obvius/légal/traitement des données

Traitement des données & sécurité

Cette page explique comment Obvius traite les données métier présentes dans les outils que vous connectez : notre rôle, nos sous-traitants, nos mesures de sécurité, et l'accord de traitement (DPA) qu'on signe avant tout projet.

>Dernière mise à jour: 9 juin 2026

01Notre rôle

Pour les données personnelles présentes dans les outils que vous connectez, vous restez responsable de traitement et Obvius (L41 Invest) agit comme votre sous-traitant. Un accord de traitement (DPA) au titre de l'article 28 du RGPD encadre cette relation et est signé avant toute connexion.

02Ce à quoi on accède

On se connecte uniquement aux comptes que vous choisissez, avec les périmètres les plus restreints possibles. On lit ce dont un module ou une automatisation a besoin, et on n'écrit que ce que vous avez validé. Les accès sont au moindre privilège et révocables à tout moment.

03Où vivent vos données

Vos données restent dans vos propres comptes et outils. L'infrastructure de travail qu'on exploite pour vous, pour l'analyse, la recherche et l'automatisation, est hébergée dans l'Union européenne dès que possible.

04Sous-traitants

Pour fournir le service, on s'appuie sur un nombre limité de sous-traitants. La liste actuelle comprend généralement :

  • Vercel Inc., pour l'hébergement du site et de l'application.
  • Une base de données et un index vectoriel hébergés dans l'UE (par exemple Supabase, région UE).
  • Des fournisseurs de modèles de langage (par exemple OpenAI et Anthropic), configurés pour que vos données ne servent pas à entraîner leurs modèles.
  • Une instance n8n auto-hébergée pour les automatisations.
  • Les outils d'email et de prise de rendez-vous qu'on utilise pour communiquer avec vous.

05Évolution des sous-traitants

On tient à jour la liste des sous-traitants et la fournit sur demande. On informe les clients avant d'ajouter un nouveau sous-traitant, afin qu'ils puissent s'y opposer.

06Mesures de sécurité

  • Chiffrement des données en transit et au repos.
  • Identifiants stockés dans un gestionnaire de secrets dédié, jamais en clair.
  • Accès au moindre privilège, limités et révocables instantanément.
  • Journalisation et surveillance des accès.
  • Un processus de notification de violation conforme au RGPD, avec notification dans les meilleurs délais.

07Conservation et suppression

On ne conserve les copies de travail que le temps nécessaire au service. À la fin d'une mission, on supprime ces copies de travail et on restitue les accès. Vos propres comptes et données restent intacts et vous appartiennent.

08Vous aider à respecter vos obligations

On vous assiste pour les demandes des personnes concernées (accès, suppression, portabilité) sur les données qu'on traite pour vous, et on soutient vos audits comme prévu dans le DPA.

09Demander le DPA

Pour recevoir notre accord de traitement et la liste actuelle des sous-traitants, écrivez à privacy@obvius.studio.

Autres documents légaux
Politique de confidentialitéConditions généralesPolitique de cookiesMentions légales
Réserver un appel