1. Nos principes
- Minimisation — Nous ne collectons que les données strictement nécessaires à la fourniture du Service.
- Hébergement européen prioritaire — Vos données métier (catalogue, base de connaissances, conversations, paiements) sont hébergées dans l'Union européenne. Les services tiers situés hors UE sont encadrés par les clauses contractuelles types.
- Cloisonnement par boutique — Les données de chaque client sont strictement isolées. Les conversations d'une boutique ne sont jamais accessibles à une autre.
- Aucun entraînement croisé — Vos conversations ne sont pas utilisées pour entraîner les modèles d'IA.
- Réversibilité — Vous pouvez à tout moment exporter ou supprimer vos données.
2. Rôles au sens du RGPD
Selon la nature des traitements, Navi agit dans deux rôles distincts :
- Responsable de traitement pour les données collectées sur le site marketing (formulaire de contact, comptes administrateurs, facturation).
- Sous-traitant pour les données traitées dans le cadre du Service Navi déployé sur la boutique d'un client : ce dernier est responsable de traitement vis-à-vis des visiteurs de sa boutique. Navi traite ces données sur instruction documentée du client, conformément à l'article 28 du RGPD.
3. Sous-traitants ultérieurs
Pour fournir le Service, Navi fait appel aux sous-traitants ultérieurs suivants. Tous sont liés contractuellement et offrent des garanties suffisantes au sens du RGPD.
| Sous-traitant | Rôle | Localisation | Cadre juridique |
|---|---|---|---|
| Vercel Inc. | Hébergement du site marketing (navi.myffu.fr) | États-Unis | Clauses contractuelles types (CCT) de la Commission européenne |
| Railway Corp. | Hébergement de l'infrastructure Navi (widget, automatisations, base vectorielle) | États-Unis | Clauses contractuelles types (CCT) de la Commission européenne |
| Supabase Inc. | Base de données, authentification et stockage applicatif | Union européenne (région UE) | Hébergement intra-UE |
| Anthropic PBC | Fourniture du modèle de langage Claude (génération des réponses) | États-Unis | Clauses contractuelles types (CCT) de la Commission européenne |
| Resend, Inc. | Envoi des emails transactionnels (notifications, OTP) | États-Unis | Clauses contractuelles types (CCT) de la Commission européenne |
| Shopify International Limited | Lecture du catalogue, des commandes et des données boutique du client (intégration Shopify) | Irlande (Union européenne) | Hébergement intra-UE |
| Stripe Payments Europe Limited | Traitement des paiements (abonnements et facturation) | Irlande (Union européenne) | Hébergement intra-UE |
Toute évolution de cette liste fera l'objet d'une notification préalable aux clients, leur permettant de s'y opposer le cas échéant.
4. Mesures de sécurité
- chiffrement TLS pour toutes les communications ;
- chiffrement au repos pour les bases de données et sauvegardes ;
- cloisonnement strict des données par locataire (multi-tenant isolation) ;
- contrôle d'accès par rôle (RBAC) avec principe du moindre privilège ;
- authentification forte recommandée pour les comptes administrateurs ;
- journaux d'accès et d'administration conservés et revus ;
- sauvegardes automatisées et procédures de restauration testées ;
- politique de gestion des vulnérabilités et veille sécurité continue ;
- séparation stricte des environnements (production / pré-production / développement) ;
- aucune donnée client n'est utilisée pour entraîner des modèles d'IA.
5. Comment exercer vos droits
Vous pouvez exercer vos droits d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité en écrivant à :
Alexis Raitano, DPO de Navi
Email : alexis.raitano@myffu.fr
Adresse postale : 196 rue Germaine Tillion, 92000 Nanterre
Une réponse vous sera apportée dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes). Aucun frais ne sera exigé, sauf demande manifestement infondée ou excessive.
En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.
6. Violation de données
En cas de violation de données à caractère personnel, Navi s'engage à :
- notifier les clients concernés sans retard injustifié, et au plus tard 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD ;
- fournir les éléments permettant au client (responsable de traitement) de notifier la CNIL et, le cas échéant, les personnes concernées ;
- documenter l'incident, ses causes, ses conséquences et les mesures prises pour y remédier.
7. Accord de sous-traitance (DPA)
Tout client de Navi peut demander la signature d'un accord de sous-traitance (Data Processing Agreement) reflétant les engagements pris dans la présente page et dans la Politique de confidentialité. Pour toute demande, écrivez à alexis.raitano@myffu.fr.