PERSONAL DATA
La présente politique décrit la manière dont la société PARADEYES traite les données à caractère personnel dans le cadre du service IRIS pour Instagram, agent conversationnel déployé sur la messagerie Instagram des entreprises clientes de PARADEYES afin de répondre à leurs prospects et clients.
Elle complète la Politique de confidentialité générale des Services, accessible depuis le pied de page, et s'applique aux personnes qui échangent des messages avec un compte Instagram équipé d'IRIS (les « utilisateurs finaux ») ainsi qu'aux entreprises clientes qui connectent leur compte.
Elle est rédigée dans le respect du Règlement (UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données ou RGPD, et de la loi n° 78 17 du 6 janvier 1978 modifiée, dite loi Informatique et Libertés.
Le service IRIS pour Instagram est édité et opéré par :
PARADEYES SASU au capital de 1 000 € 40 rue de Meudon, 92100 Boulogne Billancourt, France RCS Nanterre 994 727 154 Email : hello@paradeyesagency.com
Représentée par Monsieur Basilide Baptiste Gonot, Président.
Lorsque IRIS est déployé sur le compte Instagram d'une entreprise cliente, cette entreprise agit en qualité de responsable du traitement des données de ses prospects et clients, et PARADEYES intervient en qualité de sous traitant au sens de l'article 28 du RGPD. Les conditions de cette sous traitance sont décrites dans les Conditions Générales de Vente.
Dans le cadre du fonctionnement d'IRIS sur Instagram, les catégories de données suivantes sont traitées :
Contenu des conversations : les messages échangés entre l'utilisateur final et le compte Instagram de l'entreprise cliente, afin de générer les réponses.
Identifiants techniques fournis par Meta : l'identifiant de messagerie du compte utilisateur (IGSID) et le nom d'utilisateur public, afin d'acheminer les conversations vers la bonne instance du service.
Coordonnées transmises volontairement : les informations que l'utilisateur final choisit de communiquer au cours de la conversation, telles que son nom, son adresse email ou son numéro de téléphone, à des fins de mise en relation commerciale avec l'entreprise cliente.
Jetons d'accès techniques : les jetons délivrés par Meta autorisant IRIS à opérer la messagerie du compte de l'entreprise cliente. Ces jetons sont stockés chiffrés (AES-256).
IRIS ne collecte aucune donnée de navigation, aucune donnée de localisation et n'accède à aucune autre information du profil Instagram de l'utilisateur final que celles transmises par Meta pour l'acheminement des messages.
Répondre aux messages adressés au compte Instagram de l'entreprise cliente et assurer la continuité des conversations. Base légale : intérêt légitime de l'entreprise cliente à répondre aux sollicitations qui lui sont adressées (article 6.1.f du RGPD).
Transmettre à l'entreprise cliente les demandes de contact formulées par l'utilisateur final. Base légale : exécution de mesures précontractuelles à la demande de la personne concernée (article 6.1.b du RGPD).
Assurer la sécurité, la traçabilité et le bon fonctionnement du service. Base légale : intérêt légitime de PARADEYES (article 6.1.f du RGPD).
Les réponses sont générées au moyen d'un modèle de langage automatisé. IRIS ne prend aucune décision produisant des effets juridiques à l'égard de l'utilisateur final ou l'affectant de manière significative au sens de l'article 22 du RGPD. Les conversations ne sont pas utilisées pour entraîner des modèles d'intelligence artificielle.
Les données sont destinées à l'entreprise cliente concernée et aux équipes habilitées de PARADEYES. Elles sont traitées par les sous traitants suivants :
| Sous traitant | Finalité | Localisation des données | Garanties |
|---|---|---|---|
| Meta Platforms Ireland Ltd. | Acheminement des messages Instagram via les API officielles Meta | Irlande, États Unis | CCT, Data Privacy Framework |
| Anthropic, PBC | Génération des réponses conversationnelles (API Claude) | États Unis | CCT |
| Supabase Inc. | Hébergement des données du service | Union européenne (Francfort) | Conformité RGPD native |
| Vercel Inc. | Hébergement applicatif | États Unis | CCT, Data Privacy Framework |
| Notion Labs, Inc. | Transmission des demandes de contact à l'entreprise cliente | États Unis | CCT, Data Privacy Framework |
| Resend (Plus Five Five, Inc.) | Notification par email des demandes de contact | Union européenne (région d'envoi), États Unis | CCT |
Les messages transmis à l'API d'Anthropic pour la génération des réponses sont conservés par Anthropic pendant trente jours à des fins de prévention des abus, sans être utilisés à des fins d'entraînement de ses modèles.
PARADEYES ne procède à aucune vente, location ou cession de données personnelles à des tiers à des fins commerciales.
Certains sous traitants énumérés ci dessus sont localisés en dehors de l'Union européenne, principalement aux États Unis. Les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), par le cadre européen américain de protection des données (EU U.S. Data Privacy Framework) pour les sous traitants certifiés et, le cas échéant, par des mesures techniques complémentaires (chiffrement, pseudonymisation).
Conversations Instagram et demandes de contact : 12 mois à compter de la dernière interaction, côté PARADEYES ; 30 jours côté Anthropic.
Jetons d'accès : durée du contrat liant PARADEYES à l'entreprise cliente, puis suppression à sa résiliation avec l'ensemble des données de l'instance concernée.
Logs techniques de sécurité : 12 mois.
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
Suppression d'un message par l'utilisateur final : lorsqu'un utilisateur supprime un message dans Instagram, la suppression est répercutée dans les systèmes d'IRIS dès notification par Meta.
Suppression des conversations : tout utilisateur final peut demander la suppression de ses conversations et de ses coordonnées en écrivant à hello@paradeyesagency.com. Si la demande concerne une conversation menée avec le compte d'une entreprise cliente, PARADEYES la traite en coordination avec cette entreprise. La suppression est effective dans un délai de 30 jours.
Suppression d'une instance cliente : toute entreprise cliente peut demander la suppression complète de son instance IRIS et des données associées en écrivant à hello@paradeyesagency.com. La suppression est effective dans un délai de 30 jours.
L'utilisateur final peut interrompre à tout moment les réponses automatisées en écrivant STOP dans la conversation. IRIS cesse alors de répondre et la conversation peut être reprise par un opérateur humain de l'entreprise cliente.
Conformément aux articles 15 à 22 du RGPD, vous disposez sur vos données de droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition, ainsi que du droit de définir des directives relatives au sort de vos données après votre décès.
Ces droits s'exercent par email à hello@paradeyesagency.com ou par courrier à PARADEYES, Référent RGPD, 40 rue de Meudon, 92100 Boulogne Billancourt, en justifiant de votre identité. PARADEYES s'engage à répondre dans un délai d'un mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité.
PARADEYES met en œuvre des mesures techniques et organisationnelles appropriées, notamment le chiffrement des flux (HTTPS/TLS), le chiffrement des jetons d'accès au repos (AES-256), le cloisonnement des données par instance cliente, le contrôle des accès par profil et la journalisation des actions sensibles.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :
CNIL 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site internet : https://www.cnil.fr
PARADEYES se réserve le droit de modifier la présente politique afin de tenir compte des évolutions réglementaires, jurisprudentielles ou techniques du service. La date de dernière mise à jour figure en tête du présent document.