RGPD : Protection des données

Dernière mise à jour : avril 2026

Notre engagement

Phano est conçu avec la protection des données personnelles comme principe fondamental (Privacy by Design). Nous sommes conformes au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679).

Vos droits en tant qu'utilisateur

Droit d'accès (Article 15)

Vous pouvez consulter l'ensemble de vos données personnelles à tout moment depuis Paramètres > RGPD > Exporter mes données. L'export est généré au format JSON et vous est envoyé par email sécurisé.

Droit à la portabilité (Article 20)

L'export JSON inclut toutes vos données dans un format structuré, couramment utilisé et lisible par machine : profil, meetings, briefs, signaux, activités, et données de gamification.

Droit à l'effacement (Article 17)

Vous pouvez demander la suppression complète de votre compte et de toutes les données associées depuis Paramètres > RGPD > Supprimer mon compte.

La suppression est irréversible et comprend :

  • Votre profil et données d'identification
  • Tous les meetings, briefs et documents générés
  • Les signaux et analyses stakeholders
  • Les tokens OAuth et connexions tierces
  • Les logs d'audit vous concernant
  • Les données d'activité et de progression

Un email de confirmation vous est envoyé une fois la suppression effectuée. Délai de traitement : 72 heures maximum.

Droit de rectification (Article 16)

Vous pouvez modifier vos informations personnelles à tout moment depuis votre profil.

Droit d'opposition (Article 21)

Vous pouvez vous opposer au traitement de vos données basé sur l'intérêt légitime en nous contactant à privacy@phano.ai.

Mesures techniques de protection

Anonymisation PII avant IA

Avant tout envoi de données aux fournisseurs d'intelligence artificielle, un pipeline automatique d'anonymisation :

  • Détecte et remplace les noms de personnes par des tokens anonymes ([PERSON_1], [PERSON_2]...)
  • Masque les adresses email ([EMAIL_REDACTED])
  • Masque les numéros de téléphone ([PHONE_REDACTED])
  • Les données originales ne quittent jamais nos serveurs européens

Chiffrement

  • En transit : TLS 1.3 sur toutes les connexions
  • Au repos : AES-256 sur l'ensemble de la base de données
  • Tokens OAuth: les tokens d'accès aux calendriers et CRM sont stockés de manière chiffrée et ne sont jamais exposés en clair

Isolation des données

  • Row Level Security (RLS): chaque organisation ne peut accéder qu'à ses propres données, appliqué au niveau base de données
  • Vérification côté serveur: chaque requête vérifie l'appartenance organisationnelle en plus du RLS

Audit et traçabilité

  • Toutes les opérations sensibles sont tracées dans les logs d'audit
  • Les logs incluent : action, utilisateur, IP, horodatage, résultat
  • Rétention : 12 mois, puis purge automatique

Transferts hors UE

Certains sous-traitants sont basés aux États-Unis. Les transferts sont encadrés par :

  • Clauses Contractuelles Types (SCC) de la Commission européenne
  • Data Processing Agreements (DPA) signés avec chaque sous-traitant
  • Mesures techniques complémentaires (anonymisation PII, chiffrement)

Liste complète des sous-traitants disponible dans notre politique de confidentialité.

DPA pour clients B2B

Un Data Processing Agreement (DPA) est disponible sur demande pour les clients des plans Pro et Enterprise. Contactez privacy@phano.ai pour en obtenir une copie.

Contact — Protection des données

Pour toute question relative à la protection de vos données personnelles :

  • Email : privacy@phano.ai
  • Délai de réponse : 30 jours maximum

En cas de réclamation non résolue, vous pouvez saisir la CNIL.