprise (défaut 1 000 requêtes / mois) avec gate HTTP 429 au-delà.

8. Cookies et traceurs

Le Site utilise les cookies suivants :

Cookie	Type	Durée	Finalité
AXONC_SID	Strictement nécessaire	Session (1h)	Authentification et maintien de la connexion
axonc_consent	Strictement nécessaire	365 jours	Mémorisation du choix de consentement cookies

Les cookies strictement nécessaires au fonctionnement du Site sont exemptés du recueil préalable du consentement conformément à l'article 82 de la loi Informatique & Libertés et aux lignes directrices de la CNIL du 17 septembre 2020.

8.1 Gérer ou retirer votre consentement

À ce jour, Axonc n'utilise aucun cookie non essentiel (pas d'analytics, pas de marketing, pas de trackers tiers). Le recueil de consentement actuel est volontaire et anticipe l'ajout éventuel d'outils d'analyse d'audience futurs.

Pour modifier ou retirer votre choix à tout moment :

1. Supprimez le cookie axonc_consent depuis les paramètres de votre navigateur (Paramètres → Confidentialité → Voir les cookies).
2. La bannière de consentement réapparaîtra lors de votre prochaine visite.
3. Vous pouvez alors choisir « Accepter », « Refuser » ou « Personnaliser » à nouveau.

Les choix disponibles lors du recueil du consentement sont équivalents visuellement (pas de « dark pattern »), conformément aux lignes directrices CNIL du 17 septembre 2020.

9. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement des communications via HTTPS (TLS 1.2+, certificat Let's Encrypt)
• Hachage des mots de passe avec l'algorithme bcrypt (coût 12)
• Protection CSRF par jetons à usage unique
• Cookies de session HttpOnly, Secure, SameSite=Lax
• Accès à la base de données via un compte applicatif aux privilèges restreints
• Journalisation des consentements dans un coffre-fort d'audit (consent_vault)

10. Réclamation auprès de l'autorité de contrôle

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL

3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07

Site web

www.cnil.fr

Téléphone

01 53 73 22 22

11. Modifications

La présente politique de confidentialité peut être modifiée à tout moment. En cas de modification substantielle, les utilisateurs disposant d'un compte seront informés par email ou par notification lors de leur prochaine connexion.

La version en vigueur est celle accessible à l'adresse axonc.tech/legal/privacy.php.