1. Qui traite vos données
Dataroia SASU, société par actions simplifiée unipersonnelle au capital de 1 000 €
SIREN : 104 044 425 · RCS Lille Métropole · TVA : FR91 104 044 425
Siège social : 10 cour Christiaens, 59510 Hem, France
Président : Elvyss Migan
Référent données personnelles : contact@dataroia.com
Pour le traitement de vos fichiers CRM, Dataroia agit en qualité de sous-traitant au sens de l'article 28 du RGPD : vous restez responsable de traitement, nous traitons uniquement sur votre instruction. Pour les données de votre compte client et les demandes de contact, Dataroia est responsable de traitement.
2. Où sont vos données
L'intégralité du traitement de vos fichiers est réalisée sur des serveurs dédiés OVH situés en France, reliés entre eux par un réseau privé (vRack). Aucune donnée ne transite hors de l'Union européenne, aucune donnée n'est envoyée à un service d'IA tiers.
- Serveurs de traitement : VPS OVH France, exploités exclusivement par Dataroia
- Échanges entre serveurs : réseau privé chiffré, non exposé à internet
- Accès à l'espace client : HTTPS uniquement
- Site vitrine dataroia.com : hébergement OVH ; aucun fichier client n'y transite ni n'y est stocké
Pour les organisations qui l'exigent, le déploiement on-premise (sur votre propre infrastructure) est possible sur devis : vos données ne quittent alors jamais votre système d'information.
3. Sous-traitants
La liste est courte, et c'est volontaire.
- OVH SAS (France) : hébergement des serveurs de traitement et du site. Seul sous-traitant impliqué dans le traitement de vos fichiers.
- Stripe : encaissement des paiements en ligne uniquement. Stripe ne reçoit jamais vos fichiers ni leur contenu, seulement les informations de paiement que vous lui transmettez directement.
La mesure d'audience du site est assurée par Umami, auto-hébergé sur nos propres serveurs : sans cookie, sans transmission à un tiers, adresse IP non conservée en clair.
Conformément à nos CGV, aucun nouveau sous-traitant n'intervient sur vos fichiers sans votre autorisation préalable écrite.
4. Cycle de vie d'un fichier que vous nous confiez
- Dépôt : votre fichier est transmis en HTTPS et stocké temporairement sur nos serveurs OVH France, le temps du traitement.
- Traitement : croisement avec les référentiels publics (SIRENE, registre des décès INSEE, Base Adresse Nationale) et analyse par notre modèle d'IA local. Rien ne sort de notre infrastructure.
- Livraison : le rapport (et, selon l'offre, le fichier redressé) est mis à disposition dans votre espace client.
- Purge : votre fichier source est supprimé des serveurs actifs après livraison. C'est une garantie contractuelle (article 9 de nos CGV).
Cas particulier du diagnostic gratuit sans compte : le fichier déposé est purgé après génération du rapport et n'est rattaché à aucune identité.
5. « Purge garantie » et espace client : ce que chacun veut dire
Les deux promesses coexistent et ne se contredisent pas, à condition de dire précisément ce qu'elles recouvrent :
- Ce qui est purgé : vos fichiers sources (le fichier CRM que vous déposez), supprimés des serveurs actifs après livraison.
- Ce qui est conservé dans votre espace client : les livrables produits pour vous (rapports de diagnostic, fichiers redressés, devis, factures), afin que vous puissiez les retélécharger. Ils restent disponibles tant que votre compte est actif.
Vous pouvez demander la suppression de tout ou partie de ces livrables à tout moment. En cas de clôture de compte ou de résiliation, nous restituons les éléments encore en notre possession puis procédons à une destruction sécurisée sous 30 jours (article 11 des CGV).
6. Durées de conservation
| Donnée | Durée | Fondement |
|---|---|---|
| Fichier CRM source déposé | Purgé après livraison du rapport | Garantie contractuelle (CGV art. 9) |
| Fichier du diagnostic gratuit sans compte | Purgé après génération du rapport | Minimisation |
| Livrables (rapports, fichiers redressés) | Tant que le compte est actif ; suppression sur demande ; destruction sous 30 jours après résiliation | Exécution du contrat |
| Mapping de colonnes validé (structure du fichier, sans données) | Tant que le compte est actif, pour accélérer vos prochains dépôts ; suppression sur demande | Intérêt légitime |
| Données de compte (identité, email, société) | Durée de la relation contractuelle, puis durées de prescription légales | Contrat / obligation légale |
| Devis et factures | 10 ans | Obligation comptable (art. L123-22 C. com.) |
| Demandes de contact et leads | 3 ans après le dernier contact | Intérêt légitime |
| Journaux techniques | Rotation courte, à des fins d'exploitation et de sécurité | Intérêt légitime |
| Mesure d'audience (Umami auto-hébergé) | Statistiques agrégées, sans cookie, IP non conservée en clair | Intérêt légitime |
7. IA 100 % locale
Les traitements d'intelligence artificielle sont réalisés par un modèle Mistral déployé localement sur nos serveurs OVH France, via Ollama. Concrètement :
- Aucune donnée n'est transmise à OpenAI, Anthropic, Google ou tout autre service d'IA tiers
- Vos données ne servent à entraîner aucun modèle : le modèle local ne fait que de l'inférence
- Zéro dépendance à un fournisseur d'IA cloud : l'analyse fonctionne même si internet tombe
8. DPA, NDA et engagements RGPD
En tant que sous-traitant au sens de l'article 28 du RGPD, nous nous engageons contractuellement (article 9 des CGV) à :
- Traiter vos données uniquement sur votre instruction documentée
- Ne jamais transférer vos données hors de l'Union européenne
- Mettre en œuvre les mesures techniques et organisationnelles appropriées
- Purger vos fichiers sources après livraison
- Vous notifier toute violation de données dans les 72 heures suivant sa découverte
- Ne recourir à aucun nouveau sous-traitant sans votre autorisation écrite
Un accord de traitement des données (DPA) et un accord de confidentialité (NDA), signé avant tout échange de fichier si vous le souhaitez, sont fournis sur simple demande à contact@dataroia.com.
9. Sécurité
- Chiffrement en transit : HTTPS sur tous les accès publics
- Réseau privé vRack entre les serveurs de traitement, non exposé à internet
- Authentification de l'espace client : jetons signés (JWT), mots de passe hachés (bcrypt)
- Interfaces d'administration restreintes par adresse IP
- Un seul serveur exposé à internet ; les serveurs de traitement et de référentiels sont isolés
Le détail de l'architecture et des deux modes de déploiement (standard ou on-premise) est présenté sur la page Sécurité & souveraineté.
10. Ce que nous n'avons pas encore
La transparence vaut aussi pour nos limites :
- Pas de certification ISO 27001, SOC 2 ou HDS à ce jour. Ces démarches sont longues et coûteuses pour une structure jeune ; elles viendront avec la croissance.
- Dataroia est une société récente, portée par son fondateur. Ce que nous offrons en contrepartie : des engagements contractuels précis (purge, non-transfert, notification 72 h), une architecture vérifiable et l'option on-premise qui supprime le sujet à la racine.
Une question, un doute, une exigence spécifique de votre DPO ou de votre RSSI ? Écrivez-nous : contact@dataroia.com. Nous répondons précisément, documents à l'appui.
Dernière mise à jour : juillet 2026 : Version 1.0