Politique de confidentialité - Raoul

Introduction

La présente Politique de confidentialité (ci-après « la Politique ») est établie par la SRL LegalOps (ci-après « Nous », « le Responsable du traitement » ou « LegalOps »), immatriculée à la Banque-Carrefour des Entreprises sous le numéro 1029.306.887 et dont le siège social se situe Rue de Wansijn 53 à 1180 Uccle.

LegalOps doit être entendue comme Responsable du traitement au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE (ci-après, « RGPD »), en ce qu'elle traite les données à caractère personnel des utilisateurs de l'assistant juridique intelligent Raoul (ci-après, « l'Outil » ou « Raoul »).

Les utilisateurs sont ci-après également désignés comme étant les « personnes concernées », « Utilisateurs » ou « Vous ».

L'objectif de cette Politique est d'exposer en toute transparence comment vos données à caractère personnel sont collectées, traitées et conservées par LegalOps afin de démontrer la conformité de la société avec les prescrits légaux.

Pour LegalOps, le respect de la vie privée et la protection des données font en effet partie des valeurs essentielles que la société véhicule.

En ce qui concerne les données personnelles intégrées directement par l'utilisateur dans Raoul, LegalOps est considéré comme sous-traitant de ces données personnelles et l'utilisateur comme responsable de traitement.

Dans ce cadre, la relation entre l'Utilisateur et LegalOps est organisée par un accord de traitement de données conformément aux exigences de l'article 28(3) du RGPD.

Cet accord est accessible en annexe de nos Conditions générales d'utilisation.

Notions essentielles

Au sens de la présente Politique, il faut entendre par « données à caractère personnel », toute information permettant de vous identifier, en tant que personne physique, directement ou indirectement.

Par exemple : un nom, un prénom, une adresse e-mail.

Il faut entendre par « traitement des données à caractère personnel », toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel.

Par exemple : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Il faut entendre par « Responsable du traitement », la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; en l'espèce, LegalOps est Responsable du traitement.

Il faut entendre par « sous-traitant », la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement.

Quelles données à caractère personnel traitons-nous ? Et par quel(s) moyen(s) y avons-nous accès ?

3.1. Catégories de données traitées

Pour la réalisation des finalités de traitement listées ci-après, LegalOps est amenée à traiter les catégories, pertinentes et nécessaires, des données à caractère personnel suivantes :

• Données d'identification personnelle : nom et prénom ;
• Données d'identification électronique : adresse IP, adresse e-mail professionnelle et mot de passe ;

3.2. Catégories particulières de données

En principe, LegalOps ne traite pas de catégories particulières de données à caractère personnel révélant votre origine raciale ou ethnique, vos opinions politiques, vos convictions religieuses ou philosophiques, votre appartenance syndicale, vos données génétiques, vos données biométriques, vos données de santé ou les données concernant votre vie sexuelle ou votre orientation sexuelle, sans votre consentement explicite.

3.3. Données à caractère non personnel

Il est possible que LegalOps soit également amenée à récolter des données à caractère non personnel.

Ces données sont qualifiées de données à caractère non personnel car elles ne permettent pas d'identifier directement ou indirectement une personne en particulier. Elles pourront dès lors être utilisées à quelques fins que ce soit. Ainsi, les données anonymisées à des fins d'analyse agrégée ou d'étude de marché ne sont pas considérées comme des données à caractère personnel.

En revanche, dans l'hypothèse où des données à caractère non personnel seraient combinées à des données à caractère personnel, de sorte qu'une identification des personnes concernées serait possible, ces données seront traitées comme des données à caractère personnel jusqu'à ce que leur rapprochement avec une personne particulière soit rendu impossible.

3.4. Méthode de collecte des données

Vos données à caractère personnel sont collectées directement auprès de vous, notamment lorsque vous créez un compte utilisateur sur Raoul ou lorsque vous nous contactez.

Nous pouvons collecter certaines de vos données à caractère personnel indirectement, notamment lorsqu'un Utilisateur vous rattache à son compte afin de vous autoriser à accéder à son environnement.

3.5. Conséquences en cas de non-fourniture de ces données

La fourniture de certaines des données mentionnées ci-dessus sont nécessaires pour accéder aux services proposés par Raoul, notamment la création d'un compte utilisateur.

Dans le cas où la personne concernée ne fournit pas les données à caractère personnel demandées par le responsable de traitement, il est possible que la personne concernée ne puisse pas se connecter ni accéder aux services proposés par l'Outil.

Pourquoi collectons-nous vos données à caractère personnel ? Sur quelles bases légales traitons-nous vos données à caractère personnel ?

Nous traitons vos données à caractère personnel pour des finalités déterminées et fondées sur les bases légales pertinentes, selon le tableau suivant :

Base légale	Finalités
Article 6, 1., a) RGPD : L'utilisateur a donné son consentement au traitement de ses données à caractère personnel.	* Analyse statistiques d'usage et de croissance * Vous tenir informé de nos activités via la Newsletter
Art. 6, 1., b) RGPD : Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.	* Création et gestion de votre compte utilisateur
Art. 6, 1., c) RGPD : Le traitement est nécessaire au respect des obligations légales de LegalOps.	* Vos données à caractère personnel sont traitées à des fins de gestion de vos demandes liées à l'exercice de vos droits
Art. 6, 1., f) RGPD : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par LegalOps.	* LegalOps a un intérêt légitime à améliorer l'expérience des utilisateurs en leur proposant un Outil fonctionnel et en récoltant leurs suggestions à travers l'Outil. * LegalOps a un intérêt légitime à répondre aux demandes de renseignements et aux questions des utilisateurs. * LegalOps a un intérêt légitime à sauvegarder et défendre ses intérêts en cas de survenance d'un conflit avec un utilisateur.

Traitements non-encore envisagés

LegalOps peut être amenée à effectuer des traitements qui ne sont pas encore prévus dans la présente Politique de confidentialité. Dans ce cas, vous serez contacté par nos soins avant toute réutilisation de vos données à caractère personnel afin de vous informer des traitements non encore envisagés et vous donner la possibilité, le cas échéant, de les refuser.

Qui a accès à vos données personnelles ?

5.1. Communication interne

L'accès à vos données à caractère personnel est strictement limité, au sein de LegalOps, aux seules personnes habilitées, notamment pour la gestion de vos échanges avec LegalOps en cas de prise de contact ou pour la gestion de votre compte utilisateur.

5.2. Communication externe

Nous ne vendons ni ne transférons de quelque manière que ce soit vos données à caractère personnel à des tiers.

Néanmoins, dans le cadre de nos activités, il peut nous arriver de partager vos données avec nos partenaires et sous-traitants de confiance, agissant conformément à nos instructions, soit :

• Scaleway (Scaleway SAS, région France) — hébergement de l'Outil ;
• Platane (Platane SAS, RCS Poitiers 904 843 000, France) — développement de l'Outil ;
• PostHog (PostHog Inc., hébergement UE) — outil d'analyse statistique du trafic et du comportement des utilisateurs sur le site. Les données collectées sont anonymisées par défaut et ne deviennent personnelles qu'avec votre consentement explicite aux cookies analytiques ;
• Slack (Salesforce Inc.) — utilisé uniquement pour la réception interne des demandes de contact soumises via le formulaire du site.

Nous pouvons également transmettre vos Données personnelles aux catégories suivantes de destinataires :

• À tout organisme d'application de la loi compétent, régulateur, agence gouvernementale, tribunal, ou autre tiers, lorsque nous estimons que la divulgation est nécessaire en vertu des lois ou règlements applicables, afin d'établir ou de défendre nos droits ou afin de protéger vos intérêts vitaux ou ceux de toute autre personne.
• À nos auditeurs, conseillers, représentants légaux et agents similaires dans le cadre des services de conseil qu'ils nous fournissent à des fins commerciales légitimes et sous réserve d'une interdiction contractuelle d'utiliser les Données personnelles pour d'autres finalités.
• À toute autre personne dès lors que vous avez donné votre consentement préalable à la divulgation.

5.3. Stockage et transfert des données

Les données à caractère personnel collectées par le Responsable de traitement sont stockées et traitées à l'intérieur de l'Union européenne.

En principe, aucune de vos données à caractère personnel n'est transférée à des pays tiers, situés en dehors de l'Union européenne ou à des organisations internationales.

Si cela devait néanmoins devenir le cas, nous nous engageons à prendre les mesures de sécurité appropriées afin de garantir un niveau de protection suffisant de vos données à caractère personnel.

Pendant combien de temps gardons-nous vos données ?

Nous conservons les Données personnelles que nous recueillons auprès de vous lorsque nous avons un besoin commercial légitime (par exemple afin de vous fournir un service que vous avez demandé ou pour nous conformer aux exigences légales applicables).

Ainsi, nous conservons les Données personnelles selon les durées suivantes :

• Pour la création et gestion de votre compte utilisateur : jusqu'à 2 ans à compter de la dernière activité.
• Pour répondre à vos demandes : jusqu'à 2 ans après la date du dernier contact.

Lorsque nous n'avons plus de besoin commercial légitime pour traiter vos Données personnelles, nous les rendons anonymes, ou nous les supprimons ou si cette dernière action n'est pas possible (par exemple, vos Données personnelles ont été stockées dans des archives de sauvegarde), nous les conservons en toute sécurité et les isolons de tout autre traitement jusqu'à ce que la suppression soit possible.

Quelles sont les mesures de sécurité mises en place autour de vos données ?

Nous donnons la priorité à la protection de vos données à caractère personnel et travaillons donc activement pour que vos données soient protégées contre la perte, le vol, l'usage abusif, l'altération, la divulgation ou l'utilisation non autorisée. Par conséquent, nous prenons les mesures que l'on peut raisonnablement attendre afin que vos données à caractère personnel soient traitées en toute sécurité et conformément à la présente Politique et au RGPD.

Cependant, les transferts de données sur Internet et les réseaux mobiles ne peuvent jamais se faire sans aucun risque. Il est par conséquent important que les personnes concernées prennent également la responsabilité de s'assurer que leurs données soient bien protégées, notamment en s'assurant que leurs données de connexion restent secrètes.

Si malgré ces mesures de sécurité, vos données sont détruites, perdues, altérées ou divulguées, nous nous engageons à agir rapidement afin d'identifier la cause du problème et à prendre les mesures adéquates, conformément aux prescrits légaux en matière de protection des données à caractère personnel.

Quels sont vos droits ?

En tant que personne concernée par le traitement de vos données à caractère personnel, vous disposez d'un certain nombre de droits concernant l'accès et le contrôle de vos données à caractère personnel, notamment :

• Un droit d'accès : en exerçant ce droit, vous pouvez obtenir sur simple demande et gratuitement une copie (y compris sous format électronique) de vos données à caractère personnel. Vous pouvez également demander à avoir accès à toute une série d'informations, notamment les finalités du traitement, les destinataires, etc. Dans l'hypothèse où vous nous demandez des copies supplémentaires, nous pourrons néanmoins vous exiger le paiement de frais raisonnables, basés sur les coûts administratifs.
• Un droit de rectification : en exerçant ce droit, vous pouvez rectifier, compléter ou supprimer vos données à caractère personnel qui seraient inexactes, incomplètes ou non pertinentes. Dans l'hypothèse où nous avons rendu vos données accessibles à d'autres entités, nous avons l'obligation de prendre toutes les mesures nécessaires pour informer ces entités de votre demande de rectification.
• Un droit à l'effacement : sauf exceptions, vous avez le droit de nous demander d'effacer vos données. Dans l'hypothèse où nous avons rendu vos données accessibles à d'autres entités, nous avons l'obligation de prendre toutes les mesures nécessaires pour informer ces entités de votre demande d'oubli.
• Un droit à la limitation de traitement : dans certaines hypothèses, vous avez le droit d'obtenir la limitation du traitement sur vos données à caractère personnel. Dans l'hypothèse où nous avons rendu vos données accessibles à d'autres entités, nous avons l'obligation de prendre toutes les mesures nécessaires pour informer ces entités de votre demande de limitation au traitement.
• Un droit à la portabilité de vos données à caractère personnel : vous pouvez, dans certaines hypothèses, demander à recevoir gratuitement vos données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine, en vue notamment de les transmettre à un autre responsable du traitement.
• Un droit d'opposition : lorsque le traitement de vos données est réalisé sur base de notre intérêt légitime, vous pouvez à tout moment vous opposer à l'usage de vos données à cette fin, sauf si nous démontrons qu'il existe des motifs légitimes et impérieux prévalant sur vos droits et intérêts.
• Un droit de retrait de votre consentement : vous pouvez retirer à tout moment votre consentement, dans le cas où ce dernier est la base légale du traitement de vos données.

Pour exercer ces droits ou pour toute question et/ou réclamation relatives à la présente Politique de confidentialité, veuillez adresser une demande écrite (y compris sous format électronique), datée et signée, à l'attention de LegalOps selon les coordonnées de contact reprises ci-dessous.

Votre demande doit indiquer le(s) droit(s) que vous souhaitez exercer. Nous sommes susceptibles de vous demander la fourniture d'une preuve de votre identité pour des raisons de sécurité, afin d'empêcher la divulgation non autorisée ou l'utilisation abusive de vos données à caractère personnel.

Nous disposerons alors d'un délai d'un mois à compter de la réception de votre demande pour vous répondre. Ce délai peut être prolongé de 2 mois, compte tenu de la complexité ou du nombre de demandes. Le cas échéant, ce délai ne pourra être prolongé que dans la mesure où vous en avez été informé, et que les motivations justifiant ce report vous ont été communiquées.

Dans l'hypothèse où nous décidons de ne pas donner suite à votre demande, nous vous informerons sur les motifs de notre refus ou de notre inaction.

Comment Raoul interagit avec les données utilisateur Google

La présente section décrit, conformément à la Google API Services User Data Policy et aux Google APIs Terms of Service, comment Raoul accède, utilise, stocke, partage et supprime les données utilisateur Google obtenues via les API Google. L'utilisation, par Raoul, des informations reçues des API Google respecte la Google API Services User Data Policy, y compris les exigences de Limited Use (utilisation limitée).

Données Google auxquelles nous accédons

Lorsque vous connectez votre compte Google à Raoul, nous vous demandons votre consentement explicite via l'écran de consentement OAuth de Google pour les autorisations (scopes) suivants :

• `openid`, `email`, `profile` : informations d'identification de base (identifiant Google, adresse e-mail, nom et photo de profil) ;
• `https://www.googleapis.com/auth/drive.readonly\` : accès en lecture seule aux métadonnées et au contenu des fichiers Google Drive (documents, dossiers et arborescence). Cette autorisation n'est demandée que si vous choisissez de connecter Google Drive comme source documentaire ;
• `https://www.googleapis.com/auth/gmail.readonly\` : accès en lecture aux messages, fils de discussion et pièces jointes de votre boîte Gmail ;
• `https://www.googleapis.com/auth/gmail.compose\` : création et modification de brouillons d'emails dans votre boîte Gmail. Cette autorisation ne permet pas l'envoi d'emails ; elle se limite strictement à la rédaction de brouillons ;
• `https://www.googleapis.com/auth/calendar.readonly\` : accès en lecture aux événements de votre Google Calendar.

Les autorisations Gmail et Calendar ne sont demandées que si vous choisissez de connecter Gmail à Raoul ; les autorisations Drive ne sont demandées que si vous choisissez de connecter Google Drive. Aucune autorisation Google n'est demandée sans une action explicite de votre part.

Comment nous utilisons vos données Google

Les données obtenues via les API Google sont utilisées exclusivement pour fournir les fonctionnalités que vous avez demandées dans Raoul :

• Google Drive : les documents et dossiers que vous sélectionnez sont importés comme sources documentaires de l'assistant Raoul. Leur contenu est extrait, segmenté en passages, vectorisé (embeddings) et indexé afin de permettre la recherche sémantique et la génération de réponses sourcées par Raoul ;
• Gmail (lecture) : vos emails peuvent être consultés à votre demande pour permettre à Raoul de répondre à vos questions sur le contenu de votre boîte de réception ;
• Gmail (brouillons) : Raoul peut créer ou modifier des brouillons d'emails dans votre boîte sur instruction explicite de votre part. Aucun email n'est jamais envoyé automatiquement ;
• Google Calendar : vos événements peuvent être consultés à votre demande pour permettre à Raoul de répondre à vos questions sur votre agenda ;
• Profil et e-mail : utilisés uniquement pour vous identifier, afficher votre nom et adresse dans l'interface et associer la connexion Google à votre compte.

Les données utilisateur Google ne sont jamais :

• utilisées pour entraîner, ajuster ou améliorer des modèles d'intelligence artificielle généralisés ;
• utilisées à des fins publicitaires ni de profilage marketing ;
• vendues à des tiers ;
• accédées par du personnel humain, sauf nécessité opérationnelle limitée (sécurité, support utilisateur explicite ou obligation légale).

Partage de vos données Google avec des tiers

En complément des sous-traitants listés au point 5.2 ci-dessus, les données utilisateur Google peuvent être transmises aux sous-traitants techniques suivants, strictement dans le cadre de la fourniture du service :

• Anthropic (Anthropic PBC, États-Unis) — fournisseur du modèle d'intelligence artificielle qui génère les réponses de Raoul. Les contenus pertinents extraits de Drive, Gmail ou Calendar sont transmis à Anthropic au moment où vous posez une question, afin que le modèle puisse formuler une réponse contextuelle. Anthropic s'engage contractuellement à ne pas utiliser ces données pour entraîner ses modèles ;
• Cohere (Cohere Inc., Canada) — fournisseur des modèles d'embeddings et de reranking utilisés pour la recherche sémantique dans vos documents.

Aucune donnée utilisateur Google n'est partagée avec des tiers à des fins publicitaires, marketing ou commerciales. Nous ne vendons jamais les données des utilisateurs.

Stockage et protection de vos données Google

• Chiffrement en transit : toutes les communications avec les API Google et avec nos services s'effectuent via TLS (HTTPS) ;
• Chiffrement au repos : les jetons d'accès et de rafraîchissement OAuth ainsi que les données dérivées (contenu indexé, embeddings) sont stockés dans des bases de données et des espaces de stockage objet chiffrés au repos ;
• Cloisonnement : les données de chaque espace de travail sont logiquement isolées des autres espaces ;
• Contrôle d'accès : l'accès aux données est limité aux membres autorisés de votre espace de travail. Le personnel de LegalOps et de son prestataire technique (Platane) n'y accède qu'en cas de nécessité opérationnelle (sécurité, support, obligation légale).

Conservation et suppression de vos données Google

• Durée de conservation : les données obtenues via les API Google sont conservées tant que la connexion Google reste active dans votre compte ;
• Déconnexion : vous pouvez à tout moment révoquer l'accès à Google depuis :
  • les paramètres de Raoul (page « Sources » de votre espace de travail pour Drive, paramètres du compte pour Gmail et Calendar) ;
  • directement depuis la page Google Account – Sécurité – Applications tierces ;
• Effet de la déconnexion : la révocation entraîne la suppression des jetons OAuth et l'arrêt immédiat de toute synchronisation. Les documents importés depuis Drive ainsi que les embeddings dérivés sont supprimés conformément au processus décrit ci-dessous ;
• Suppression à la demande : vous pouvez demander la suppression complète de vos données en écrivant à frederic@legalops.be. Votre demande sera traitée dans un délai maximum de 30 jours ; les données seront supprimées de toutes nos bases de données ainsi que des sauvegardes lors de leur cycle de rotation suivant (au plus tard 90 jours) ;
• Suppression automatique : lorsque vous supprimez votre compte Raoul, l'intégralité de vos données Google associées est supprimée dans les mêmes délais.

Questions, réclamations ou plaintes

Si vous souhaitez réagir à l'une des pratiques décrites dans la présente Politique, il vous est conseillé de prendre contact en premier lieu avec nous via les coordonnées suivantes : frederic@legalops.be

Vous pouvez également introduire une réclamation auprès de l'autorité de protection des données belge :

Autorité de Protection des Données Rue de la Presse, 35 1000 Bruxelles Tél. + 32 2 274 48 00 Fax. + 32 2 274 48 35 contact@apd-gba.be

Pour de plus amples informations sur les plaintes et voies de recours possibles, nous vous invitons à consulter les informations disponibles sur le site de l'Autorité de protection des données : https://www.autoriteprotectiondonnees.be

Enfin, il vous reste la possibilité de porter plainte devant les juridictions nationales compétentes.

Modifications de la présente politique

Nous avons le droit, à tout moment, d'apporter des modifications ou des ajouts à la présente Politique de confidentialité.

La dernière version de notre Politique de confidentialité sera toujours disponible via l'interface de l'Outil.