1. Responsable de traitement
Le responsable du traitement de vos données personnelles est la SAS Quaesis, 1 rue de la Paix, 75002 Paris, France (RCS Paris 999 999 999). Contact : dpo@quaesis.com.
À ce jour, Quaesis n'a pas désigné de Délégué à la protection des données (DPO) au sens de l'art. 37 RGPD — aucune des conditions de désignation obligatoire n'étant remplie. La boîte dpo@quaesis.com est cependant dédiée et activement surveillée.
2. Périmètre
La présente politique s'applique à tout visiteur du site quaesis.com, à toute personne s'inscrivant au service et à toute personne dont les données sont traitées par Quaesis dans le cadre de l'utilisation du service par un client professionnel (B2B).
3. Catégories de données collectées
Quaesis collecte les catégories suivantes, à raison de la finalité de chaque traitement :
- Données de compte: nom, adresse email, mot de passe hashé (Better Auth, bcrypt), date de création, statut de vérification de l'email.
- Données d'usage : requêtes saisies dans le chat, agents sélectionnés, modèles utilisés, conversations, sources sélectionnées, votes (thumbs up / down).
- Contenus déposés : documents uploadés pour les workflows et les sources personnelles.
- Données de facturation : adresse de facturation, numéro de TVA, méthode de paiement (gérée par Stripe — Quaesis ne stocke aucun numéro de carte).
- Données techniques: adresse IP (hashée pour l'audit), user agent, journaux de sécurité.
- Données de consentement : choix exprimés dans la bannière cookies, horodatage, version de la politique acceptée.
- Communications support : emails, contenu des tickets, métadonnées Resend.
4. Finalités et bases légales (RGPD art. 6)
| Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) | Durée du contrat + 3 ans (preuves) |
| Fourniture du service de chat et workflows | Exécution du contrat (art. 6.1.b) | 12 mois pour les conversations / 90 j inputs workflows |
| Facturation et paiement | Obligation légale (art. 6.1.c) — art. L. 123-22 C. com. | 10 ans (factures) |
| Mesure d'audience (Langfuse, Sentry user-context) | Consentement (art. 6.1.a) | 13 mois max ; supprimé sur retrait |
| Sécurité, prévention de la fraude | Intérêt légitime (art. 6.1.f), test de balance documenté | 6 mois (logs de sécurité, recommandation CNIL) |
| Préférences UI (thème, sidebar) — localStorage | Intérêt légitime, choix exprès de l'utilisateur | Tant que l'utilisateur ne les efface pas |
5. Destinataires et sous-traitants
Vos données sont accessibles aux seuls salariés et prestataires de Quaesis qui en ont besoin, sous obligation de confidentialité.
La liste exhaustive des sous-traitants (hébergement, modèles d'IA, stockage, paiement, email) est publiée sur la page Sous-traitantset mise à jour à chaque changement (notification préalable aux clients B2B titulaires d'un DPA, conformément à l'art. 28.2 RGPD).
6. Transferts hors UE
Plusieurs sous-traitants opèrent depuis les États-Unis (modèles d'IA, monitoring, paiement). Ces transferts sont encadrés par :
- le Data Privacy Framework (DPF) pour les fournisseurs certifiés (OpenAI, Anthropic, Google, Resend, Fly.io, Cloudflare, Stripe Inc., Sentry — vérifié sur dataprivacyframework.gov/list au 2026-05-20) ;
- les Clauses Contractuelles Types (SCC) 2021/914 de la Commission européenne en complément, et seules pour les fournisseurs non DPF (à vérifier) ;
- une analyse d'impact des transferts (TIA) tenue en interne et fournie aux clients B2B sur demande.
Veille active : la validité du DPF fait l'objet d'un recours pendant devant la CJUE (affaire Latombe). Les SCC en arrière-plan garantissent la résilience juridique des transferts en cas d'invalidation.
7. Durées de conservation
| Donnée | Durée active | Archivage post-suppression |
|---|---|---|
| Compte utilisateur actif | Durée du contrat | 3 ans (preuve de contrat) |
| Factures et écritures comptables | — | 10 ans (L. 123-22 C. com.) |
| Conversations chat | 12 mois après dernier message | Suppression automatique |
| Documents workflows (inputs) | 90 jours (lifecycle R2) | Suppression automatique |
| Logs de sécurité | 6 mois | Suppression automatique |
| Consent records (audit RGPD) | 3 ans après dernière mise à jour | Suppression automatique |
8. Vos droits (RGPD art. 15 à 22)
Vous disposez à tout moment des droits suivants :
- droit d'accès à vos données (art. 15) ;
- droit de rectification (art. 16) ;
- droit à l'effacement (art. 17) ;
- droit à la limitation du traitement (art. 18) ;
- droit à la portabilité (art. 20) ;
- droit d'opposition (art. 21) ;
- droit de retirer votre consentement à tout moment, sans préjudice de la licéité des traitements passés (art. 7.3) ;
- droit d'introduire une réclamation auprès de la CNIL — 3 place de Fontenoy, 75007 Paris (cnil.fr/fr/plaintes).
9. Exercice des droits
Pour exercer l'un de ces droits, écrivez à dpo@quaesis.com. Quaesis répondra dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe (art. 12.3 RGPD).
Un justificatif d'identité pourra être demandé en cas de doute raisonnable sur l'identité de la personne concernée (recommandation CNIL 2024).
10. Décisions automatisées (RGPD art. 22)
Quaesis ne prend aucune décision produisant des effets juridiques à votre égard sur la base d'un traitement automatisé. Les sorties produites par l'intelligence artificielle sont des aides à la décision, jamais des décisions finales, et doivent être validées par un humain avant tout usage à effet juridique.
11. Données sensibles (RGPD art. 9)
Quaesis déconseille expressément à ses utilisateurs de saisir, dans les prompts ou les documents déposés, des catégories particulières de données : opinions politiques, convictions religieuses, données de santé, vie sexuelle, données génétiques, biométriques, ou relatives à des condamnations pénales (art. 10 RGPD). Aucun traitement actif de ces catégories n'est mené par Quaesis.
12. Cookies et traceurs
13. Mineurs
Quaesis est réservé aux personnes majeures ou âgées d'au moins 16 ans (seuil CNIL pour la France au titre de l'art. 8.1 RGPD).
14. Mise à jour de la politique
La présente politique peut être modifiée à mesure des évolutions du service ou du droit applicable. Tout changement substantiel sera notifié par email aux utilisateurs inscrits au moins 30 jours avant son entrée en vigueur. Version actuelle : 2026-05-20.