Politique de confidentialité

1. Introduction

Seranoa édite une plateforme d'agents IA conversationnels permettant à ses clients professionnels (notamment des agents immobiliers) d'automatiser la qualification, la prise de rendez-vous et le suivi de leurs prospects via les canaux Telegram, WhatsApp et SMS. La présente politique décrit comment nous traitons les données personnelles dans le cadre de l'exploitation du site seranoa.com et du service.

2. Responsable du traitement

• —Éditeur : Andrey Demchenko (entrepreneur individuel)
• —SIREN : 513 435 586
• —Adresse : 60 rue François 1er, 75008 Paris, France
• —Contact général : hello@seranoa.com
• —Contact RGPD / DPO : dpo@seranoa.com

Pour les données traitées pour le compte de nos clients professionnels (conversations entre l'agent IA et leurs prospects), Seranoa agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le client professionnel reste le responsable de traitement vis-à-vis de ses propres prospects.

3. Données personnelles collectées

3.1 Visiteurs du site

• —Données techniques (adresse IP, type de navigateur, appareil) — log serveur
• —Préférences de session (thème, langue) — stockées localement dans le navigateur

3.2 Prospects et clients de Seranoa

• —Identité professionnelle (nom, prénom, fonction, société)
• —Coordonnées (email, téléphone)
• —Échanges commerciaux (emails, contenus de demandes de démo, notes de réunion)

3.3 Données traitées via les agents IA (pour le compte de nos clients)

• —Identifiants du prospect final : nom, prénom, numéro de téléphone (WhatsApp / SMS), identifiant Telegram
• —Contenu des messages échangés entre l'agent IA et le prospect
• —Métadonnées de qualification : score (0-100), langue détectée, consentement, dernier contact
• —Mémoire épisodique : objections, préférences exprimées, sentiments (avec durée de vie limitée)
• —Données de réservation : créneau réservé, fuseau horaire
• —Identifiants de session de paiement Stripe (aucune donnée bancaire stockée chez Seranoa)
• —Journal d'audit : trace de chaque décision prise par l'agent IA

3.4 Mineurs

Seranoa s'adresse exclusivement à des professionnels majeurs. Nous ne collectons pas sciemment de données concernant des mineurs. Si vous pensez qu'un mineur nous aurait transmis des données, contactez dpo@seranoa.com pour suppression.

4. Finalités et bases légales

5. Décisions automatisées et profilage (article 22 RGPD)

Seranoa procède à un scoring automatisé de qualification commercial (échelle 0-100) basé sur le contenu des conversations, la langue détectée, les intentions exprimées et l'historique d'interaction.

Ce score peut influencer les actions suivantes :

• —L'ouverture ou non d'une proposition de réservation de rendez-vous
• —La transmission de liens de paiement
• —L'escalade automatique vers un opérateur humain

Aucune de ces décisions n'a d'effet juridique ni ne vous affecte de manière significative au sens de l'article 22.1 RGPD : un opérateur humain peut reprendre la conversation à tout moment. Les organisations clientes de Seranoa peuvent par ailleurs configurer le mode de gouvernance de leur agent (autonome, supervisé, assisté), permettant une validation humaine préalable à toute action sensible.

Vous pouvez à tout moment demander une intervention humaine, contester une décision automatisée ou exprimer votre point de vue en écrivant à dpo@seranoa.com.

6. Destinataires des données — sous-traitants

Pour fournir le service, Seranoa s'appuie sur les sous-traitants suivants. Chacun est lié par un accord de traitement de données (DPA) et par les Clauses Contractuelles Types lorsque le traitement a lieu hors UE.

6.1 Fournisseurs de modèles IA

Le contenu des messages échangés est transmis aux fournisseurs de modèles de langage suivants, en chaîne de bascule (résilience) :

• —Anthropic (Claude Sonnet) : Modèle primaire — États-Unis
• —OpenAI (GPT-4o) : Modèle de secours — États-Unis
• —Google (Gemini) : Modèle de secours — États-Unis

Ces fournisseurs s'engagent contractuellement à ne pas utiliser vos données pour entraîner leurs modèles. Lorsque l'option est disponible, nous activons le mode zero data retention.

6.2 Infrastructure et outils

La liste actualisée des sous-traitants est disponible sur demande à dpo@seranoa.com.

7. Transferts hors Union européenne

Pour assurer la continuité de service, Seranoa transfère le contenu des messages aux fournisseurs de modèles IA (Anthropic, OpenAI, Google) situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types approuvées par la Commission européenne (décision 2021/914) et, lorsque le fournisseur y est éligible, par sa certification au cadre EU-US Data Privacy Framework. Aucune donnée bancaire n'est transférée hors UE — les paiements sont traités intégralement par Stripe Payments Europe (Irlande).

8. Cookies et traceurs

Le site n'utilise aucun cookie de mesure d'audience ni cookie publicitaire. Seuls des cookies strictement nécessaires au fonctionnement du site (préférence de thème, langue) sont déposés. Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies essentiels ne nécessitent pas de consentement préalable.

9. Durée de conservation

• —Logs serveur (visiteurs) : 12 mois
• —Prospects non convertis : 24 mois après le dernier contact
• —Conversations actives (agents IA) : 24 mois après la dernière interaction
• —Mémoire épisodique : Durée de vie configurable par champ, expiration automatique
• —Réservations annulées : 12 mois
• —Journal d'audit (traçabilité) : 36 mois
• —Données comptables et factures : 10 ans (obligation légale)

Au terme de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

10. Sécurité

Seranoa met en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque :

• —Chiffrement TLS de bout en bout (HTTPS imposé, HSTS)
• —Validation HMAC sur l'ensemble des webhooks entrants
• —Cloisonnement des données par client (Row-Level Security PostgreSQL)
• —En-têtes de sécurité stricts (Content-Security-Policy, X-Frame-Options)
• —Validation et plafonnement des entrées utilisateur transmises aux modèles IA
• —Aucun secret en clair dans le code (validation des variables d'environnement au démarrage)
• —Détection des incohérences entre environnements de paiement (test / production Stripe)

11. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• —Droit d'accès à vos données
• —Droit de rectification
• —Droit à l'effacement (« droit à l'oubli »)
• —Droit à la portabilité
• —Droit d'opposition au traitement
• —Droit à la limitation du traitement
• —Droit de ne pas faire l'objet d'une décision exclusivement automatisée
• —Droit de retirer votre consentement à tout moment
• —Droit de définir des directives post-mortem sur le sort de vos données

Pour exercer ces droits, contactez dpo@seranoa.com. Une réponse vous sera apportée dans un délai d'un mois (extensible à trois mois pour les demandes complexes).

12. Marketing et communications

Seranoa effectue de la prospection commerciale B2B sur le fondement de l'intérêt légitime. Chaque message contient un lien de désinscription clair et permanent. Vous pouvez à tout moment demander à ne plus être contacté en écrivant à dpo@seranoa.com.

13. Modifications de cette politique

Toute modification matérielle de cette politique sera notifiée par email aux utilisateurs ayant un compte actif au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en tête du document.

14. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.