1. Identité du responsable de traitement
Le site ecomagent.fr et les services Ecomagent sont opérés par :
Padly LLC
Société enregistrée au Nouveau-Mexique, États-Unis
Contact DPO : privacy@ecomagent.fr
Ecomagent agit en qualité de sous-traitant (processeur) au sens de l'article 28 du RGPD lorsqu'il traite les données de vos clients dans le cadre de ses prestations d'automatisation IA. Votre entreprise reste le responsable de traitement (contrôleur) de ces données.
2. Données collectées
2.1. Données des visiteurs du site ecomagent.fr
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom, email (formulaire de contact) | Répondre à vos demandes | Consentement (art. 6.1.a RGPD) |
| Email (newsletter) | Envoi d'informations commerciales | Consentement (art. 6.1.a RGPD) |
| Données de navigation (cookies analytiques) | Amélioration du site | Consentement (art. 6.1.a RGPD) |
| Adresse IP | Sécurité et prévention des abus | Intérêt légitime (art. 6.1.f RGPD) |
2.2. Données traitées dans le cadre des prestations (agents IA)
En fonction des agents IA activés pour votre boutique e-commerce, Ecomagent peut traiter les données suivantes pour votre compte :
- Agent Paniers abandonnés : adresse email du client, contenu du panier, montant, date d'abandon
- Agent Emails SAV : adresse email, nom du client, contenu des échanges, numéro de commande
- Agent WhatsApp : numéro de téléphone, nom du contact, contenu des messages, numéro de commande
- Agent Service client : identité du client, historique de commande, motif de la demande
Ces données sont traitées uniquement pour exécuter les prestations convenues avec vous. Ecomagent n'utilise jamais les données de vos clients à ses propres fins commerciales.
3. Sous-traitants et transferts de données
3.1. Infrastructure principale (hébergement UE)
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hostinger International Ltd | Hébergement VPS (n8n, PostgreSQL) | Datacenter en France (UE) |
Les workflows d'automatisation et la base de données sont hébergés sur un serveur dédié situé en France. Aucun transfert hors UE n'intervient pour ces données au repos.
3.2. Sous-traitants impliquant un transfert hors UE
Certains traitements nécessitent le recours à des prestataires américains. Ces transferts sont encadrés conformément au chapitre V du RGPD.
| Sous-traitant | Rôle | Mécanisme |
|---|---|---|
| OpenAI, LP | Traitement IA (génération de réponses, classification) | Data Privacy Framework (DPF) — certifié |
| Google LLC (Gmail, Google Sheets) | Envoi d'emails, stockage temporaire | Data Privacy Framework (DPF) — certifié |
Important concernant OpenAI : Ecomagent utilise exclusivement l'API OpenAI (et non l'interface ChatGPT grand public). Les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles d'IA. Les données sont conservées par OpenAI pendant un maximum de 30 jours à des fins de détection d'abus, puis supprimées.
3.3. Transfert vers Padly LLC (États-Unis)
Padly LLC, l'entité opérant Ecomagent, est établie aux États-Unis. Pour encadrer le transfert de données personnelles entre votre entreprise (située dans l'UE/EEE) et Padly LLC, nous mettons en place les garanties suivantes :
Clauses Contractuelles Types (CCT/SCCs) conformes à la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, module 2 (responsable de traitement vers sous-traitant). Ces clauses sont intégrées à l'Accord de Traitement des Données (DPA) signé avec chaque client.
Mesures supplémentaires conformément aux recommandations du CEPD :
- Chiffrement TLS des données en transit
- Minimisation des données : seules les données strictement nécessaires sont transmises
- Pseudonymisation lorsque cela est techniquement possible
- Aucun accès aux données depuis les États-Unis en conditions normales — les workflows s'exécutent sur le serveur en France
4. Accord de Traitement des Données (DPA)
Conformément à l'article 28 du RGPD, un Accord de Traitement des Données (DPA) est disponible et encadre les obligations réciproques entre votre entreprise et Ecomagent. Ce DPA inclut :
- La description des traitements effectués (nature, finalité, durée, catégories de données)
- L'obligation pour Ecomagent de ne traiter les données que sur instruction documentée du client
- Les mesures de sécurité techniques et organisationnelles mises en œuvre
- L'obligation d'assistance en cas d'exercice des droits des personnes concernées
- L'obligation de notification en cas de violation de données (sous 48h maximum)
- Les conditions de recours à des sous-traitants ultérieurs
- Les Clauses Contractuelles Types (CCT) en annexe pour les transferts hors UE
- Les conditions de restitution et suppression des données en fin de contrat
Le DPA est fourni et signé avant le début de toute prestation. Pour en obtenir un exemplaire : privacy@ecomagent.fr
5. Sécurité des données
Mesures techniques
- Chiffrement en transit : connexions TLS sur l'ensemble des échanges
- Hébergement dédié : serveur VPS dédié en France, non partagé
- Accès restreints : authentification par clé SSH
- Identifiants cloisonnés : clés API et identifiants isolés et chiffrés
- Sauvegardes : sauvegardes régulières des workflows et de la base de données
Mesures organisationnelles
- Principe de minimisation des données
- Politique d'accès restreint au personnel impliqué
- Sensibilisation et formation RGPD du personnel
- Procédure de gestion des incidents documentée
6. Durée de conservation
| Catégorie | Durée |
|---|---|
| Données des visiteurs (formulaires) | 12 mois après le dernier contact |
| Données de navigation (cookies) | 13 mois maximum (recommandation CNIL) |
| Données traitées dans le cadre des prestations | Durée du contrat + 30 jours |
| Factures et documents comptables | 10 ans (obligation légale) |
À la fin du contrat, les données traitées pour votre compte sont soit restituées, soit supprimées dans un délai de 30 jours, selon votre choix. Une attestation de suppression est fournie sur demande.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement (art. 17)
- Droit à la limitation (art. 18)
- Droit à la portabilité (art. 20)
- Droit d'opposition (art. 21)
- Droit de retirer votre consentement à tout moment
Pour exercer vos droits : privacy@ecomagent.fr. Délai de réponse : 30 jours maximum.
Réclamation possible auprès de la CNIL : www.cnil.fr
Note pour les clients e-commerçants : pour les données de vos propres clients traitées par Ecomagent, c'est vous qui êtes responsable de traitement. Ecomagent vous assiste conformément au DPA.
8. Cookies
- Cookies strictement nécessaires : fonctionnement du site
- Cookies analytiques : mesure d'audience (soumis à consentement)
Aucun cookie publicitaire ou de pistage tiers n'est déposé sur le site.
9. Modifications de cette politique
Nous nous réservons le droit de modifier cette politique pour l'adapter aux évolutions réglementaires ou à nos pratiques. En cas de modification substantielle, nous en informerons les clients par email.
10. Contact
Email : privacy@ecomagent.fr
Courrier : Padly LLC
Ce document constitue la politique de protection des données personnelles d'Ecomagent. Il ne remplace pas un conseil juridique personnalisé.