JURIDIQUE
Politique de Confidentialité
Date d'effet : 19 mars 2026 · Dernière mise à jour : 19 mars 2026
1. Introduction
Comy AI ("Comy", "nous", "notre" ou "nos") exploite la plateforme d'IA agentique disponible sur comy.ai, comprenant l'application web, l'application de bureau, les API, le SDK, le widget de chat et tous les services associés (collectivement, le "Service"). Cette Politique de Confidentialité explique comment nous collectons, utilisons, partageons et protégeons vos données personnelles lorsque vous utilisez notre Service.
Nous nous engageons à respecter le Règlement Général sur la Protection des Données (UE) 2016/679 ("RGPD"), le AI Act de l'UE (Règlement (UE) 2024/1689) et toutes les autres lois applicables en matière de protection des données. En utilisant le Service, vous reconnaissez avoir lu et compris cette Politique de Confidentialité.
2. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
Comy AI
Email: privacy@comy.ai
Website: https://comy.ai
3. Informations que nous collectons
3.1 Données de compte et profil
Lors de votre inscription, nous collectons votre nom, adresse e-mail et identifiants d'authentification. Si vous vous authentifiez via des fournisseurs tiers (Google, GitHub, Apple), nous recevons vos informations de profil de base (nom, e-mail, photo de profil) telles que autorisées par ces services.
3.2 Données d'espace de travail et d'organisation
Lorsque vous créez ou rejoignez un espace de travail, nous collectons les noms d'espace de travail, les informations sur les membres de l'équipe, les attributions de rôles et les paramètres d'organisation que vous configurez.
3.3 Données des agents IA
Lorsque vous créez et exploitez des agents IA, nous traitons : configurations d'agents (nom, rôle, personnalité, compétences), messages de conversation, entrées et sorties de tâches, objectifs, entrées de mémoire et tout fichier ou donnée que vous fournissez à vos agents. Ces données sont nécessaires pour fournir la fonctionnalité principale du Service.
3.4 Données d'utilisation et de télémétrie
Nous collectons automatiquement des informations sur la façon dont vous interagissez avec le Service, y compris les pages visitées, les fonctionnalités utilisées, les appels API effectués, les journaux d'exécution des agents, les métriques de performance, l'adresse IP, le type de navigateur, les informations sur l'appareil et les horodatages. Nous utilisons ces données pour améliorer le Service, diagnostiquer les problèmes et assurer la sécurité.
3.5 Données de paiement et facturation
Le traitement des paiements est entièrement géré par Stripe, Inc. Nous ne stockons pas vos numéros de carte de crédit complets, CVV ou coordonnées bancaires. Nous conservons uniquement votre identifiant client Stripe, votre plan d'abonnement, votre e-mail de facturation et l'historique des transactions à des fins comptables.
3.6 Données de communication
Lorsque vous nous contactez par e-mail ou via les canaux de support, nous collectons le contenu de vos communications et les pièces jointes éventuelles pour répondre à vos demandes.
3.7 Données d'intégration
Lorsque vous connectez des services tiers (Slack, Discord, Telegram, WhatsApp, Vercel, GitHub, X/Twitter), nous stockons les jetons OAuth, les clés API et les configurations de webhooks nécessaires à l'intégration. Les jetons OAuth et les clés API sont chiffrés au repos avec le chiffrement AES-256-GCM.
4. Base juridique du traitement (RGPD Art. 6)
Nous traitons vos données personnelles sur les bases juridiques suivantes :
| Finalité | Base juridique |
|---|---|
| Fourniture du Service (exécution des agents, traitement des tâches) | Exécution du contrat (Art. 6(1)(b)) |
| Gestion de compte et authentification | Exécution du contrat (Art. 6(1)(b)) |
| Traitement des paiements et facturation | Exécution du contrat (Art. 6(1)(b)) |
| Amélioration du service et analytique | Intérêt légitime (Art. 6(1)(f)) |
| Sécurité, prévention de la fraude, détection d'abus | Intérêt légitime (Art. 6(1)(f)) |
| Communications marketing (si consentement donné) | Consentement (Art. 6(1)(a)) |
| Dossiers fiscaux et comptables | Obligation légale (Art. 6(1)(c)) |
5. Traitement des données par l'IA et prise de décision automatisée
Le cœur de notre Service consiste à traiter vos entrées via des modèles de langage IA pour générer des réponses, accomplir des tâches et faire fonctionner des agents autonomes. Nous souhaitons être totalement transparents sur ce fonctionnement :
- Fournisseurs de modèles : Vos conversations d'agents et entrées de tâches sont envoyées à des fournisseurs de modèles IA tiers (OpenAI, Anthropic, Google) pour traitement. Nous ne transmettons que les données minimales nécessaires pour répondre à votre demande.
- Pas d'entraînement sur vos données : Nous n'utilisons pas votre contenu pour entraîner nos propres modèles IA. Les fournisseurs tiers traitent vos données selon leurs accords de traitement de données respectifs, qui interdisent l'utilisation des données API pour l'entraînement de modèles.
- Prise de décision automatisée : Les agents IA peuvent prendre des décisions automatisées (priorisation des tâches, planification des objectifs, délégation aux équipes) dans le cadre que vous configurez. Ces décisions ne produisent pas d'effets juridiques ou d'effets significatifs similaires sur les personnes. Vous gardez le contrôle total pour examiner, annuler ou désactiver tout comportement automatisé.
- Supervision humaine : Toutes les actions des agents IA peuvent être configurées pour nécessiter une approbation humaine avant exécution. Vous pouvez définir des politiques d'approbation par agent et par type d'action.
- Vision par ordinateur : Lors de l'utilisation des fonctionnalités d'automatisation de bureau, des captures d'écran sont réalisées et traitées par des modèles de vision IA. Ces images sont utilisées uniquement pour l'exécution des tâches et ne sont pas conservées au-delà de la session, sauf si elles sont explicitement enregistrées dans votre espace de travail.
6. Sous-traitants et services tiers
Nous partageons vos données avec les catégories suivantes de sous-traitants, uniquement pour fournir le Service :
| Fournisseur | Finalité | Données partagées |
|---|---|---|
| Convex | Base de données et infrastructure backend | Toutes les données applicatives |
| Vercel | Hébergement web et CDN | Adresse IP, métadonnées du navigateur |
| OpenAI | Inférence de modèle IA | Prompts des agents et contenu des conversations |
| Anthropic | Inférence de modèle IA | Prompts des agents et contenu des conversations |
| Google (Gemini) | Inférence de modèle IA | Prompts des agents et contenu des conversations |
| E2B | Exécution de code sandboxée et automatisation de bureau | Code, fichiers, captures d'écran |
| Stripe | Traitement des paiements | E-mail de facturation, moyen de paiement |
| Resend | E-mail transactionnel | Adresse e-mail, contenu du message |
| Sentry | Suivi des erreurs | Journaux d'erreurs, stack traces anonymisées |
Nous ne vendons, ne louons et ne négocions pas vos données personnelles. Les données ne sont partagées que dans la mesure nécessaire au fonctionnement du Service ou au respect d'obligations légales.
7. Transferts internationaux de données
Certains de nos sous-traitants sont situés en dehors de l'Espace Économique Européen (EEE). Lors du transfert international de données personnelles, nous assurons une protection adéquate par :
- Le cadre de protection des données UE-US (DPF) (le cas échéant)
- Les clauses contractuelles types (CCT) approuvées par la Commission européenne
- Les décisions d'adéquation de la Commission européenne
- Votre consentement explicite lorsque d'autres garanties ne sont pas disponibles
8. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles conformes aux normes de l'industrie pour protéger vos données :
- Toutes les données en transit sont chiffrées avec TLS 1.2+
- Les données sensibles au repos sont chiffrées avec AES-256-GCM
- Les identifiants d'intégration et clés API sont stockés dans un coffre chiffré
- L'authentification utilise les protocoles sécurisés OAuth 2.0 / OIDC
- Les contrôles d'accès suivent le principe du moindre privilège
- Audits de sécurité réguliers et vérification des dépendances
- Détection automatisée des menaces et limitation du débit
Malgré nos efforts, aucune méthode de stockage ou de transmission électronique n'est sûre à 100%. Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler à security@comy.ai.
9. Conservation des données
Nous conservons les données comme suit :
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée du compte + 30 jours après suppression |
| Conversations et tâches des agents | Durée du compte (supprimable par l'utilisateur) |
| Mémoire des agents | Durée du compte (supprimable via la fonction "Reborn") |
| Journaux d'utilisation et analytique | 90 jours (glissant) |
| Dossiers de facturation et transactions | 7 ans (obligation légale) |
| Captures d'écran de session bureau | Durée de la session (supprimées automatiquement à la fin) |
10. Vos droits au titre du RGPD
Si vous vous trouvez dans l'Espace Économique Européen (EEE), au Royaume-Uni ou en Suisse, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès (Art. 15) — Demandez une copie de toutes les données personnelles que nous détenons à votre sujet.
- Droit de rectification (Art. 16) — Demandez la correction de données inexactes ou incomplètes.
- Droit à l'effacement (Art. 17) — Demandez la suppression de vos données personnelles ("droit à l'oubli").
- Droit à la limitation du traitement (Art. 18) — Demandez que nous limitions le traitement de vos données.
- Droit à la portabilité des données (Art. 20) — Recevez vos données dans un format structuré et lisible par machine (export JSON).
- Droit d'opposition (Art. 21) — Opposez-vous au traitement fondé sur l'intérêt légitime ou à des fins de marketing direct.
- Droit de ne pas faire l'objet d'une décision automatisée (Art. 22) — Demandez une intervention humaine pour les décisions prises uniquement par un traitement automatisé.
- Droit de retrait du consentement (Art. 7) — Retirez votre consentement à tout moment lorsque nous nous appuyons sur le consentement comme base juridique.
Pour exercer l'un de ces droits, envoyez-nous un e-mail à privacy@comy.ai. Nous répondrons dans un délai de 30 jours. Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une plainte auprès de votre autorité de protection des données locale.
11. Cookies et technologies de suivi
Nous utilisons uniquement des cookies strictement nécessaires pour l'authentification et la gestion de session. Nous n'utilisons pas de cookies publicitaires, de pixels de suivi tiers ou de cookies analytiques qui identifient les utilisateurs individuels. Aucune bannière de consentement n'est requise pour les cookies strictement nécessaires au titre du RGPD.
| Cookie | Finalité | Durée |
|---|---|---|
| Jeton de session | Authentification | Session / 30 jours |
| Préférence de langue | Paramètre de langue | 1 an |
12. Confidentialité des enfants
Le Service ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants. Si nous découvrons que nous avons collecté par inadvertance des données d'un enfant de moins de 16 ans, nous les supprimerons rapidement. Si vous pensez qu'un enfant nous a fourni des données, contactez privacy@comy.ai.
13. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de Confidentialité pour refléter les changements dans nos pratiques, nos technologies ou les exigences légales. Pour les changements importants, nous vous informerons au moins 30 jours à l'avance par e-mail ou notification in-app. La date "Dernière mise à jour" en haut reflétera toujours la révision la plus récente. L'utilisation continue du Service après l'entrée en vigueur des modifications constitue une acceptation de la politique mise à jour.
14. Nous contacter
Pour toute question, préoccupation ou demande relative à cette Politique de Confidentialité ou à vos données personnelles :
Comy AI — Équipe Confidentialité
Email: privacy@comy.ai
Website: https://comy.ai