NNavi

Légal

Engagement RGPD

Comment Navi met en œuvre le Règlement Général sur la Protection des Données. Cette page complète la Politique de confidentialité.

Dernière mise à jour : 16 mai 2026

Mentions légalesCGVConfidentialitéRGPD

1. Nos principes

  • Minimisation — Nous ne collectons que les données strictement nécessaires à la fourniture du Service.
  • Hébergement européen prioritaire — Vos données métier (catalogue, base de connaissances, conversations, paiements) sont hébergées dans l'Union européenne. Les services tiers situés hors UE sont encadrés par les clauses contractuelles types.
  • Cloisonnement par boutique — Les données de chaque client sont strictement isolées. Les conversations d'une boutique ne sont jamais accessibles à une autre.
  • Aucun entraînement croisé — Vos conversations ne sont pas utilisées pour entraîner les modèles d'IA.
  • Réversibilité — Vous pouvez à tout moment exporter ou supprimer vos données.

2. Rôles au sens du RGPD

Selon la nature des traitements, Navi agit dans deux rôles distincts :

  • Responsable de traitement pour les données collectées sur le site marketing (formulaire de contact, comptes administrateurs, facturation).
  • Sous-traitant pour les données traitées dans le cadre du Service Navi déployé sur la boutique d'un client : ce dernier est responsable de traitement vis-à-vis des visiteurs de sa boutique. Navi traite ces données sur instruction documentée du client, conformément à l'article 28 du RGPD.

3. Sous-traitants ultérieurs

Pour fournir le Service, Navi fait appel aux sous-traitants ultérieurs suivants. Tous sont liés contractuellement et offrent des garanties suffisantes au sens du RGPD.

Sous-traitantRôleLocalisationCadre juridique
Vercel Inc.Hébergement du site marketing (navi.myffu.fr)États-UnisClauses contractuelles types (CCT) de la Commission européenne
Railway Corp.Hébergement de l'infrastructure Navi (widget, automatisations, base vectorielle)États-UnisClauses contractuelles types (CCT) de la Commission européenne
Supabase Inc.Base de données, authentification et stockage applicatifUnion européenne (région UE)Hébergement intra-UE
Anthropic PBCFourniture du modèle de langage Claude (génération des réponses)États-UnisClauses contractuelles types (CCT) de la Commission européenne
Resend, Inc.Envoi des emails transactionnels (notifications, OTP)États-UnisClauses contractuelles types (CCT) de la Commission européenne
Shopify International LimitedLecture du catalogue, des commandes et des données boutique du client (intégration Shopify)Irlande (Union européenne)Hébergement intra-UE
Stripe Payments Europe LimitedTraitement des paiements (abonnements et facturation)Irlande (Union européenne)Hébergement intra-UE

Toute évolution de cette liste fera l'objet d'une notification préalable aux clients, leur permettant de s'y opposer le cas échéant.

4. Mesures de sécurité

  • hachage des mots de passe administrateurs via bcrypt (rounds 10) ;
  • chiffrement TLS pour toutes les communications ;
  • chiffrement au repos pour les bases de données et sauvegardes ;
  • cloisonnement strict des données par locataire (multi-tenant isolation) ;
  • contrôle d'accès par rôle (RBAC) avec principe du moindre privilège ;
  • authentification forte recommandée pour les comptes administrateurs ;
  • journaux d'accès et d'administration conservés et revus ;
  • sauvegardes automatisées et procédures de restauration testées ;
  • politique de gestion des vulnérabilités et veille sécurité continue ;
  • séparation stricte des environnements (production / pré-production / développement) ;
  • aucune donnée client n'est utilisée pour entraîner des modèles d'IA.

5. Comment exercer vos droits

Vous pouvez exercer vos droits d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité en écrivant à :

Alexis Raitano, DPO de Navi
Email : alexis.raitano@myffu.fr
Adresse postale : 196 rue Germaine Tillion, 92000 Nanterre

Une réponse vous sera apportée dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes). Aucun frais ne sera exigé, sauf demande manifestement infondée ou excessive.

En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

6. Violation de données

En cas de violation de données à caractère personnel, Navi s'engage à :

  • notifier les clients concernés sans retard injustifié, et au plus tard 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD ;
  • fournir les éléments permettant au client (responsable de traitement) de notifier la CNIL et, le cas échéant, les personnes concernées ;
  • documenter l'incident, ses causes, ses conséquences et les mesures prises pour y remédier.

7. Accord de sous-traitance (DPA)

Conformément à l'article 28 du RGPD, Navi a établi un accord de sous-traitance qui régit le traitement des données à caractère personnel pour le compte de ses clients (responsables de traitement).

Ce DPA est intégré en Annexe des Conditions Générales de Vente. L'acceptation des CGV par le Client emporte acceptation du DPA en annexe. Cette modalité, courante dans les contrats SaaS, garantit que tout Client de Navi bénéficie automatiquement d'un accord de sous-traitance conforme au RGPD, sans formalité supplémentaire.

Pour les Clients dont le service juridique souhaiterait disposer du DPA sous forme de document séparé (transmission, archivage), une version PDF du DPA est téléchargeable ici :

📄 Télécharger le DPA Navi (PDF)

Pour toute question relative au DPA, écrivez à alexis.raitano@myffu.fr.

Engagement RGPD · Navi