La présente Politique de Confidentialité décrit comment Diqto collecte, utilise, stocke et protège les données personnelles dans le cadre de son service d'assistant vocal IA pour la création de documents professionnels. Elle est établie conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
1. Responsable du traitement
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter Diqto à l'adresse ci-dessus.
2. Données collectées
2.1 Données de l'Utilisateur
- Nom et/ou raison sociale
- Numéro SIRET (si applicable)
- Numéro de téléphone mobile
- Adresse email
- Adresse postale professionnelle
- Statut juridique (micro-entreprise, EI, EURL, SASU, association, profession libérale)
- Métier / activité exercée (parmi 71 métiers supportés)
- Logo de l'entreprise (si fourni)
- Données vocales : transcrites en texte par l'IA, puis audio supprimé immédiatement — l'audio n'est jamais conservé
2.2 Données des clients de l'Utilisateur
Dans le cadre de la création de documents professionnels, l'Utilisateur transmet via ses messages vocaux, photos ou saisies textuelles les informations suivantes relatives à ses propres clients :
- Nom et prénom du client
- Adresse postale
- Numéro de téléphone
- Adresse email
- Historique des prestations
- Notes de séance (pour les praticiens : santé, bien-être, coaching)
- Données de suivi patient — si companion activé (score douleur, exercices prescrits, évolution)
📌 Note : L'Utilisateur est responsable de l'obtention du consentement de ses clients pour la transmission de ces données à Diqto. Les données des clients sont anonymisées avant tout envoi vers les services d'intelligence artificielle (Anthropic, OpenAI). Pour les praticiens de santé, l'Utilisateur est responsable du respect du secret médical et des obligations renforcées du RGPD relatives aux données de santé.
2.3 Données d'usage
- Messages envoyés à Diqto (vocaux transcrits et textuels)
- Historique des documents créés (devis, factures, notes d'honoraires, conventions, reçus)
- Notes de séance structurées par l'IA
- Données de timetracking (durée des séances/prestations)
- Interactions avec le companion patient (si activé)
- Dates et heures de connexion / utilisation
- Données de facturation et de paiement (gérées par Stripe)
2.4 Données collectées sur le site diqto.fr
- Données de navigation (pages visitées, durée — via cookies analytics optionnels)
- Adresse IP (anonymisée)
3. Finalités des traitements
| Finalité | Données concernées |
|---|---|
| Création de documents professionnels (PDF) | Données Utilisateur + données clients + messages / dictées vocales |
| Structuration des notes de séance | Messages vocaux transcrits, données patient (praticiens) |
| Suivi client et relances | Historique prestations, coordonnées clients, données de paiement |
| Gestion du compte utilisateur | Données d'identification, statut juridique, métier |
| Facturation et paiement | Email, données de paiement (via Stripe) |
| Alertes URSSAF et coaching business | Données financières (CA, seuils), statut juridique |
| Amélioration du service | Données d'usage anonymisées, retours utilisateurs |
| Support client | Messages, email, données du compte |
| Communication commerciale | Email (avec consentement préalable) |
4. Base légale des traitements
- Exécution du contrat (article 6.1.b du RGPD) : les traitements nécessaires à la fourniture du service (génération de documents, gestion du compte, facturation) sont fondés sur l'exécution des CGU acceptées par l'Utilisateur.
- Intérêt légitime (article 6.1.f du RGPD) : les traitements liés à l'amélioration du service et aux statistiques d'usage sont fondés sur l'intérêt légitime de Diqto à améliorer son offre.
- Consentement (article 6.1.a du RGPD) : les communications commerciales et les cookies analytics sont soumis au consentement préalable de l'Utilisateur.
- Obligation légale (article 6.1.c du RGPD) : la conservation des données de facturation est requise par les obligations comptables et fiscales.
5. Sous-traitants et transferts de données
Diqto fait appel aux sous-traitants suivants, tous liés par des accords de traitement de données (DPA) :
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Anthropic | Traitement IA (Claude Haiku — structuration documents, notes de séance) | États-Unis | DPA, SCCs. Données personnelles anonymisées avant envoi. |
| OpenAI | Embeddings (recherche sémantique dans les notes et documents) | États-Unis | DPA, SCCs. Données personnelles anonymisées avant envoi. |
| Deepgram | Transcription vocale (speech-to-text) | États-Unis | DPA, SCCs. Audio supprimé immédiatement après transcription. |
| Neon | Base de données PostgreSQL | UE (Francfort) | Hébergement UE. Chiffrement au repos et en transit. |
| Cloudflare R2 | Stockage documents PDF | UE | Hébergement UE. Chiffrement au repos et en transit. |
| Koyeb | Hébergement application | UE (Francfort) | Hébergement UE. |
| Stripe | Paiement et facturation | États-Unis / UE | Certifié PCI-DSS, DPA, SCCs. Données de paiement uniquement. |
| Resend | Envoi d'emails transactionnels | États-Unis | DPA, SCCs. |
| Meta / WhatsApp | Envoi OTP authentification | États-Unis / UE | API WhatsApp Business. Chiffrement de bout en bout (E2EE). |
🔒 Anonymisation : Avant tout envoi de données vers les services d'IA (Anthropic, OpenAI), les données personnelles identifiantes (noms, adresses, téléphones des clients) sont remplacées par des identifiants anonymes. Les données originales ne quittent pas l'infrastructure européenne de Diqto.
6. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données du compte Utilisateur | Durée de l'abonnement actif + 3 ans après résiliation |
| Données des clients de l'Utilisateur | Durée de l'abonnement actif. Supprimées dans les 30 jours suivant la résiliation. |
| Documents générés (devis, factures, etc.) | Durée de l'abonnement actif + 3 ans (obligation légale de conservation) |
| Notes de séance / données patient | Durée de l'abonnement actif. Supprimées dans les 30 jours suivant la résiliation. |
| Données vocales (audio) | Supprimées immédiatement après transcription — jamais stockées |
| Données de facturation | 10 ans (obligation comptable et fiscale — article L123-22 du Code de commerce) |
| Messages textuels | 90 jours après traitement, puis suppression automatique |
| Données de navigation (site web) | 13 mois maximum (recommandation CNIL) |
7. Droits des personnes
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (article 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
- Droit de rectification (article 16) : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (article 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la portabilité (article 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (article 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime.
- Droit à la limitation (article 18) : demander la limitation du traitement dans certaines circonstances.
📬 Comment exercer vos droits :
Envoyez votre demande à support@diqto.fr en précisant votre identité et le(s) droit(s) que vous souhaitez exercer.
Délai de réponse : 30 jours maximum à compter de la réception de votre demande.
Réclamation : Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Envoyez votre demande à support@diqto.fr en précisant votre identité et le(s) droit(s) que vous souhaitez exercer.
Délai de réponse : 30 jours maximum à compter de la réception de votre demande.
Réclamation : Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
8. Sécurité des données
Diqto met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles :
- Chiffrement en transit : Toutes les communications sont protégées par TLS (Transport Layer Security).
- Hébergement EU : Les données sont hébergées dans l'Union européenne (Neon — Francfort, Cloudflare R2 — UE, Koyeb — Francfort).
- Authentification par code OTP : Chaque connexion est vérifiée par un code à usage unique envoyé par SMS ou WhatsApp.
- Tokens d'accès avec expiration : Les tokens d'authentification expirent automatiquement après 24 heures.
- Signature électronique sécurisée : Hash SHA-256 avec audit trail complet (qui, quand, IP, hash du document).
- Données patient chiffrées au repos : Les données sensibles (notes de séance, données de suivi patient) sont chiffrées dans la base de données.
- Audio vocal jamais stocké : Les enregistrements vocaux sont transcrits en temps réel et l'audio est supprimé immédiatement après transcription.
- Accès restreint : L'accès aux données est limité aux personnes strictement nécessaires au fonctionnement du service.
- Anonymisation : Les données personnelles sont anonymisées avant tout traitement par les services d'IA hors UE.
- Sauvegardes : Des sauvegardes régulières sont effectuées pour prévenir la perte de données.
- Surveillance : Les accès et opérations sur les données sont journalisés et surveillés.
9. Cookies
9.1 Application mobile iOS
L'application mobile Diqto n'utilise aucun cookie. L'authentification se fait via code OTP et tokens d'accès sécurisés.
9.2 Site web diqto.fr
Le site diqto.fr peut utiliser les cookies suivants :
| Cookie | Type | Finalité | Durée | Consentement |
|---|---|---|---|---|
| Cookies techniques | Strictement nécessaires | Fonctionnement du site | Session | Non requis |
| Cookies analytics | Mesure d'audience | Statistiques de fréquentation | 13 mois max. | Optionnel — Consentement requis |
L'Utilisateur peut gérer ses préférences de cookies à tout moment via le bandeau de consentement présent sur le site.
10. Mise à jour de la politique
La présente Politique de Confidentialité peut être modifiée à tout moment pour refléter les évolutions du service ou de la réglementation applicable.
En cas de modification substantielle, les Utilisateurs seront informés par notification dans l'application et/ou par email au moins 30 jours avant l'entrée en vigueur des modifications.
La version en vigueur est toujours accessible à l'adresse : diqto.fr/confidentialite.html.