heliOSheliOS

Informations légales

Politique de confidentialité

Comment heliOS collecte, utilise et protège vos données à caractère personnel. Conforme au RGPD et à la loi Informatique et Libertés.

Version 1.0.0 · Dernière mise à jour : 21 avril 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées par la plateforme heliOS est la société Agamemnon Bros SAS, immatriculée au Registre du Commerce et des Sociétés de Paris, dont le siège social est situé à Paris. Pour toute question relative au traitement de vos données, vous pouvez nous contacter à l'adresse privacy@agamemnon.biz.

Dans le cadre de la relation commerciale avec un Client, Agamemnon Bros agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour les données que le Client confie à la plateforme, le Client étant lui-même responsable de traitement de ses propres données métier.

2. Délégué à la protection des données

Compte tenu de la nature et du volume actuels des traitements opérés, Agamemnon Bros SAS n'est pas tenue de désigner un délégué à la protection des données (DPO) au titre de l'article 37 du RGPD. Un point de contact unique est néanmoins assuré par privacy@agamemnon.biz.

Cette politique sera mise à jour si un DPO est désigné, notamment en cas d'évolution significative des activités de traitement.

3. Données personnelles collectées

Les traitements mis en œuvre par heliOS portent sur les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse email professionnelle, photographie de profil (si renseignée), identifiant d'organisation.
  • Données d'authentification : mot de passe haché (géré par Keycloak), jetons de session, journal des connexions, empreinte navigateur technique, empreinte 2FA le cas échéant.
  • Contenu des conversations : messages envoyés aux agents, réponses produites, documents rattachés, annotations. Ces contenus sont stockés dans un schéma de base de données dédié au Tenant du Client.
  • Journaux techniques : adresse IP, type de navigateur, horodatages d'événements, identifiants de requêtes, métriques d'usage agrégées (nombre de messages, volume de tokens, latences).
  • Données de facturation : raison sociale, adresse, numéro de TVA intracommunautaire, montant et historique des factures. Les données de carte bancaire sont collectées directement par notre prestataire de paiement et ne transitent pas par nos serveurs.
  • Cookies et traceurs : voir la politique cookies.

4. Finalités du traitement

Les données collectées sont traitées pour :

  • Fournir le Service : authentification, exécution des requêtes adressées aux agents, persistance des conversations, mise à disposition de l'interface d'administration ;
  • Gérer la relation contractuelle : émission des factures, recouvrement, support client, communication opérationnelle (incidents, maintenances) ;
  • Améliorer le Service : analyse agrégée et anonymisée des usages pour prioriser les évolutions produit ;
  • Assurer la sécurité : détection d'accès frauduleux, prévention des abus, conservation de journaux d'audit ;
  • Respecter nos obligations légales : comptabilité, lutte contre la fraude, coopération avec les autorités habilitées.

5. Base légale du traitement

Selon la finalité poursuivie, le traitement repose sur l'une des bases légales suivantes prévues par l'article 6 du RGPD :

  • Exécution du contrat conclu avec le Client (fourniture du Service, authentification, facturation) ;
  • Intérêt légitime d'Agamemnon Bros à assurer la sécurité, la stabilité et l'amélioration continue du Service (journaux techniques, métriques anonymisées, détection de fraude) ;
  • Obligation légale (conservation comptable, réponse aux réquisitions judiciaires) ;
  • Consentement pour les cookies non essentiels et toute communication commerciale.

6. Durée de conservation

Les données sont conservées pour une durée strictement nécessaire à la finalité poursuivie. À titre indicatif :

  • Compte utilisateur actif : pour toute la durée de la relation contractuelle. En cas de suppression de compte, un délai de trente (30) jours est appliqué pour permettre une réactivation, puis les données sont supprimées ou anonymisées.
  • Contenu des conversations : pendant toute la durée du contrat avec le Client. À l'issue du contrat, le Client dispose de trente (30) jours pour exporter ses données avant leur suppression définitive.
  • Journaux techniques et d'audit : douze (12) mois glissants, à l'exception des journaux impliqués dans une procédure en cours qui peuvent être conservés plus longtemps.
  • Données de facturation : dix (10) ans conformément aux obligations comptables applicables en France.
  • Journaux de sécurité sensibles (tentatives d'intrusion, alertes) : jusqu'à cinq (5) ans.

7. Destinataires des données (sous-traitants)

Conformément à l'article 28(2) du RGPD, voici la liste exhaustive des sous-traitants intervenant dans la fourniture du Service. Cette liste est mise à jour à chaque évolution. Le Client est informé par avenant de toute modification (article 28(2)).

Sous-traitantFinalitéLocalisationGaranties
Anthropic PBCLLM Claude — agents conversationnelsÉtats-Unis (DPF)DPF + zero-retention contractuelle (les conversations ne sont pas utilisées pour l'entraînement)
Tavily Inc.Recherche web (tool web_search)États-Unis (CCT)Clauses contractuelles types — uniquement les requêtes de recherche transitent (pas le contenu utilisateur)
Resend Inc.Emails transactionnels (verify-email, reset-password, invitations)États-Unis (DPF)DPF + DKIM/SPF/DMARC pour authenticité
Stripe Payments Europe LtdPaiement, facturation, gestion des abonnementsIrlande (UE)Pas de transfert hors UE pour les données financières. Conformité PCI-DSS niveau 1.
Scaleway SASHébergement infrastructure (Postgres, Redis, Vault, Object Storage backups)France (Paris fr-par-1)Hébergeur français certifié ISO 27001 + HDS — données strictement en territoire français
Vercel Inc.Hébergement frontend Next.js (interface utilisateur)États-Unis / Région CDG1 (Paris) en routageDPF + edge routing France pour le frontend public — pas d'accès aux données clients (juste le rendu HTML/CSS/JS)
Cloudflare Inc.Gestion DNS + protection contre les attaquesÉtats-Unis (DPF)DPF + transit-only (pas de stockage du contenu)
Keycloak (logiciel auto-hébergé)Gestionnaire d'identité (authentification, sessions, mots de passe hachés)France (Scaleway)Logiciel libre tournant sur notre infrastructure — pas de tiers

Aucune donnée n'est transmise à des tiers à des fins publicitaires ou commerciales. Aucun profilage automatisé ayant des effets juridiques sur les personnes concernées n'est effectué.

Le Client peut demander la communication des accords de sous-traitance signés avec chaque sous-traitant en écrivant à l'adresse indiquée à la section 12. Une signature DPA (Data Processing Addendum) peut être proposée sur demande à l'adresse indiquée.

8. Transferts hors Union européenne

Certains traitements impliquent des transferts de données vers des pays situés hors de l'Espace économique européen, notamment les États-Unis d'Amérique (Anthropic PBC). Ces transferts sont encadrés par les mécanismes suivants :

  • Décision d'adéquation de la Commission européenne relative au Data Privacy Framework (DPF) lorsque le destinataire est certifié ;
  • À défaut, signature des clauses contractuelles types de la Commission européenne, complétées par des mesures techniques et organisationnelles supplémentaires (chiffrement en transit, minimisation des données transmises).

La liste des destinataires hors UE et les garanties afférentes peuvent être communiquées sur demande écrite adressée à l'adresse indiquée à la section 12.

9. Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants à l'égard de ses données personnelles :

  • Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
  • Droit de rectification : demander la correction de données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données lorsque l'une des conditions de l'article 17 est remplie.
  • Droit à la portabilité : récupérer vos données dans un format structuré et couramment utilisé. Cette fonction est directement exposée dans l'interface du Service, dans la section « Compte personnel ».
  • Droit à la limitation du traitement : demander la restriction d'un traitement dans les cas prévus par la loi.
  • Droit d'opposition : s'opposer à un traitement reposant sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.
  • Droit de retirer votre consentement à tout moment, sans affecter la licéité du traitement opéré avant le retrait.

Pour exercer ces droits, adressez votre demande à privacy@agamemnon.biz. Une réponse vous sera adressée dans un délai maximum d'un (1) mois à compter de la réception de votre demande, prorogeable de deux (2) mois en cas de complexité particulière, conformément à l'article 12 du RGPD.

10. Cookies

heliOS utilise un nombre volontairement restreint de cookies, exclusivement dédiés à l'authentification, à la mémorisation de vos préférences d'interface et, le cas échéant, à la mesure d'audience anonymisée. Le détail des finalités, des durées et des catégories est documenté dans la politique cookies.

11. Sécurité des données

Agamemnon Bros met en œuvre des mesures techniques et organisationnelles adaptées pour protéger les données contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés. Ces mesures incluent notamment :

  • Chiffrement des communications en transit (TLS 1.2 ou supérieur) et chiffrement au repos des bases de données et des sauvegardes ;
  • Isolation logique stricte entre Tenants (schéma de base de données dédié, espace vectoriel dédié, namespace Redis dédié) ;
  • Gestion des accès sur le principe du moindre privilège, avec authentification à deux facteurs pour les comptes d'administration ;
  • Journalisation des accès, revue régulière des droits, audits internes et tests d'intrusion périodiques ;
  • Plan de continuité et de reprise d'activité documenté, sauvegardes chiffrées dans au moins deux zones de disponibilité.

12. Contact et réclamations

Pour toute demande relative à vos données personnelles, vous pouvez nous contacter à privacy@agamemnon.biz.

Vous disposez en outre du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En France, il s'agit de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, accessible en ligne sur www.cnil.fr.

La présente politique est susceptible d'être mise à jour pour refléter les évolutions légales, jurisprudentielles ou fonctionnelles du Service. Toute modification substantielle est notifiée aux administrateurs du Client et fait l'objet d'une nouvelle version datée dans l'en-tête de ce document.

À lire aussi

CGUConditions Générales d'UtilisationCookiesPolitique cookies

Document courant : privacy