Politique de confidentialité

Dernière mise à jour : 23 avril 2026

Sommaire
1 - Préambule
2 - Responsable de traitement
3 - Définitions
4 - Données collectées
5 - Finalités et bases légales
6 - IA et profilage
7 - Destinataires et sous-traitants
8 - Transferts internationaux
9 - Durée de conservation
10 - Sécurité des données
11 - Vos droits
12 - Cookies et traceurs
13 - Protection des mineurs
14 - Liens vers des contenus tiers
15 - Modifications
16 - Droit applicable
17 - Contact

1. Préambule

La présente Politique de Confidentialité décrit la manière dont la société STRATEGIES AND CORP., société par actions simplifiée au capital de 356 055 €, immatriculée au RCS de Paris sous le numéro 432 138 121 (ci-après « Strategies and Corp. », « nous », « notre » ou « nos »), éditrice de l'application mobile TouchConnect (ci-après « l'Application »), collecte, utilise, stocke, partage et protège les données personnelles des utilisateurs (ci-après « vous », « votre » ou « l'Utilisateur ») de l'Application et des services associés (ci-après collectivement le « Service »).

TouchConnect est une plateforme d'intelligence médiatique alimentée par l'intelligence artificielle qui met en correspondance des articles d'actualité avec les profils professionnels de ses utilisateurs au moyen d'embeddings vectoriels et d'analyses sémantiques. L'Application est fournie dans le cadre d'un service B2B : votre employeur ou organisation souscrit au Service auprès de Strategies and Corp., et vous y accédez en tant qu'utilisateur final. Strategies and Corp. est le responsable de traitement de vos données personnelles au sens du RGPD.

Cette politique est établie conformément au :

  • Règlement (UE) 2016/679 (RGPD) ;
  • Loi n° 78-17 du 6 janvier 1978 (Loi Informatique et Libertés) ;
  • Directive 2002/58/CE (Directive ePrivacy) ;
  • Règlement (UE) 2024/1689 (AI Act) ;
  • Guidelines de l'App Store d'Apple relatives à la confidentialité des données.

2. Identité du responsable de traitement

Responsable de traitement : STRATEGIES AND CORP. SAS
Produit : TouchConnect
Siège social : 22-22 bis rue Bayard, 75008 Paris
SIREN : 432 138 121
SIRET (siège) : 432 138 121 00053
RCS : 432 138 121 R.C.S. Paris
N° TVA intracommunautaire : FR63432138121
Capital social : 356 055 €
E-mail de contact : sb@strategiesandcorp.fr

3. Définitions

  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
  • Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, conservation, utilisation, communication, effacement, etc.).
  • Sous-traitant : la personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement.
  • Embedding vectoriel : représentation numérique multidimensionnelle d'un texte générée par un modèle d'IA, utilisée pour le calcul de similarité sémantique.
  • Profilage : toute forme de traitement automatisé consistant à évaluer certains aspects personnels relatifs à une personne physique.

4. Données personnelles collectées

4.1 Données fournies directement

  • Identité et compte : nom, prénom, adresse e-mail, mot de passe (haché) - obligatoire
  • Profil professionnel : secteur d'activité, description, clients cibles, biographie - obligatoire
  • Numéro de téléphone - facultatif
  • Répertoire de contacts : noms, téléphones, e-mails, entreprises, postes des contacts synchronisés - soumis à consentement
  • Contacts saisis manuellement : nom, entreprise, poste, téléphones, e-mails, adresse, notes - facultatif
  • Commentaires et notes - facultatif
  • Interactions : articles sauvegardés, tâches de suivi - généré par votre usage

4.2 Données collectées automatiquement

  • Données de session : adresse IP, agent utilisateur, date et heure de connexion
  • Jeton de notification push : identifiant Expo Push Token, plateforme
  • Données techniques : type d'appareil, version de l'OS, version de l'application
  • Journaux d'erreurs : traces d'erreurs, contexte d'exécution

4.3 Données générées par traitement algorithmique

  • Embedding de profil : vecteur numérique de 1 536 dimensions
  • Tags de profil : mots-clés thématiques générés automatiquement
  • Scores de pertinence : score vectoriel et score LLM (échelle 0-3)
  • Motif de correspondance : explication textuelle générée par IA
  • Statut de correspondance : candidat, qualifié, rejeté, envoyé

4.4 Données que nous ne collectons PAS

  • Données de géolocalisation, biométriques, de santé
  • Opinions politiques, convictions religieuses, orientation sexuelle
  • Historique de navigation hors Application
  • Données de suivi publicitaire

5. Finalités et bases légales

  • Création et gestion de votre compte : exécution du contrat (art. 6.1.b RGPD)
  • Fourniture du Service de veille médiatique : exécution du contrat (art. 6.1.b)
  • Analyse IA et recommandations personnalisées : exécution du contrat (art. 6.1.b)
  • Gestion de votre répertoire de contacts : exécution du contrat (art. 6.1.b)
  • Synchronisation des contacts de votre appareil : consentement (art. 6.1.a)
  • Envoi de notifications push : consentement (art. 6.1.a)
  • Envoi d'e-mails transactionnels : exécution du contrat (art. 6.1.b)
  • Sécurité et prévention des abus : intérêt légitime (art. 6.1.f)
  • Débogage et amélioration du Service : intérêt légitime (art. 6.1.f)
  • Conformité légale : obligation légale (art. 6.1.c)

6. Intelligence artificielle et profilage

6.1 Systèmes d'IA utilisés

TouchConnect utilise des modèles d'IA fournis par OpenAI :

  • Génération d'embeddings (text-embedding-3-small) : création de représentations vectorielles de vos profils et des articles
  • Scoring de pertinence (gpt-4.1-mini) : évaluation de la pertinence article/profil (score 0-3) et explication
  • Extraction d'entités (gpt-4.1-mini) : identification des entreprises mentionnées dans les articles

6.2 Pseudonymisation

Les données envoyées à OpenAI sont pseudonymisées : seul le contenu textuel de votre profil professionnel est transmis. Aucun identifiant nominatif (nom, prénom, e-mail, identifiant de compte) n'est envoyé à OpenAI.

6.3 Nature du profilage

Le Service effectue un profilage automatisé (art. 22 RGPD) : vectorisation de votre profil, calcul de similarité avec les articles, affinage par analyse LLM.

6.4 Impact et garanties

Ce profilage ne produit pas d'effets juridiques et n'entraîne aucune décision automatisée au sens de l'article 22.1 du RGPD. Il détermine uniquement l'ordre d'affichage des articles. Vous pouvez consulter le score et le motif de correspondance pour chaque article, et contacter le DPO pour contester une recommandation.

6.5 Conformité AI Act (Règlement UE 2024/1689)

Le système d'IA de TouchConnect est classé comme un système à risque limité. Les contenus générés par IA sont identifiables comme tels dans l'Application. Aucune fonctionnalité IA n'entre dans les catégories de systèmes interdits ou à haut risque.

7. Destinataires et sous-traitants

7.1 Sous-traitants techniques

  • Amazon Web Services (AWS) : hébergement de l'infrastructure - UE (Paris, eu-west-3)
  • Amazon SES : envoi d'e-mails transactionnels - UE (eu-west-3)
  • OpenAI, LLC : traitement IA - États-Unis - DPA, zero data retention, données non utilisées pour l'entraînement
  • Expo / EAS : distribution de mises à jour OTA, notifications push - États-Unis
  • Sentry : suivi des erreurs et monitoring - États-Unis / UE

7.2 Connecteurs logiciels

L'Application permet d'intégrer des connecteurs vers des logiciels tiers (CRM, outils de veille) avec des profils IA indépendants. Aucune donnée personnelle d'utilisateur n'est transmise aux logiciels connectés.

7.3 Aucune vente de données

Strategies and Corp. ne vend pas, ne loue pas et ne commercialise pas vos données personnelles à des tiers.

8. Transferts internationaux

Certains sous-traitants sont établis hors de l'EEE (États-Unis). Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne.

Mesures supplémentaires (conformément à l'arrêt « Schrems II ») :

  • Chiffrement des données en transit (TLS 1.2+) et au repos
  • Minimisation des données transmises
  • Pseudonymisation lorsque possible
  • Engagement contractuel de notification en cas de demande d'accès gouvernementale

Vous pouvez obtenir une copie des garanties en contactant sb@strategiesandcorp.fr

9. Durée de conservation

  • Données de compte : durée de la relation contractuelle ; suppression immédiate et définitive à la clôture du compte
  • Profil professionnel et embedding : supprimé à la clôture du compte
  • Contacts (synchronisés et manuels) : supprimé à la clôture du compte (cascade)
  • Sessions : 90 jours maximum ; renouvelé après 24 h d'inactivité
  • Jeton de notification push : jusqu'à révocation ou clôture du compte
  • Articles d'actualité : conservation indéfinie (données non personnelles, sources publiques)
  • Scores et correspondances : durée de la relation contractuelle
  • Commentaires et notes : supprimé à la clôture du compte
  • Journaux d'erreurs (Sentry) : 90 jours
  • Journaux de synchronisation : 1 an
  • E-mails transactionnels : non conservés après envoi

À l'expiration des durées de conservation, les données sont supprimées de manière irréversible ou anonymisées.

10. Sécurité des données

Mesures techniques :

  • Chiffrement en transit (HTTPS/TLS 1.2+) et au repos (AES-256 via AWS)
  • Hachage des mots de passe (bcrypt/argon2 via Better Auth)
  • Cookies sécurisés HttpOnly, Secure, SameSite
  • Protection CSRF via liste blanche CORS
  • Limitation de débit (@fastify/rate-limit)
  • En-têtes de sécurité (@fastify/helmet)
  • Verrouillage distribué via Redis
  • Architecture en microservices avec RabbitMQ et dead letter queue

Mesures organisationnelles :

  • Accès production restreint aux personnels autorisés
  • Authentification IAM (AWS) pour l'infrastructure
  • Journalisation des accès et opérations sensibles
  • Gestion des secrets (variables d'environnement, rotation des clés)
  • Notification de violation de données sous 72 h (art. 33 et 34 RGPD)

11. Vos droits

Conformément au RGPD (articles 15 à 22) et à la Loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir une copie de vos données
  • Droit de rectification (art. 16) : corriger des données inexactes
  • Droit à l'effacement (art. 17) : demander la suppression de vos données
  • Droit à la limitation (art. 18) : demander le gel temporaire du traitement
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
  • Droit d'opposition (art. 21) : s'opposer au traitement fondé sur l'intérêt légitime
  • Droit relatif aux décisions automatisées (art. 22) : demander une intervention humaine
  • Droit de retirer votre consentement : à tout moment, sans affecter la licéité du traitement antérieur

Comment exercer vos droits :

  • Par e-mail : sb@strategiesandcorp.fr
  • Par courrier : STRATEGIES AND CORP. SAS - DPO, 22-22 bis rue Bayard, 75008 Paris
  • Depuis l'Application : Paramètres > Mon compte > Supprimer mon compte

Nous répondrons dans un délai de 30 jours (prolongeable de 2 mois si complexité).

Réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Tél. : 01 53 73 22 22 - www.cnil.fr

12. Cookies et traceurs techniques

L'Application mobile TouchConnect n'utilise pas de cookies au sens traditionnel du terme.

Technologies utilisées :

  • Jeton de session : cookie HTTP HttpOnly, Secure, SameSite - strictement nécessaire (exempté de consentement)
  • Jeton de notification push : stockage applicatif - consentement (autorisation OS)
  • Préférences de notification : base de données serveur - exécution du contrat

Aucun cookie ou traceur publicitaire, analytique ou de suivi comportemental n'est déposé par l'Application.

13. Protection des mineurs

Le Service TouchConnect est destiné à un usage professionnel et n'est pas conçu pour être utilisé par des personnes âgées de moins de 16 ans (ou l'âge minimum applicable dans votre pays, 15 ans en France).

Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons que des données d'un mineur ont été collectées, nous les supprimerons dans les meilleurs délais. Contact : sb@strategiesandcorp.fr

14. Liens vers des contenus tiers

L'Application peut afficher des articles d'actualité provenant de sources externes (flux RSS publics). Lorsque vous consultez un article, vous êtes redirigé vers le site web de l'éditeur d'origine, soumis à sa propre politique de confidentialité.

15. Modifications de la présente politique

Nous pouvons mettre à jour cette Politique de Confidentialité à tout moment.

En cas de modification substantielle :

  • La date de « Dernière mise à jour » sera révisée.
  • Vous serez informé par notification dans l'Application et/ou par e-mail au moins 30 jours avant l'entrée en vigueur.
  • Si les modifications affectent un traitement fondé sur votre consentement, un nouveau consentement vous sera demandé.

16. Droit applicable et juridiction

La présente Politique de Confidentialité est régie par le droit français. Tout litige sera soumis aux tribunaux compétents de Paris, sous réserve des dispositions d'ordre public de votre pays de résidence.

17. Contact

Pour toute question relative à cette Politique de Confidentialité :

Cette politique de confidentialité est conforme aux exigences du RGPD, de la Loi Informatique et Libertés, du Règlement européen sur l'intelligence artificielle (AI Act), et des directives de l'App Store d'Apple.