Politique de Confidentialité

01

Qui sommes-nous ?

Ai2HSE est une plateforme SaaS d'analyse et de gestion des risques HSE (Hygiène, Sécurité, Environnement) à destination des TPE et PME, éditée et exploitée par la société EMC Solutions SAS. EMC Solutions SAS intervient en qualité de responsable de traitement pour les données propres à son activité commerciale, et de sous-traitant au sens de l'article 28 du RGPD pour les données HSE que ses clients lui confient aux fins de fourniture du service Ai2HSE.

Responsable du traitement

Société EMC Solutions SAS — SIRET 922 650 601 00011 — RCS Marseille

Adresse 22 Chemin de la Tonne, 13950 Cadolive, France

Email privacy@ai2hse.com

Site app.ai2hse.com

02

Données collectées et finalités

Nous collectons uniquement les données strictement nécessaires à la fourniture du service (principe de minimisation, Art. 5 RGPD).

Catégorie de données	Finalité	Base légale
Compte utilisateur Nom, prénom, adresse e-mail professionnelle, société	Création et gestion du compte client, authentification, support technique	Exécution contractuelle (Art. 6.1.b)
Données de facturation Coordonnées de facturation, SIRET	Émission des factures, obligations comptables et fiscales	Obligation légale (Art. 6.1.c)
Données d'usage de la plateforme Conversations avec les agents IA, documents téléversés, fichiers générés	Fourniture du service SaaS, génération des documents HSE par les agents IA	Exécution contractuelle (Art. 6.1.b)
Données HSE salariés Données de formation, habilitations, visites médicales (pseudonymisées)	Gestion des registres HSE (agent Dewi), suivi conformité réglementaire	Obligation légale (Art. 6.1.c) + Art. 9.2.b pour données de santé
Données d'investigation d'événements Description d'accident/incident, facteurs contextuels (lieu, date, entreprise), témoignages — pseudonymisés avant traitement IA	Aide à l'investigation HSE (agent René) — production du rapport RAPINV soumis à validation humaine obligatoire	Exécution contractuelle (Art. 6.1.b)
Logs techniques Adresse IP, logs de connexion, erreurs applicatives	Sécurité, détection de fraude, amélioration du service	Intérêt légitime (Art. 6.1.f)
Cookies analytiques Mesure d'audience anonymisée	Amélioration de l'expérience utilisateur	Consentement (Art. 6.1.a) — voir §9

ℹ️

Pas d'entraînement sur vos données Les documents et conversations soumis à la plateforme Ai2HSE ne sont jamais utilisés pour entraîner ou améliorer les modèles d'IA. Vos données restent strictement cloisonnées à votre espace client (isolation par tenant).

03

Hébergement et sécurité

Toute l'infrastructure Ai2HSE est hébergée en Union Européenne. Aucune donnée ne quitte le territoire européen.

Fournisseur cloud Amazon Web Services (AWS) — Région eu-central-1 (Francfort, Allemagne 🇩🇪) IA générative Amazon Bedrock avec cross-region inference profiles eu. — routage intra-UE uniquement (Frankfurt / Irlande / Stockholm) Chiffrement TLS 1.3 en transit · AES-256 au repos (AWS KMS) · VPC Endpoints privés Bedrock Isolation Isolation multi-tenant RLS PostgreSQL + namespace localStorage par utilisateur Journaux S3 Object Lock — immuabilité des journaux d'audit — conservation 7 ans

🛡️

Zero Data Retention (ZDR) La configuration Amazon Bedrock appliquée par Ai2HSE active le mode Zero Data Retention : Anthropic (concepteur des modèles Claude) ne conserve aucune donnée issue des appels API. Les prompts ne sont ni stockés ni réutilisés par Anthropic.

04

Intelligence Artificielle — Déclaration de transparence

🤖 Obligation de transparence — AI Act Art. 50 (Règlement UE 2024/1689)

La plateforme Ai2HSE intègre des agents IA spécialisés (Harry, Sylvie, Jeffrey, Myriam, Olivier, Dewi, René) basés sur les modèles Claude d'Anthropic, accessibles via Amazon Bedrock. Conformément à l'article 50 du Règlement européen sur l'IA, nous vous informons clairement que :

Vous interagissez avec un système d'intelligence artificielle lors de l'utilisation du chatbot et des agents HSE.
Tous les documents générés (DUERP, Plan de Prévention, modes opératoires…) sont produits par une IA à votre demande et constituent une aide à la décision — leur validation finale reste sous votre responsabilité.
Aucune décision ayant un effet juridique direct sur des personnes n'est prise de manière automatisée — vous restez prescripteur et validateur de toutes les sorties.

Classification des agents IA — AI Act

Agent	Domaine HSE	Niveau de risque AI Act	Justification
Harry	Droit & Réglementation	Risque minimal	Données publiques (Code du travail, EUR-Lex) — aucun impact sur les droits des personnes
Sylvie	DUERP & PAPRIPACT	Risque limité	Tâche préparatoire — l'évaluation officielle reste sous la responsabilité de l'employeur
Jeffrey	Modes opératoires	Risque limité	Formalisation d'une activité humaine préalable — aucun profilage individuel
Myriam	Systèmes de management	Risque limité	Tâche préparatoire — structuration documentaire validée par l'expert client
Olivier	Plans de Prévention	Risque limité	Tâche préparatoire — le PdP final est signé par les responsables habilités
Dewi	Registres administratifs HSE	Risque limité	Saisie et alertes réglementaires — aucun profilage ni scoring des personnes
René	Investigation d'événements HSE	Risque limité	Aide à l'investigation AT/MP/incidents — rapport soumis à validation obligatoire par un préventeur qualifié, aucune décision automatisée

Classification formelle complète disponible dans le rapport interne Ai2HSE-TR201 — Classification AI Act, Rév. 02, sur demande auprès du DPO.

05

Sous-traitants et destinataires

Ai2HSE s'appuie sur les sous-traitants suivants pour la fourniture du service. Chaque sous-traitant est lié par un contrat de sous-traitance conforme à l'Art. 28 RGPD (DPA).

Sous-traitant	Rôle	Localisation	Données traitées
Amazon Web Services (AWS)	Infrastructure cloud (ECS Fargate, RDS, S3, Cognito)	UE — eu-central-1 Francfort 🇩🇪	Toutes les données de la plateforme
Anthropic / Amazon Bedrock	Modèles IA (Claude Sonnet, Haiku)	Intra-UE via Bedrock eu. (ZDR)	Prompts et documents soumis aux agents — aucune rétention

Ai2HSE ne vend ni ne cède vos données à des tiers à des fins commerciales ou publicitaires. Aucune donnée n'est communiquée à d'autres destinataires sauf obligation légale (réquisition judiciaire, CNIL).

06

Transferts hors Union Européenne

✅

Aucun transfert de données hors UE L'intégralité du traitement des données Ai2HSE s'effectue sur le territoire de l'Union Européenne. Amazon Bedrock est configuré avec les cross-region inference profiles eu. garantissant un routage exclusivement intra-EU. Les données ne transitent pas vers les serveurs Anthropic aux États-Unis.

Dans l'hypothèse où un futur sous-traitant nécessiterait un transfert hors UE, nous vous en informerions préalablement et mettrions en place les Clauses Contractuelles Types (CCT) de la Commission Européenne conformément à l'Art. 46 RGPD. Cette page serait mise à jour en conséquence.

07

Durées de conservation

Catégorie de données	Durée de conservation	Justification
Données de compte utilisateur	Durée du contrat + 3 ans	Prescription contractuelle de droit commun
Données de facturation	10 ans	Obligation légale comptable (Art. L.123-22 Code de commerce)
Données HSE salariés (habilitations, formations)	Durée du contrat client + 1 an	Proportionnalité — données métier client
Données de santé au travail (aptitudes médicales)	5 ans	Art. R. 4624-47 Code du travail
Journaux d'audit de sécurité	7 ans (immuable S3 Object Lock)	Exigences de traçabilité et obligations légales
Prompts et documents traités par l'IA	Zéro rétention (ZDR Amazon Bedrock)	Zero Data Retention — aucun stockage côté modèle IA
Fichiers générés (DOCX, XLSX)	Jusqu'au téléchargement + purge planifiée	Minimisation des données
Cookies analytiques	13 mois maximum	Recommandation CNIL 2026

08

Vos droits RGPD

Conformément au RGPD (Art. 15 à 22), vous disposez des droits suivants sur vos données personnelles. Toute demande est traitée dans un délai d'un mois à compter de sa réception.

🔍 Droit d'accès

Obtenir une copie des données vous concernant et la liste des traitements appliqués.

✏️ Droit de rectification

Faire corriger des données inexactes ou incomplètes vous concernant.

🗑️ Droit à l'effacement

Demander la suppression de vos données, sous réserve des obligations légales de conservation.

⏸️ Droit de limitation

Geler temporairement le traitement de vos données dans les cas prévus par le RGPD.

🚫 Droit d'opposition

Vous opposer au traitement fondé sur l'intérêt légitime (ex. communications marketing).

📦 Droit à la portabilité

Recevoir vos données dans un format structuré et lisible par machine (JSON/CSV).

🤖 Décision automatisée

Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.

↩️ Retrait du consentement

Retirer votre consentement à tout moment, sans que cela affecte les traitements antérieurs.

📮

Pour exercer vos droits Adressez votre demande par e-mail à privacy@ai2hse.com ou par courrier à notre adresse postale. Une pièce d'identité pourra être demandée pour vérifier votre identité. En cas de litige non résolu, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris.

09

Cookies et traceurs

Conformément aux recommandations CNIL 2026, nous vous demandons votre consentement avant tout dépôt de cookies non essentiels. Un bouton « Refuser » aussi visible que le bouton « Accepter » est disponible sur notre bandeau de consentement. Le consentement est valable 13 mois maximum et révocable à tout moment.

Catégorie	Finalité	Consentement requis	Durée
Session / Authentification	Maintenir la connexion à votre compte, sécurité CSRF	Exemptés	Session
Préférences utilisateur	Langue, thème d'interface	Exemptés	12 mois
Analytics (mesure d'audience)	Statistiques anonymisées de fréquentation et d'usage	Consentement	13 mois

Nous n'utilisons pas de cookies publicitaires ou de ciblage tiers. Aucun cookie de réseaux sociaux n'est déposé sans votre accord explicite.

10

Contact et Délégué à la Protection des Données (DPO)

Nous contacter

Email privacy privacy@ai2hse.com

DPO privacy@ai2hse.com — Délégué à la Protection des Données Ai2HSE

Courrier Ai2HSE — Service Protection des Données, [Adresse postale], France

CNIL En cas de litige non résolu : www.cnil.fr/fr/plaintes

Mise à jour de cette politique

La présente politique est susceptible d'être modifiée pour refléter l'évolution du service ou du cadre réglementaire. La date d'entrée en vigueur figure en en-tête. En cas de modification substantielle, nous vous en informerons par e-mail au moins 30 jours avant l'entrée en vigueur.