Le responsable du traitement des données personnelles collectées via la plateforme Nexus (ci-après la « Plateforme ») est Chromaforge, [À compléter : forme juridique, capital social, n° SIREN, RCS], dont le siège social est situé [À compléter : adresse postale du siège].

Contact général : contact@chromaforge.fr  ·  Contact RGPD : dpo@chromaforge.fr

La Plateforme collecte et traite les catégories de données suivantes :

Données de Compte

• Adresse email
• Nom et prénom
• Nom de l'Organisation
• Mot de passe (stocké sous forme de hash bcrypt — jamais en clair)
• Identifiant du fournisseur d'identité tiers (OAuth) si applicable

Contenu utilisateur

• Exigences, risques, analyses fonctionnelles et de risques, systèmes, fonctions, tâches
• Documents téléversés (spécifications, rapports, plans de validation)
• Commentaires, historiques d'activité, baselines
• Plans de tests et résultats d'exécution

Données techniques

• Adresse IP de connexion
• User-agent (navigateur, système d'exploitation)
• Logs de connexion et événements applicatifs (créations, modifications, suppressions)
• Données d'usage anonymes (statistiques agrégées)

Données générées par l'assistant IA

• Embeddings vectoriels calculés à partir du Contenu (stockés localement dans le graphe Neo4j de Chromaforge)
• Résultats de traitement par les modèles locaux (Ollama, Docling)
• Aucune donnée n'est transmise à un service IA externe — l'intégralité des traitements IA s'effectue sur l'infrastructure de Chromaforge.

• Fournir, maintenir et faire évoluer le service
• Authentifier les Utilisateurs et sécuriser l'accès aux données
• Gérer la facturation et les abonnements payants
• Détecter et prévenir la fraude et les abus
• Répondre aux demandes de support
• Améliorer le produit (statistiques agrégées, anonymisées)
• Respecter les obligations légales (comptabilité, réquisitions judiciaires)
• Communiquer des informations de service (modifications de CGU, incidents, maintenance)

• Exécution du contrat : fourniture du service, gestion du Compte, facturation
• Intérêt légitime : sécurité, prévention de la fraude, amélioration produit
• Consentement : cookies non strictement nécessaires (le cas échéant), communications optionnelles
• Obligation légale : conservation comptable, réponse aux réquisitions des autorités compétentes

L'ensemble des données est hébergé en France par OVH SAS (2 rue Kellermann, 59100 Roubaix). Tous les traitements (application, base de données, modèles IA, sauvegardes) ont lieu sur l'infrastructure OVH au sein de l'Union européenne.

Aucun transfert de données hors Union européenne n'est effectué.

Chromaforge n'a recours à aucun sous-traitant tiers pour le traitement du Contenu et des données personnelles des Utilisateurs :

• L'assistant IA est exécuté localement à partir de modèles auto-hébergés (Ollama pour les LLM et embeddings, Docling pour le traitement documentaire).
• Aucune donnée n'est envoyée à OpenAI, Anthropic, Google, Mistral cloud ou tout autre service IA tiers.
• Le stockage, le calcul et l'intégralité des traitements demeurent sur l'infrastructure OVH opérée par Chromaforge.

Seul OVH, en tant qu'hébergeur, intervient dans la chaîne de traitement, dans le cadre strict d'un contrat de sous-traitance conforme au RGPD.

• Données de Compte : pendant toute la durée de vie du Compte, puis trente (30) jours après la résiliation pour permettre l'export des données.
• Contenu utilisateur : selon la durée de rétention historique propre au Plan souscrit (de 30 jours à plusieurs années).
• Logs techniques : douze (12) mois maximum.
• Données de facturation : dix (10) ans (obligation comptable).
• Sauvegardes : trente (30) jours sur rotation.
• Embeddings IA : durée identique au Contenu source ; supprimés en cascade.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès à vos données
• Droit de rectification des données inexactes ou incomplètes
• Droit à l'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation
• Droit à la portabilité : export de vos données dans un format structuré (JSON / CSV) accessible depuis votre Compte ou sur demande
• Droit d'opposition au traitement
• Droit à la limitation du traitement
• Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur celui-ci
• Droit de définir des directives post-mortem relatives au sort de vos données

Ces droits peuvent être exercés par email à dpo@chromaforge.fr. Une réponse vous sera apportée dans un délai maximum de trente (30) jours. Une preuve d'identité pourra vous être demandée pour traiter votre demande.

Nexus utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

• Cookie de session pour vous maintenir authentifié
• Cookie de préférences (thème, langue)
• Cookie de sécurité (protection CSRF)

La Plateforme n'utilise aucun cookie publicitaire, aucun cookie de mesure d'audience tiers (Google Analytics, etc.), aucun cookie de suivi cross-site. Aucun consentement n'est requis pour les cookies strictement nécessaires (CNIL, art. 82 LIL).

Chromaforge met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

• Chiffrement des communications (TLS 1.3)
• Hachage des mots de passe (bcrypt)
• Sauvegardes chiffrées et automatisées
• Conformité RGPD et NIS 2
• Auto-évaluation Cloud Security Alliance STAR Level 1 (CAIQ)
• Journalisation des accès et opérations sensibles
• Tests de vulnérabilité réguliers (SBOM CycloneDX, audit Grype)
• Cloisonnement multi-tenant strict
• Gestion granulaire des permissions par Organisation et Projet

[À compléter : Aucun DPO n'est désigné à ce jour. Toute demande relative à la protection des données peut être adressée à dpo@chromaforge.fr.]

Si, après nous avoir contactés, vous estimez que vos droits n'ont pas été respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
• Téléphone : 01 53 73 22 22
• Site web : www.cnil.fr