RGPD : Protection des données
Dernière mise à jour : juin 2026
Notre engagement
Phano est conçu avec la protection des données personnelles comme principe fondamental (Privacy by Design). Nous sommes conformes au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679).
Vos droits en tant qu'utilisateur
Droit d'accès (Article 15)
Vous pouvez consulter l'ensemble de vos données personnelles à tout moment depuis votre profil dans le Service (Exporter mes données). L'export est généré au format JSON et vous est envoyé par email sécurisé.
Droit à la portabilité (Article 20)
L'export JSON inclut toutes vos données dans un format structuré, couramment utilisé et lisible par machine : profil, comptes suivis, diagnostics, signaux et historique d'activité.
Droit à l'effacement (Article 17)
Vous pouvez demander la suppression complète de votre compte et de toutes les données associées depuis votre profil dans le Service (Supprimer mon compte).
La suppression est irréversible et comprend :
- Votre profil et données d'identification
- Tous les diagnostics et contenus générés
- Les signaux et analyses de comptes
- Les données de réunion (enregistrements, transcriptions, comptes rendus), y compris le média conservé chez le fournisseur d'enregistrement
- Les tokens OAuth et connexions tierces
- Les logs d'audit sont dissociés de votre identité et conservés pour la sécurité et la conformité
- Les données d'activité
Un email de confirmation vous est envoyé une fois la suppression effectuée. Délai de traitement : 72 heures maximum.
Droit de rectification (Article 16)
Vous pouvez modifier vos informations personnelles à tout moment depuis votre profil.
Droit d'opposition (Article 21)
Vous pouvez vous opposer au traitement de vos données basé sur l'intérêt légitime en nous contactant à privacy@phano.ai.
Enregistrement de réunion (Meeting Intelligence)
Lorsque vous activez Meeting Intelligence, un assistant rejoint la réunion en ligne pour l'enregistrer, la transcrire et en produire un compte rendu. Cet assistant n'est jamais déployé à votre insu.
Annonce de consentement
À son arrivée, l'assistant annonce dans la réunion que celle-ci est enregistrée et transcrite par une IA, et que chaque participant peut s'y opposer à tout moment. En cas d'opposition, l'assistant quitte la réunion.
Base légale
L'enregistrement repose sur l'intérêt légitime (Art. 6.1.f RGPD), assorti du droit d'opposition. Le consentement d'un salarié étant rarement valable du fait du lien de subordination, l'intérêt légitime est la base appropriée, conformément aux lignes directrices EDPB 05/2020 sur le consentement.
Durées de conservation
- Enregistrements et transcriptions : 183 jours maximum (environ 6 mois), puis purge en base et suppression du média côté fournisseur d'enregistrement.
- Comptes rendus et diagnostics issus de la réunion : 365 jours maximum (environ 12 mois).
- Verbatim brut : 30 jours, vidé dès qu'un compte rendu structuré existe (minimisation).
Vos droits
Les données de réunion sont incluses dans votre export RGPD (Art. 15 et 20) et dans la suppression de compte (Art. 17), qui efface aussi le média conservé chez le fournisseur d'enregistrement.
Mesures techniques de protection
Anonymisation PII avant IA
Avant tout envoi de données aux fournisseurs d'intelligence artificielle, un pipeline automatique d'anonymisation :
- Détecte et remplace les noms de personnes, adresses email et numéros de téléphone par des jetons anonymes
- Restaure les identités à la réception, côté serveur uniquement
- Les identités originales ne quittent jamais nos serveurs : seuls des contenus anonymisés sont transmis aux fournisseurs d'IA
Chiffrement
- En transit : TLS 1.3 sur toutes les connexions
- Au repos : AES-256 sur l'ensemble de la base de données
- Tokens OAuth: les tokens d'accès aux calendriers et CRM sont stockés de manière chiffrée et ne sont jamais exposés en clair
Isolation des données
- Row Level Security (RLS): chaque organisation ne peut accéder qu'à ses propres données, appliqué au niveau base de données
- Vérification côté serveur: chaque requête vérifie l'appartenance organisationnelle en plus du RLS
Audit et traçabilité
- Toutes les opérations sensibles sont tracées dans les logs d'audit
- Les logs incluent : action, utilisateur, IP, horodatage, résultat
- Rétention : 90 jours (API) et 12 mois (administration), puis purge automatique
Transferts hors UE
Certains sous-traitants sont basés aux États-Unis. Les transferts sont encadrés par :
- Clauses Contractuelles Types (SCC) de la Commission européenne
- Data Processing Agreements (DPA) signés avec chaque sous-traitant
- Mesures techniques complémentaires (anonymisation PII, chiffrement)
Liste complète des sous-traitants disponible dans notre politique de confidentialité.
DPA pour clients B2B
Un Data Processing Agreement (DPA) est disponible sur demande pour les clients abonnés. Contactez privacy@phano.ai pour en obtenir une copie.
Contact : protection des données
Pour toute question relative à la protection de vos données personnelles :
- Email : privacy@phano.ai
- Délai de réponse : 30 jours maximum
En cas de réclamation non résolue, vous pouvez saisir la CNIL.