Politique de confidentialité
Version du 26 avril 2026 · révisée à chaque mise à jour matérielle.
1. Identité du responsable de traitement
Le responsable de traitement est forhia, exploité par Saqab Shah, société en cours d'immatriculation, adresse à compléter — joignable à dpo@forhia.fr. Aucun délégué à la protection des données (DPO) n'est désigné à ce stade : le responsable assure directement les missions correspondantes. Une désignation formelle interviendra dès franchissement des seuils CNIL applicables.
2. Périmètre de la politique
La présente politique s'applique à l'ensemble des traitements de données à caractère personnel mis en œuvre par forhia dans le cadre de la plateforme SaaS accessible sur les domaines opérés par forhia (dont forhia.fr et sous-domaines tenants), des sites publics afférents, et de la relation contractuelle avec les clients (« les Clients »).
3. Catégories de données traitées
- Données de compte : email, nom complet, fonction, langue préférée, identifiant Supabase, date de création, rôle dans l'organisation.
- Données opérationnelles : organisations rattachées, identifiants internes (orgs, tenants, scans), historique des actions déclenchées par l'utilisateur (audit log).
- Données techniques : adresse IP au moment de l'authentification, user-agent, événements d'erreur (Sentry après scrubbing PII).
- Données de paiement : non stockées par forhia. Le traitement est délégué à Stripe (cf. sous-traitants).
- Sorties de modèles d'IA : forhia interroge des modèles tiers à propos de l'organisation cliente. Les réponses sont stockées sous forme agrégée (scores, citations). Les textes bruts sont conservés au plus 12 mois puis anonymisés (cf. rétention).
Aucune donnée sensible au sens de l'article 9 RGPD n'est sciemment traitée. forhia ne s'adresse pas aux mineurs.
4. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b RGPD) |
| Exécution des scans GEO et restitution des résultats | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude, audit log | Intérêt légitime (art. 6.1.f) — sécurité du SI |
| Facturation, recouvrement, comptabilité | Obligation légale (art. 6.1.c) |
| Amélioration produit (analytics agrégés, sans cookies tiers) | Intérêt légitime — équilibre garanti |
| Communication commerciale (clients existants uniquement) | Intérêt légitime — opt-out à tout moment |
5. Destinataires
Vos données sont accessibles aux équipes de forhia strictement habilitées, à nos sous-traitants techniques listés sur la page sous-traitants, ainsi qu'aux autorités compétentes en cas de réquisition légale. Aucune donnée n'est cédée ou louée à des tiers à des fins commerciales.
6. Transferts hors Union européenne
Certains de nos sous-traitants sont établis aux États-Unis (notamment OpenAI, Anthropic, Stripe, Sentry). Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) ou par le Data Privacy Framework (DPF) lorsque le sous-traitant y est certifié. Les textes des clauses sont disponibles sur demande.
7. Durées de conservation
- Compte actif : durée de la relation contractuelle.
- Compte clôturé : 3 ans à compter du dernier accès, en mode anonymisé pour preuve du traitement de la demande Art 17, puis purge.
- Réponses brutes des modèles d'IA : anonymisation après 12 mois (les scores et métriques restent).
- Journal d'audit (audit_log) : 36 mois (obligation cybersécurité et conservation des preuves).
- Données de facturation : 10 ans (article L123-22 du Code de commerce).
8. Vos droits (articles 15 à 22 RGPD)
Vous disposez des droits d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité. Vous pouvez exercer ces droits directement depuis l'espace /account de la plateforme, ou par email à dpo@forhia.fr.
forhia s'engage à répondre dans un délai d'un mois maximum (extensible à deux mois en cas de demande complexe). Vous disposez également du droit d'introduire une réclamation auprès de la CNIL ( cnil.fr).
9. Sécurité
forhia met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS 1.2+ pour tout transport, chiffrement au repos via les fournisseurs gérés (Supabase/Postgres, S3), contrôle d'accès basé sur les rôles (RLS Postgres), journal d'audit immuable, revues de code obligatoires, scrubbing PII des télémétries (Sentry), rate-limiting des points d'accès sensibles, et politiques de mot de passe via fournisseur OAuth/email magique.
10. Modèles d'intelligence artificielle
forhia utilise des modèles d'IA générative pour produire des résultats d'analyse (scans GEO) et des contenus (Studio). Ces traitements relèvent du règlement européen sur l'IA (UE 2024/1689). Conformément à l'article 50, les contenus générés par IA sont systématiquement signalés et nécessitent une relecture humaine avant publication. Notre classification AI Act et la documentation de risque associée sont disponibles sur demande à dpo@forhia.fr.
11. Cookies
Voir notre charte cookies. forhia n'utilise que des cookies strictement nécessaires (authentification, préférences de tenant). Aucun cookie publicitaire ni de mesure d'audience tiers.
12. Modifications
En cas de modification matérielle de cette politique, les utilisateurs actifs seront notifiés par email au moins 30 jours avant son entrée en vigueur. La version courante est toujours accessible à cette URL.