1. Responsable du traitement
Le responsable du traitement des données personnelles est Nexaura SAS, éditeur de la plateforme Agent Appel d'Offre. Pour toute question relative à la protection de vos données, vous pouvez contacter le responsable à l'adresse :
2. Données collectées
Dans le cadre de l'utilisation de la plateforme, nous collectons les catégories de données suivantes :
- Données d'identification — Nom, prénom, adresse e-mail professionnelle
- Données de l'entreprise— Dénomination sociale, numéro SIRET, secteur d'activité, code NAF
- Données d'usage — Pages consultées, actions effectuées, préférences de recherche, interactions avec les opportunités
- Documents uploadés — Dossiers de consultation des entreprises (DCE), pièces techniques et administratives
- Données de connexion — Adresse IP, horodatage, type de navigateur
3. Finalités du traitement
Les données collectées sont traitées pour les finalités suivantes :
- Fourniture du service — Gestion du compte utilisateur, exécution des analyses IA, génération de documents, veille opportunités
- Amélioration de l'IA— Entraînement et optimisation des modèles d'intelligence artificielle pour améliorer la pertinence des résultats
- Analyses statistiques— Mesure d'audience, suivi de performance, amélioration de l'expérience utilisateur
- Communication — Notifications liées au service, alertes opportunités, informations sur les évolutions de la plateforme
4. Base légale
Les traitements de données reposent sur les bases légales suivantes :
- Exécution du contrat (Article 6.1.b RGPD) — Traitements nécessaires à la fourniture du service souscrit
- Consentement (Article 6.1.a RGPD) — Communications marketing et amélioration IA via les données utilisateur
- Intérêt légitime (Article 6.1.f RGPD) — Sécurité de la plateforme, prévention des abus, analyses statistiques anonymisées
5. Durée de conservation
Les données personnelles sont conservées selon les durées suivantes :
- Données du compte— Pendant toute la durée d'activité du compte, puis 3 ans après sa suppression
- Documents uploadés— Pendant la durée d'activité du compte, supprimés dans les 30 jours suivant la fermeture
- Données d'usage — 12 mois glissants
- Logs de connexion — 12 mois conformément aux obligations légales
6. Destinataires et sous-traitants
Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes, dans la stricte mesure nécessaire :
- Hébergeur — Serveurs dédiés hébergés en France (OVH / Scaleway), assurant le stockage et le traitement des données
- Fournisseurs de modèles d'IA (LLM)— Les documents soumis pour analyse sont traités par des modèles de langage tiers via un proxy intermédiaire (LiteLLM). Les fournisseurs incluent Anthropic (Claude), OpenAI et des modèles open-source hébergés localement (Ollama). Les données transmises sont minimisées : seuls les contenus des documents de consultation sont envoyés, sans identifiants personnels (nom, email, SIRET). Aucune donnée n'est conservée par les fournisseurs LLM au-delà du traitement de la requête.
- Services d'analyse— Mesure d'audience anonymisée (Prometheus, métriques internes uniquement)
- APIs publiques— BOAMP, TED, DECP, INSEE, Légifrance (données publiques consultées pour l'enrichissement et l'analyse)
Aucune donnée personnelle n'est vendue ou louée à des tiers à des fins commerciales. Des accords de sous-traitance (DPA) conformes à l'article 28 du RGPD sont en place avec chaque sous-traitant.
7. Transferts hors Union européenne
Certains sous-traitants techniques peuvent être situés en dehors de l'Union européenne. Dans ce cas, des mesures de protection appropriées sont mises en place conformément au RGPD, notamment :
- Clauses contractuelles types adoptées par la Commission européenne
- Décision d'adéquation de la Commission européenne lorsqu'applicable
- Évaluation d'impact des transferts et mesures supplémentaires si nécessaire
8. Droits des utilisateurs
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — Obtenir une copie de vos données personnelles
- Droit de rectification — Corriger des données inexactes ou incomplètes
- Droit à l'effacement — Demander la suppression de vos données
- Droit à la portabilité — Recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition — Vous opposer au traitement de vos données pour motif légitime
- Droit à la limitation — Demander la suspension du traitement dans certains cas
Pour exercer ces droits, adressez votre demande à contact@nexaura.fr. Nous nous engageons à répondre dans un délai de 30 jours. En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Cookies
La plateforme utilise exclusivement des cookies fonctionnels strictement nécessaires au fonctionnement du service :
- Cookies d'authentification — Maintien de la session utilisateur (httpOnly, secure)
- Cookies de préférences— Sauvegarde des choix d'interface (thème, vue par défaut)
Aucun cookie de traçage publicitaire ou de profilage n'est utilisé. Aucun consentement n'est requis pour les cookies strictement nécessaires conformément à la directive ePrivacy.
10. Sécurité
Nexaura SAS met en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles :
- Chiffrement des communications (TLS/HTTPS)
- Hachage sécurisé des mots de passe (bcrypt)
- Accès restreints aux données selon le principe du moindre privilège
- Journalisation des accès et des modifications
- Sauvegardes régulières et chiffrées
- Protection contre les intrusions (fail2ban, CrowdSec)
11. Contact DPO
Pour toute question concernant la protection de vos données personnelles ou pour exercer vos droits, vous pouvez contacter notre Délégué à la Protection des Données (DPO) à l'adresse suivante :