Graham AI

    Politique de confidentialité

    GRAHAM AI – PROTECTION DES DONNÉES PERSONNELLES

    Version : 1.0

    Date de mise à jour : 2025-09-01

    Entrée en vigueur : 2025-09-01

    Cette politique de confidentialité est conforme au Règlement Général sur la Protection des Données (RGPD) – Règlement UE 2016/679.

    1. Identité du Responsable de Traitement

    1.1 Graham AI

    Responsable de traitement : Graham AI

    Forme juridique : SAS

    Siège social : 1061 chemin de la lauze, 07700 Bourg-saint-andéol, FRANCE

    RCS : [Lieu d’immatriculation + numéro]

    Email : contact[@]ai-graham.com

    1.2 Contact DPO

    Délégué à la Protection des Données : Non désigné

    Email DPO : contact[@]ai-graham.com

    1.3 Coordonnées pour exercer ses droits

    Email prioritaire : contact[@]ai-graham.com

    Courrier postal : Graham AI – Service Données Personnelles, [Adresse]

    Délai de réponse : 1 mois maximum

    2. Données Collectées

    2.1 Données Clients Directs (Restaurants/Hôtels)

    2.1.1 Données d’identification

    • Raison sociale de l’établissement
    • Numéro SIRET et informations légales
    • Adresse de l’établissement (siège et exploitation)
    • Secteur d’activité et type d’établissement

    2.1.2 Contacts professionnels

    • Nom et prénom des contacts
    • Fonction dans l’établissement
    • Email professionnel

    2.1.3 Données commerciales

    • Secteur d’activité spécifique (restaurant, hôtel, etc.)
    • Taille de l’établissement (nombre de couverts, chambres)
    • Besoins exprimés et préférences
    • Historique commercial et interactions

    2.1.4 Données techniques

    • Configuration du service Graham AI
    • Logs de connexion à l’interface de gestion
    • Paramètres personnalisés de l’assistant vocal
    • Statistiques d’utilisation du service

    2.1.5 Données financières

    • Informations de facturation et coordonnées bancaires
    • Historique des paiements et transactions
    • Données comptables liées au service

    2.2 Données Clients Finaux (Appelants/Réservations)

    2.2.1 Données d’appel automatiques

    • Numéro de téléphone de l’appelant (identification automatique)
    • Date et heure de l’appel
    • Durée de la conversation
    • Métadonnées techniques de l’appel

    2.2.2 Données de réservation déclarées

    • Nom et prénom du client final
    • Date et heure souhaitées pour la réservation
    • Nombre de personnes (party_size)
    • Demandes spéciales ou préférences alimentaires
    • Statut de la réservation (confirmée, annulée, etc.)

    2.2.3 Données de contact optionnelles

    • Numéro de téléphone (si confirmation SMS acceptée)
    • Email (si fourni volontairement)
    • Préférences de contact (SMS, email, téléphone)

    2.2.4 Enregistrements audio

    • Conversations complètes avec l’assistant vocal Graham AI
    • Durée de conservation : 30 jours maximum
    • Finalité : Amélioration du service et résolution de litiges
    • Suppression automatique après expiration

    2.3 Données Visiteurs Site Web

    2.3.1 Données techniques automatiques

    • Adresse IP (anonymisée après 24h)
    • Type de navigateur et version
    • Système d’exploitation
    • Pages visitées et temps de consultation
    • Résolution d’écran et données techniques

    2.3.2 Cookies et traceurs

    • Cookies essentiels (fonctionnement du site)
    • Cookies de préférences (langue, paramètres)
    • Cookies analytiques (avec consentement préalable)
    • Cookies marketing (avec consentement explicite)

    3. Finalités et Bases Légales

    3.1 Pour les Données Clients Directs

    3.1.1 Exécution du contrat (Art. 6.1.b RGPD)

    • Fourniture du service Graham AI selon les CGV
    • Gestion des comptes clients et accès à l’interface
    • Support technique et assistance utilisateur
    • Facturation et gestion des paiements

    3.1.2 Intérêt légitime (Art. 6.1.f RGPD)

    • Amélioration du service et développement de nouvelles fonctionnalités
    • Analyse de performance et optimisation technique
    • Sécurité du système et prévention des fraudes
    • Prospection commerciale auprès de clients existants

    3.1.3 Obligation légale (Art. 6.1.c RGPD)

    • Facturation et comptabilité (Code de commerce)
    • Conservation des données comptables (10 ans)
    • Déclarations fiscales et sociales

    3.2 Pour les Données Clients Finaux

    3.2.1 Intérêt légitime (Art. 6.1.f RGPD)

    • Fourniture du service de réservation pour le compte du restaurant
    • Gestion des réservations et disponibilités
    • Amélioration de l’assistant vocal et de sa compréhension
    • Statistiques anonymisées pour les restaurants clients

    3.2.2 Consentement (Art. 6.1.a RGPD)

    • Envoi de SMS de confirmation (consentement verbal explicite recueilli)
    • Communications marketing (uniquement si consentement donné)
    • Conservation au-delà des durées nécessaires (si demandé)

    3.2.3 Exécution d’un contrat (Art. 6.1.b RGPD)

    • Gestion de la réservation (contrat indirect via le restaurant)
    • Confirmation et rappels de réservation
    • Modification ou annulation de réservations

    3.3 Pour les Données Visiteurs Site Web

    3.3.1 Intérêt légitime (Art. 6.1.f RGPD)

    • Fonctionnement du site web et sécurité
    • Amélioration de l’expérience utilisateur
    • Analyse de fréquentation (données anonymisées)

    3.3.2 Consentement (Art. 6.1.a RGPD)

    • Cookies analytiques et de mesure d’audience
    • Cookies marketing et personnalisation
    • Cookies tiers (réseaux sociaux, publicité)

    4. Destinataires des Données

    4.1 Équipes internes Graham AI

    Services ayant accès aux données :

    • Équipe développement : Amélioration et maintenance technique
    • Support client : Assistance et résolution de problèmes
    • Équipe commerciale : Relation client et prospection
    • Direction : Pilotage et décisions stratégiques

    Mesures de sécurité :

    • Accès limité selon le principe du “need to know”
    • Authentification forte et traçabilité des accès
    • Formation RGPD de tous les collaborateurs
    • Charte de confidentialité signée

    4.2 Sous-traitants

    4.2.1 Twilio (Service téléphonique)

    Finalité : Gestion des appels téléphoniques et SMS

    Données traitées : Numéros de téléphone, métadonnées d’appels, contenu des SMS

    Localisation : États-Unis avec garanties appropriées (SCCs)

    Contrat de sous-traitance : Oui, conforme Art. 28 RGPD

    4.2.2 Hébergeur Cloud

    Finalité : Hébergement des données et de l’infrastructure

    Données traitées : Toutes données clients (chiffrées)

    Localisation : France/UE (centres de données certifiés)

    Garanties : Certification ISO 27001, SOC 2

    4.2.3 Service comptable

    Finalité : Tenue de la comptabilité et déclarations fiscales

    Données traitées : Factures, données comptables, coordonnées clients

    Localisation : France

    Confidentialité : Secret professionnel de l’expert-comptable

    4.3 Partenaires (avec consentement explicite uniquement)

    Intégrateurs POS : Uniquement si demandé par le client pour synchronisation

    Consultants spécialisés : Avec accord préalable pour missions spécifiques

    Autorités légales : Uniquement sur réquisition judiciaire

    5. Durée de Conservation

    5.1 Données clients directs

    Durée du contrat + 5 ans (obligations comptables et commerciales)

    • Données commerciales : Jusqu’à résiliation + 3 ans (relation commerciale)
    • Données techniques : Jusqu’à résiliation + 1 an (résolution problèmes)
    • Factures et comptabilité : 10 ans (Code de commerce Art. L123-22)

    5.2 Données de réservation

    1 an après la date de réservation (gestion et statistiques)

    • Réservations honorées : 12 mois après la date
    • Réservations annulées : 6 mois après l’annulation
    • No-show : 18 mois (gestion des récidivistes)

    5.3 Enregistrements audio

    30 jours maximum après l’appel

    • Suppression automatique : Système automatisé de purge
    • Conservation exceptionnelle : Possible en cas de litige (6 mois max)
    • Chiffrement : Stockage chiffré avec clés de rotation

    5.4 Logs techniques

    12 mois pour l’analyse de performance et la sécurité

    • Logs d’accès : 12 mois (sécurité et audit)
    • Logs d’erreur : 24 mois (résolution de problèmes)
    • Logs de connexion : 6 mois (gestion des accès)

    5.5 Consentements SMS

    Jusqu’au retrait du consentement par la personne concernée

    • Preuve du consentement : Enregistrement horodaté de l’acceptation
    • Retrait : Possible à tout moment (STOP SMS ou demande écrite)
    • Traçabilité : Historique des consentements et retraits

    6. Droits des Personnes

    6.1 Droit d’accès (Art. 15 RGPD)

    Objet : Obtenir une copie de toutes les données personnelles traitées

    Modalités :

    • Demande par email à contact[@]ai-graham.com avec pièce d’identité
    • Réponse sous 1 mois avec données au format structuré
    • Gratuit pour la première demande annuelle

    6.2 Droit de rectification (Art. 16 RGPD)

    Objet : Corriger les données inexactes ou incomplètes

    Modalités :

    • Demande motivée avec justificatifs des corrections
    • Mise à jour immédiate dans tous les systèmes
    • Information des sous-traitants concernés

    6.3 Droit à l’effacement (Art. 17 RGPD)

    Objet : Obtenir la suppression des données personnelles

    Conditions :

    • Données plus nécessaires au regard des finalités
    • Retrait du consentement (si base légale)
    • Opposition au traitement (si intérêt légitime)
    • Exceptions : Obligations légales, liberté d’expression, intérêt public

    6.4 Droit d’opposition (Art. 21 RGPD)

    Objet : Refuser un traitement basé sur l’intérêt légitime

    Modalités :

    • Opposition à la prospection commerciale (droit absolu)
    • Opposition aux autres traitements (avec motif légitime)
    • Arrêt immédiat du traitement sauf intérêt légitime impérieux

    6.5 Droit à la portabilité (Art. 20 RGPD)

    Objet : Récupérer ses données dans un format structuré

    Conditions : Traitements basés sur le consentement ou le contrat

    Formats : JSON, CSV, ou format demandé si techniquement possible

    Transmission : Possible directement à un autre responsable

    6.6 Droit de limitation (Art. 18 RGPD)

    Objet : Demander la restriction temporaire du traitement

    Cas d’application :

    • Contestation de l’exactitude des données
    • Traitement illicite mais opposition à l’effacement
    • Exercice des droits en justice

    6.7 Modalités d’exercice des droits

    Contact : contact[@]ai-graham.com

    Pièces requises : Copie de pièce d’identité pour authentification

    Délai de réponse : 1 mois (prolongeable de 2 mois si complexe)

    Recours : CNIL en cas de réponse insatisfaisante

    7. Sécurité des Données

    7.1 Mesures techniques de sécurité

    7.1.1 Chiffrement des données

    • Données en transit : TLS 1.3 minimum pour tous les échanges
    • Données au repos : Chiffrement AES-256 des bases de données
    • Clés de chiffrement : Rotation automatique et stockage sécurisé
    • Algorithmes : Conformes aux recommandations ANSSI

    7.1.2 Contrôle d’accès

    • Authentification forte : 2FA obligatoire pour tous les accès
    • Principe du moindre privilège : Droits minimaux nécessaires
    • Traçabilité : Logs complets de tous les accès aux données
    • Sessions : Timeout automatique et révocation à distance

    7.1.3 Infrastructure sécurisée

    • Centres de données : Certifiés ISO 27001 et SOC 2
    • Redondance : Architecture haute disponibilité multi-zones
    • Surveillance : Monitoring 24/7 avec alertes automatiques
    • Réseau : Segmentation et pare-feu applicatifs

    7.2 Mesures organisationnelles

    7.2.1 Formation du personnel

    • Formation RGPD : Obligatoire pour tous les collaborateurs
    • Sensibilisation sécurité : Sessions trimestrielles
    • Tests de phishing : Campagnes régulières de sensibilisation
    • Certifications : Formations spécialisées pour l’équipe IT

    7.2.2 Accès aux données

    • Principe du “need to know” : Accès strictement nécessaire
    • Revue des droits : Contrôle trimestriel des habilitations
    • Départ de collaborateurs : Révocation immédiate des accès
    • Prestataires externes : Accès temporaires et supervisés

    7.3 Sauvegardes sécurisées

    7.3.1 Stratégie de sauvegarde

    • Fréquence : Sauvegardes quotidiennes automatisées
    • Rétention : 30 jours (quotidien), 12 mois (mensuel)
    • Tests de restauration : Mensuels avec procédures documentées
    • Chiffrement : Toutes les sauvegardes chiffrées

    7.3.2 Plan de continuité d’activité

    • RTO (Recovery Time Objective) : 4 heures maximum
    • RPO (Recovery Point Objective) : 1 heure maximum
    • Sites de secours : Infrastructure de sauvegarde géographiquement distante
    • Tests réguliers : Exercices trimestriels de reprise d’activité

    7.4 Procédures en cas de violation

    7.4.1 Détection et analyse

    • Monitoring : Surveillance continue des accès anormaux
    • Alertes automatiques : Notification immédiate des incidents
    • Équipe d’intervention : Astreinte 24/7 pour les incidents graves
    • Analyse forensique : Outils d’investigation en cas de violation

    7.4.2 Notification et communication

    • CNIL : Notification sous 72h si risque pour les droits et libertés
    • Personnes concernées : Information sans délai si risque élevé
    • Clients : Communication transparente selon la gravité
    • Documentation : Registre complet de tous les incidents

    8. Transferts Internationaux

    8.1 Principe général

    Localisation privilégiée : France et Union Européenne

    • Données clients français : Stockage prioritaire en France
    • Hébergement : Centres de données français certifiés
    • Sous-traitants UE : Privilégiés pour tous les services

    8.2 Transferts exceptionnels hors UE

    8.2.1 Twilio (États-Unis)

    Finalité : Service téléphonique et SMS uniquement

    Données transférées : Numéros de téléphone, métadonnées d’appels

    Mécanismes de protection :

    • Clauses Contractuelles Types (SCCs) de la Commission européenne
    • Mesures supplémentaires : Chiffrement end-to-end
    • Minimisation : Seules les données strictement nécessaires
    • Durée limitée : Conservation minimale chez Twilio

    8.2.2 Garanties additionnelles

    • Audit annuel : Vérification du respect des SCCs
    • Droit d’opposition : Possibilité de refuser le transfert (service limité)
    • Alternatives UE : Recherche active de solutions européennes
    • Transparence : Information claire sur tous les transferts

    8.3 Surveillance des transferts

    Registre des transferts : Documentation de tous les flux de données

    Évaluation des risques : Analyse régulière de la situation juridique

    Mesures correctives : Adaptation selon l’évolution réglementaire

    9. Cookies et Traceurs

    9.1 Types de cookies utilisés

    9.1.1 Cookies essentiels (sans consentement)

    Finalité : Fonctionnement indispensable du site

    • Session utilisateur : Maintien de la connexion
    • Panier : Mémorisation des sélections (si e-commerce)
    • Sécurité : Protection CSRF et authentification
    • Durée : Session ou 24h maximum

    9.1.2 Cookies de préférences (avec consentement)

    Finalité : Amélioration de l’expérience utilisateur

    • Langue : Mémorisation de la langue choisie
    • Paramètres d’affichage : Préférences d’interface
    • Géolocalisation : Adaptation du contenu (si acceptée)
    • Durée : 12 mois maximum

    9.1.3 Cookies analytiques (avec consentement)

    Finalité : Mesure d’audience et amélioration du site

    • Google Analytics : Statistiques de fréquentation anonymisées
    • Heatmaps : Analyse du comportement de navigation
    • A/B testing : Tests d’optimisation de l’interface
    • Durée : 24 mois maximum

    9.2 Gestion des préférences

    9.2.1 Bandeau de consentement

    • Information claire : Finalités explicites de chaque cookie
    • Granularité : Choix par catégorie de cookies
    • Facilité de retrait : Lien permanent pour modifier les préférences
    • Renouvellement : Demande de consentement tous les 13 mois

    9.2.2 Centre de préférences

    Accès : Lien permanent en pied de page

    Fonctionnalités :

    • Activation/désactivation par catégorie
    • Historique des consentements donnés
    • Information détaillée sur chaque traceur
    • Export des préférences

    9.3 Cookies tiers

    Réseaux sociaux : Uniquement si boutons de partage activés

    Publicité : Aucun cookie publicitaire sans consentement explicite

    Partenaires : Liste exhaustive disponible dans le centre de préférences

    10. Contact et Réclamations

    10.1 Service Protection des Données

    Email prioritaire : contact[@]ai-graham.com

    Horaires : Du lundi au vendredi, 9h-17h

    10.2 Délais de traitement

    Accusé de réception : Sous 48h ouvrées

    Réponse complète : 1 mois maximum

    Demandes complexes : Prolongation possible de 2 mois (avec justification)

    Urgences : Traitement prioritaire pour les violations de données

    10.3 Réclamations auprès de la CNIL

    En cas de réponse insatisfaisante : Droit de saisir l’autorité de contrôle

    CNIL : Commission Nationale de l’Informatique et des Libertés

    • Site web : www.cnil.fr
    • Téléphone : 01 53 73 22 22
    • Adresse : 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

    Médiation : Possibilité de médiation avant recours contentieux

    10.4 Mise à jour de la politique

    Fréquence : Révision annuelle ou en cas d’évolution réglementaire

    Information : Notification par email des modifications importantes

    Historique : Versions antérieures conservées et accessibles

    Consultation : Possibilité de consultation avant mise en œuvre

    11. Droits Spécifiques aux Mineurs

    11.1 Principe général

    Âge de consentement : 15 ans en France pour les services numériques

    Autorisation parentale : Obligatoire pour les moins de 15 ans

    Vérification d’âge : Procédures adaptées lors de la collecte

    11.2 Protection renforcée

    Données minimales : Collecte strictement limitée

    Durée réduite : Conservation plus courte pour les mineurs

    Droit à l’oubli : Exercice facilité pour les données collectées en tant que mineur

    Information adaptée : Language accessible aux mineurs

    ANNEXES

    Annexe 1 – Formulaire d’exercice des droits

    Identité du demandeur :

    • Nom, prénom
    • Adresse email
    • Téléphone
    • Copie pièce d’identité

    Droit exercé :

    □ Accès □ Rectification □ Effacement □ Opposition □ Portabilité □ Limitation

    Motivation : [Champ libre pour préciser la demande]

    Date et signature

    Annexe 2 – Liste des sous-traitants

    Sous-traitantFinalitéLocalisationGaranties
    TwilioTéléphonie/SMSÉtats-UnisSCCs
    OVHInfrastructureFranceISO 27001
    [Expert-comptable]ComptabilitéFranceSecret professionnel

    Cette politique de confidentialité est mise à jour régulièrement. La version en vigueur est toujours disponible sur notre site web ai-graham.com/confidentialite

    Dernière mise à jour : 2025-09-01

    Version : 1.0