Version : 2.0 – Date de mise à jour : 11 février 2025.

Politique de Protection des Données de Polaria Technologies

1. Introduction

Polaria Technologies est un éditeur SaaS spécialisé dans les chatbots d’IA de type RAG (Retrieval-Augmented Generation), offrant des solutions de conversation instantanée intégrant l’IA et les données de ses clients. La protection des données fait partie intégrante de l’ADN de Polaria Tech, qui s’engage publiquement en tant que fournisseur conforme au RGPD, dédié à la sécurité et la confidentialité des informations traitées​. Votre confidentialité est une priorité absolue pour l’entreprise, qui veille à ce que les données soient stockées et gérées en toute sécurité​.

Cette politique de protection des données personnelles décrit les engagements de Polaria Technologies en matière de confidentialité, en référence aux lois applicables, notamment le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi française n°78-17 du 6 janvier 1978 modifiée dite “Loi Informatique et Libertés”. Polaria Tech s’assure de respecter l’ensemble de ces dispositions légales tout au long du cycle de vie des données traitées.

2. Principes fondamentaux

Polaria Technologies applique strictement les principes fondamentaux de la protection des données personnelles :

Minimisation des données collectées : Seules les données personnelles strictement nécessaires au regard des finalités poursuivies sont collectées et traitées. En accord avec le principe de proportionnalité du RGPD, les informations enregistrées doivent être pertinentes et limitées à ce qui est indispensable à l’activité ou au service visé​.
   
Finalités précises et légitimes : Les données ne sont collectées que dans un but déterminé, explicite et légitime. Polaria Tech s’engage à n’utiliser les données que pour des objectifs clairement définis et légaux, portés à la connaissance de ses clients et utilisateurs​. Aucune donnée n’est traitée d’une manière incompatible avec ces finalités initiales.
   
Confidentialité et intégrité : Polaria Tech garantit la confidentialité et l’intégrité des données personnelles traitées. Cela implique de prévenir tout accès non autorisé, toute divulgation illégitime ou altération des données. Conformément aux principes de sécurité prévus par la réglementation, l’entreprise veille à ce que seules les personnes dûment habilitées puissent accéder aux informations personnelles​, et met en place des mécanismes pour détecter toute modification non autorisée.

3. Engagements de conformité

Polaria Technologies démontre un engagement de conformité exemplaire envers le RGPD et les réglementations associées :

Respect strict du RGPD : L’ensemble des obligations réglementaires est respecté. Polaria Tech adopte une approche “Privacy by Design et by Default” (protection des données dès la conception et par défaut), tient à jour son registre des activités de traitement et a nommé un Délégué à la Protection des Données (DPO) chargé de veiller au respect de la réglementation. L’entreprise sensibilise régulièrement ses équipes aux bonnes pratiques de protection des données et met en place des processus internes de contrôle de conformité.
Traitements localisés dans l’UE : Polaria Tech assure que tous les traitements de données personnelles ont lieu exclusivement au sein de l’Union Européenne. En particulier, les données sont hébergées sur des serveurs sécurisés situés en France, via l’infrastructure d’OVH, garantissant une architecture souveraine et sécurisée​. Cette souveraineté européenne assure que les données bénéficient en permanence du niveau de protection exigé par les normes européennes.
Absence de transferts hors EEE sans garanties : Polaria Tech s’engage à ne pas transférer de données personnelles vers des pays situés en dehors de l’Espace Économique Européen (EEE), sauf si le destinataire présente un niveau de protection adéquat ou des garanties appropriées conformément au RGPD. En pratique, un transfert international n’intervient que s’il existe une base légale solide, par exemple si le pays de destination bénéficie d’une décision d’adéquation de la Commission européenne ou si des clauses contractuelles types approuvées sont mises en place​. Ces mesures garantissent un niveau de protection des données équivalent à celui en vigueur dans l’UE en cas d’exception nécessaire.

4. Mesures de sécurité avancées

Afin d’assurer la protection optimale des données, Polaria Technologies déploie des mesures de sécurité de pointe, tant sur le plan technique qu’organisationnel :

Chiffrement des données en transit et au repos : Toutes les données personnelles gérées par Polaria Tech sont chiffrées pendant leur transmission sur le réseau (via des protocoles TLS/HTTPS) et lors de leur stockage sur nos serveurs. Le chiffrement rend les informations illisibles pour toute personne non autorisée, garantissant ainsi leur confidentialité même en cas d’interception​. De plus, ce mécanisme contribue à préserver l’intégrité des données : toute altération non autorisée serait détectée lors du déchiffrement, ce qui protège contre les modifications frauduleuses​.
Hébergement sécurisé en France : Les infrastructures techniques de Polaria Tech sont hébergées dans des centres de données hautement sécurisés situés en France (fournisseur OVH). Ces datacenters répondent aux standards de sécurité physique et logique les plus stricts (contrôle d’accès, surveillance 24/7, redondance des systèmes) afin de prémunir les données contre les intrusions, les sinistres ou tout autre incident. Cette localisation en France assure également la souveraineté des données traitées, celles-ci restant sous juridiction française et européenne​.
Restriction d’accès et traçabilité : Polaria Technologies applique une politique de gestion des accès rigoureuse fondée sur le principe du moindre privilège. Seuls les collaborateurs dûment autorisés et ayant besoin d’accéder aux données dans le cadre de leurs fonctions peuvent le faire. Chaque accès aux informations sensibles fait l’objet d’une journalisation (log) détaillée, permettant de tracer qui a accédé à quelles données et quand. Des contrôles d’habilitation réguliers, l’utilisation d’authentifications robustes (par exemple, authentification multi-facteur) et des audits internes contribuent à prévenir tout accès inapproprié aux données.
Sauvegardes et plan de reprise : Des sauvegardes régulières des données sont effectuées afin de prévenir tout risque de perte ou d’altération accidentelle. Polaria Tech a mis en place un plan de reprise d’activité et de restauration des données en cas d’incident majeur (panne, sinistre, cyberattaque…), permettant de rétablir rapidement le service et l’intégrité des informations. Ces sauvegardes sont elles-mêmes protégées (chiffrées et stockées en lieu sûr) et sont conservées pendant une durée définie avant d’être supprimées.

En complément de ces mesures, Polaria Tech réalise des tests de sécurité et des analyses de vulnérabilité périodiques pour identifier d’éventuelles failles et les corriger sans délai. L’ensemble du dispositif de sécurité est régulièrement mis à jour pour intégrer les meilleures pratiques du secteur et se conformer aux évolutions des normes de protection.

5. Rôles et responsabilités des parties

Dans le cadre des services fournis, la protection des données repose sur une répartition claire des rôles entre les différentes parties prenantes :

Polaria Tech en tant que sous-traitant : Polaria Technologies agit généralement en qualité de sous-traitant au sens du RGPD pour le traitement des données personnelles réalisé pour le compte de ses clients. Cela signifie que Polaria traite les données uniquement selon les instructions documentées de ses clients (qui sont les responsables de traitement) et pour les finalités qu’ils ont déterminées. Conformément à la définition légale, un sous-traitant est l’entité qui traite des données personnelles pour le compte d’un autre organisme responsable du traitement​. Polaria Tech s’engage à respecter toutes les obligations incombant aux sous-traitants (article 28 du RGPD), notamment : la confidentialité stricte des données traitées pour le compte de ses clients, la mise en œuvre des mesures de sécurité adéquates, l’assistance du client dans le respect de ses propres obligations (par exemple pour les analyses d’impact ou l’exercice des droits des personnes, voir section 6), et la notification sans délai de toute violation de données au client. Un contrat de traitement des données (Data Processing Agreement) est systématiquement conclu avec chaque client afin d’encadrer cette relation et de préciser les responsabilités de chacun, conformément aux exigences légales.
Clients (entreprises/administrations) en tant que responsables de traitement : Les clients de Polaria Tech, qu’ils soient organismes publics ou sociétés privées, sont les responsables de traitement des données qu’ils confient à la plateforme de chatbot. À ce titre, ils déterminent les finalités et les moyens des traitements effectués via les solutions de Polaria. Il leur appartient de veiller à la licéité des données collectées (par exemple en informant les utilisateurs finaux de l’utilisation d’un chatbot et de la collecte de données, ou en recueillant le consentement lorsque nécessaire) et de s’assurer que seules les données pertinentes sont transmises à Polaria Tech. Les clients doivent également répondre aux demandes des personnes concernées concernant leurs données (avec le soutien de Polaria Tech si besoin) et, plus généralement, se conformer à l’ensemble des obligations du RGPD qui incombent aux responsables de traitement. Polaria Tech fournit à ses clients toute l’assistance raisonnable pour les aider à être en conformité, par exemple en fournissant des informations sur ses traitements pour permettre aux clients de documenter leur registre, ou en donnant des garanties contractuelles de sécurité et de confidentialité.
Sous-traitants ultérieurs de Polaria Tech : Polaria Technologies peut, pour fournir son service, faire appel à des prestataires tiers eux-mêmes sous-traitants (par exemple pour l’hébergement, la maintenance ou certaines fonctionnalités). Le recours à tout sous-traitant ultérieur est soumis au consentement préalable du client responsable de traitement, conformément au RGPD. Polaria s’assure que chacun de ses prestataires applique des mesures de protection des données équivalentes aux siennes. Des engagements contractuels stricts en matière de confidentialité, de sécurité et de conformité au RGPD sont imposés à ces partenaires. Polaria Tech reste pleinement responsable vis-à-vis de ses clients de tout traitement effectué par un sous-traitant ultérieur qu’elle a désigné. En cas de changement ou d’ajout de sous-traitant, Polaria en informera ses clients afin qu’ils puissent exercer leur droit d’objection ou obtenir les informations appropriées.

En résumé, Polaria Tech endosse la responsabilité de protéger les données qui lui sont confiées en tant que sous-traitant, tandis que ses clients gardent la maîtrise et la responsabilité des données qu’ils lui délèguent. Chacune des parties s’engage à respecter scrupuleusement ses obligations légales et contractuelles afin d’assurer une protection maximale des informations personnelles concernées.

6. Droits des utilisateurs et procédures

Polaria Technologies attache une importance particulière au respect des droits des personnes dont les données sont traitées. Conformément au RGPD, chaque utilisateur ou personne concernée dispose des droits suivants :

Droit d’accès : vous pouvez obtenir confirmation que vos données personnelles sont traitées par Polaria Tech (ou par nos clients via nos services) et, le cas échéant, recevoir une copie des données vous concernant, ainsi que des informations sur les finalités du traitement, les destinataires, la durée de conservation, etc.
Droit de rectification : vous pouvez demander la correction des données inexactes ou incomplètes vous concernant, afin que soient rectifiées, dans les meilleurs délais, les informations erronées conservées par Polaria ou par nos clients​.
Droit d’effacement (droit à l’oubli) : vous pouvez solliciter l’effacement de vos données personnelles dans les meilleurs délais, notamment si celles-ci ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou si vous retirez votre consentement (dans les cas où le consentement était la base légale)​. Ce droit s’exerce dans le respect des exceptions prévues par la loi (par exemple, Polaria ou le client pourrait devoir conserver certaines données pour respecter une obligation légale).
Droit à la limitation du traitement : vous avez le droit de demander le gel temporaire d’un traitement de vos données dans certaines situations (par exemple, le temps qu’une contestation sur l’exactitude des données soit résolue). Lorsque la limitation est accordée, les données concernées sont marquées de façon à ne plus faire l’objet d’aucune autre opération que la conservation.
Droit à la portabilité : sur demande, dans les cas prévus par le RGPD, vous pouvez recevoir les données personnelles que vous avez fournies à Polaria Tech (ou à son client) dans un format structuré, couramment utilisé et lisible par machine, ou demander à ce qu’elles soient transmises directement à un autre responsable de traitement si cela est techniquement possible​. Ce droit facilite la réutilisation de vos données personnelles auprès d’autres services.
Droit d’opposition : vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, à tout moment, à ce que vos données fassent l’objet d’un traitement spécifique, notamment si le traitement est fondé sur l’intérêt légitime du responsable de traitement​. En cas d’opposition, Polaria Tech (ou son client) cessera le traitement des données concernées, sauf s’il existe des motifs légitimes et impérieux nécessitant de continuer le traitement ou pour la constatation, l’exercice ou la défense de droits en justice. Par ailleurs, vous pouvez vous opposer à recevoir des communications marketing de notre part à tout moment, sans justification.
Droit de retirer votre consentement : lorsque le traitement de vos données repose sur votre consentement (par exemple, si vous avez consenti à ce que le chatbot traite certaines de vos informations), vous avez la possibilité de retirer ce consentement à tout moment. Le retrait de consentement n’a pas d’effet rétroactif, et n’affectera donc pas la licéité des traitements effectués avant ce retrait, mais signifie que nous cesserons d’utiliser vos données pour l’avenir dans le cadre considéré.
Droit de réclamation auprès d’une autorité de contrôle : en plus des droits ci-dessus, si vous estimez que vos droits ne sont pas respectés, vous avez le droit d’introduire une plainte auprès de l’autorité de protection des données compétente. En France, l’autorité de contrôle est la CNIL (Commission Nationale de l’Informatique et des Libertés). Vous pouvez contacter la CNIL (via son site cnil.fr ou par courrier) pour toute réclamation concernant le traitement de vos données personnelles.

Procédures pour exercer vos droits : Vous pouvez exercer vos droits à tout moment en adressant une demande au Délégué à la Protection des Données de Polaria Tech (voir section 9 pour les coordonnées). Si votre demande concerne des données traitées par Polaria Tech pour le compte d’un client (cas où Polaria est sous-traitant), nous transmettrons votre demande sans délai au client concerné (responsable de traitement) et l’assisterons pour y donner suite, conformément à nos engagements contractuels. Aucune décision automatisée produisant des effets juridiques ne sera prise à votre égard sans votre consentement explicite ou sans base légale appropriée, en accord avec la réglementation.

Polaria Tech s’efforce de répondre à toute demande dans les meilleurs délais et en tout état de cause dans le délai d’un mois prévu par le RGPD (pouvant être étendu à deux mois compte tenu de la complexité et du nombre de demandes). L’exercice de ces droits est gratuit, sauf abus manifeste (demandes répétitives ou infondées) où des frais raisonnables pourraient être facturés conformément à la loi. Une vérification d’identité pourra vous être demandée en cas de doute raisonnable sur l’identité du demandeur, afin de protéger la confidentialité des données.

7. Durée de conservation des données

Polaria Technologies ne conserve les données personnelles que pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, ou pour se conformer à ses obligations légales contractuelles. Le principe fondamental appliqué est celui de la limitation de la conservation : les données ne peuvent être gardées de façon indéfinie​. Une durée de rétention appropriée est définie pour chaque catégorie de données, en fonction de leur nature et de l’objectif du traitement.

Concrètement :

Les données opérationnelles liées au service de chatbot (par exemple, les contenus de conversations, les bases de connaissances fournies par le client) sont conservées pendant la durée du contrat liant Polaria Tech au client, afin de fournir correctement le service. Certaines données pourront être supprimées plus tôt à la demande du client ou de l’utilisateur si cela est compatible avec le fonctionnement du service.
Les données de compte du client (comme les informations de contact des administrateurs du client, les identifiants de connexion, etc.) sont conservées pendant la durée de la relation contractuelle. À la fin du contrat, Polaria Tech peut conserver certaines de ces informations pendant la période nécessaire à la gestion de la résiliation, au respect d’obligations légales (par ex. conservation des factures et données comptables pendant la durée légale de 10 ans), ou à la constatation/exercice de droits en justice le cas échéant.
Les données des utilisateurs finaux (par exemple, informations sur les employés ou clients finaux ayant interagi avec le chatbot de notre client) sont en principe stockées selon les paramètres définis par chaque client responsable de traitement. Polaria Tech n’effectue qu’une conservation intermédiaire dans le cadre du service, et n’en dispose plus une fois que le client les a récupérées ou supprimées selon ses propres politiques. Polaria encourage ses clients à définir des politiques de rétention conformes aux recommandations de la CNIL et du RGPD, et leur fournit les outils pour réaliser aisément des exportations ou suppressions de données.

À expiration des durées de conservation définies, Polaria Tech procède à la suppression sécurisée des données personnelles ou à leur anonymisation irréversible, de sorte qu’il ne soit plus possible d’identifier les personnes concernées. Les suppressions sont effectuées de manière à empêcher toute restauration ultérieure des données (par exemple, par écrasement des sauvegardes). En ce qui concerne les sauvegardes techniques, celles-ci sont purgées dès qu’elles excèdent la durée de conservation établie.

Polaria Tech peut conserver des données plus longtemps sous forme archivée, séparées du système actif, lorsqu’une obligation légale l’impose (par exemple, conservation de logs de connexion pour la sécurité ou d’éléments pour la preuve en cas de contentieux). Dans ce cas, les données archivées ne sont accessibles qu’à titre restreint et pour les finalités requises par la loi, avant d’être définitivement supprimées à l’issue de la période imposée.

8. Gestion des violations de données

Malgré toutes les mesures préventives en place, Polaria Technologies a également prévu un dispositif rigoureux de gestion des incidents de sécurité, et notamment des violations de données personnelles (data breaches). Une violation de données s’entend de tout incident, avéré ou suspecté, entraînant la destruction, la perte, l’alteration, la divulgation non autorisée ou l’accès non autorisé à des données personnelles.

Détection et réactivité : Polaria Tech dispose de systèmes de surveillance et d’alerte permettant de détecter rapidement les anomalies de sécurité (tentatives d’intrusion, activité suspecte, etc.). Lorsqu’un incident de sécurité se produit, une procédure interne d’urgence est déclenchée : identification de la nature et de l’étendue de la violation, mesures immédiates pour contenir l’incident (ex. isoler un serveur affecté, révoquer des accès compromis) et évaluation du risque pour les personnes concernées. L’incident est consigné dans un registre interne des incidents, conforme à l’article 33(5) du RGPD, décrivant les faits, effets et mesures correctives prises.

Notification aux autorités et aux personnes : Si la violation de données personnelles est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, Polaria Tech (en coordination avec le client responsable de traitement le cas échéant) s’engage à notifier l’incident à l’autorité de contrôle compétente (la CNIL en France) dans les plus brefs délais et, si possible, dans les 72 heures après en avoir pris connaissance​. Cette notification comprendra toutes les informations requises (nature de la violation, catégories et volume de données concernées, nombre de personnes affectées, conséquences probables, mesures prises ou proposées pour y remédier, etc.). En cas de dépassement du délai de 72h, la notification sera accompagnée des motifs du retard, conformément à la réglementation​.

Si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes (par exemple, divulgation de données sensibles pouvant entraîner un préjudice important), Polaria Tech informera également sans délai les personnes concernées de la survenance de l’incident, des données potentiellement compromises et des recommandations pour se protéger (par exemple changement de mot de passe, vigilance accrue contre d’éventuelles tentatives de fraude)​. Cette notification aux individus se fera sauf si le client responsable de traitement préfère réaliser lui-même cette communication – dans tous les cas Polaria assistera le client dans cette démarche si nécessaire.

Gestion et amélioration continue : Après qu’un incident est maîtrisé, Polaria Tech s’attache à analyser les causes profondes de la violation et à mettre en œuvre les actions correctives nécessaires pour éviter qu’elle ne se reproduise. Un rapport post-incident peut être fourni au client, incluant les détails de l’événement et les leçons apprises. Polaria met un point d’honneur à la transparence vis-à-vis de ses clients en cas d’incident, et reste disponible pour toute assistance supplémentaire (par exemple, aide à répondre aux questions des utilisateurs finaux ou aux investigations de la CNIL).

En résumé, Polaria Technologies a mis en place une véritable stratégie de gestion des crises en matière de sécurité des données : anticipation (mesures proactives de protection), détection rapide, réaction efficace, communication transparente et amélioration continue. Ces efforts visent à minimiser l’impact d’éventuels incidents et à protéger au mieux la vie privée des utilisateurs.

9. Contact et informations complémentaires

Contact du DPO : Polaria Technologies a désigné un Délégué à la Protection des Données (DPO) chargé de veiller au respect de la réglementation et de servir de point de contact pour les questions relatives aux données personnelles. Pour toute question, demande ou préoccupation concernant vos données ou l’exercice de vos droits (section 6 ci-dessus), vous pouvez contacter notre DPO :

   Nom du DPO : Raphaël Buchard
   Email : privacy (at) polaria (dot) com
   Adresse postale : Polaria Technologies, 15 rue des Halles, 75001 Paris, France.

Le DPO de Polaria Tech est votre interlocuteur privilégié pour tout ce qui a trait à la protection des données. Nous nous engageons à fournir une réponse diligente et complète à chaque sollicitation.

Évolution de la politique de protection des données : La présente politique est susceptible d’être mise à jour afin de refléter les évolutions légales, réglementaires, techniques ou organisationnelles affectant la protection des données, ou pour intégrer de nouvelles fonctionnalités ou services proposés par Polaria Tech. En cas de modification substantielle de nos pratiques, nous en informerons les clients (par exemple via un courriel ou une notification sur le site) et/ou recueillerons leur consentement lorsque la loi l’exige. Nous vous encourageons à consulter régulièrement cette page pour prendre connaissance de la version la plus récente. La date de dernière mise à jour figurant en en-tête du document permet de savoir quand des changements y ont été apportés pour la dernière fois.

En choisissant Polaria Technologies, vous faites le choix d’un partenaire fortement engagé en matière de souveraineté et de protection des données. Notre entreprise met tout en œuvre pour mériter votre confiance, en assurant un haut niveau de confidentialité, de sécurité et de conformité pour vos données. Pour toute information complémentaire sur notre démarche de protection des données, n’hésitez pas à nous contacter – nous demeurons à votre disposition pour vous accompagner en toute transparence sur ces enjeux essentiels.