Octopussian - Politique de confidentialité
Version du 23 avril 2026
Sommaire
- Préambule et objet
- Responsable de traitement et contact
- Définitions
- Finalités et bases légales des traitements
- Catégories de Données personnelles traitées
- Destinataires et Sous-traitants
- Transferts hors Union européenne
- Durées de conservation
- Journalisation technique
- Droits des personnes concernées
- Cookies, traceurs et pixels publicitaires
- Intelligence artificielle et absence de profilage
- Sécurité et notification des violations
- Modifications de la Politique
1 - Préambule et objet
1.1 Qui nous sommes
La société Octopussian, SAS au capital de 10 000 €, dont le siège social est situé 78, avenue des Champs-Élysées, 75008 Paris - France, immatriculée au RCS de Paris sous le numéro 981 982 358 et sous le numéro de TVA intracommunautaire FR50 981 982 358 (ci-après « Octopussian », « Nous », « notre », « nos »), édite l'application accessible en mode SaaS à l'adresse app.octopussian.com et ses sous-domaines (ci-après l'« Application »), ainsi que le site internet octopussian.com (ci-après le « Site »).
1.2 Objet
La présente Politique de confidentialité (ci-après la « Politique ») décrit comment Octopussian traite les données à caractère personnel collectées lors de la consultation du Site ou de l'utilisation de l'Application, au sens du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés »).
Elle s'adresse à toute personne physique dont des Données personnelles sont traitées par Nous dans ce cadre : visiteurs du Site, Utilisateurs de l'Application, Titulaires, prospects, correspondants qui Nous contactent par le formulaire de contact, et toute autre personne concernée au sens du RGPD.
1.3 Articulation avec les CGU et le DPA
Le Contrat entre Octopussian et ses Clients est régi par les Conditions Générales d'Utilisation (ci-après les « CGU ») et par leurs annexes, au premier rang desquelles l'Annexe A - Data Processing Agreement (ci-après le « DPA »), établie au titre de l'article 28 RGPD.
Lorsqu'un Client et ses Utilisateurs enregistrent des Données dans l'Application dans le cadre de leur propre activité (notamment : fiches de contacts, fichiers stockés dans le drive, mots de passe partagés, contenus de chat et de visioconférence, contenus de la base de connaissances, événements d'agenda, tâches de la todo list, documents signés), Octopussian agit en qualité de Sous-traitant au sens de l'article 4.8 RGPD, sous la responsabilité du Client qui demeure Responsable de traitement pour ces Traitements. Le cadre applicable est alors le DPA, et non la présente Politique.
La présente Politique couvre à l'inverse les Traitements pour lesquels Octopussian est elle-même Responsable de traitement au sens de l'article 4.7 RGPD, à savoir, de manière indicative et non limitative : la création et la gestion des Comptes et des Utilisateurs, la facturation et le recouvrement, l'assistance technique, la sécurité applicative et la lutte contre les abus, la communication commerciale, le fonctionnement du Site et la gestion des cookies, ainsi que le traitement des demandes d'exercice des droits des personnes concernées. La liste détaillée des finalités et leurs bases légales figure à l'article 4 de la présente Politique.
En cas de contradiction entre la présente Politique et le DPA sur un Traitement donné, les stipulations du DPA prévalent pour ce Traitement.
1.4 Portée et acceptation
La consultation du Site et l'utilisation de l'Application emportent prise de connaissance de la présente Politique. La Politique n'est pas un contrat : elle ne constitue pas, à elle seule, une base légale de Traitement au sens de l'article 6 RGPD. Elle informe les personnes concernées des Traitements mis en œuvre par Octopussian en tant que Responsable de traitement, conformément aux articles 13 et 14 RGPD.
La Politique est susceptible d'évoluer. Les modalités de notification des modifications figurent à l'article 14.
2 - Responsable de traitement et contact
2.1 Responsable de traitement
Le Responsable de traitement des Données personnelles faisant l'objet de la présente Politique est :
Octopussian, SAS au capital de 10 000 € Siège social : 78, avenue des Champs-Élysées, 75008 Paris - France RCS Paris 981 982 358 TVA intracommunautaire : FR50 981 982 358 Représentée par son Président, M. Simon-Émile Guetta
2.2 Point de contact
Pour toute question relative à la présente Politique, aux Traitements que Nous mettons en œuvre, ou pour exercer vos droits au titre du RGPD, vous pouvez Nous contacter :
- par courrier électronique à l'adresse
- via le formulaire de contact accessible à l'adresse
https://octopussian.com/contact, en sélectionnant, selon la nature de votre demande, le motif « Question sur la Politique de confidentialité » ou « Exercer mes droits en matière de données personnelles » ; - par courrier postal à l'adresse du siège social figurant ci-dessus.
Nous Nous engageons à accuser réception de votre demande dans les meilleurs délais. Les modalités détaillées d'exercice de vos droits sont précisées à l'article 10 de la présente Politique.
3 - Définitions
Les termes suivants, employés avec une majuscule dans la présente Politique, ont le sens défini ci-dessous.
- Données à caractère personnel (ou « Données personnelles ») : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4.1 RGPD.
- Traitement : toute opération, ou tout ensemble d'opérations, automatisée(s) ou non, portant sur des Données personnelles - telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la consultation, l'utilisation, la communication, la diffusion, l'effacement ou la destruction -, au sens de l'article 4.2 RGPD.
- Responsable de traitement : la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement, au sens de l'article 4.7 RGPD.
- Sous-traitant : la personne physique ou morale qui traite des Données personnelles pour le compte d'un Responsable de traitement, au sens de l'article 4.8 RGPD.
- Personne concernée : la personne physique identifiée ou identifiable dont les Données personnelles font l'objet d'un Traitement.
- Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de Données personnelles, qu'il s'agisse ou non d'un tiers, au sens de l'article 4.9 RGPD.
- Violation de Données personnelles : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, au sens de l'article 4.12 RGPD.
- CNIL : Commission nationale de l'informatique et des libertés, autorité de contrôle française au sens de l'article 51 RGPD.
- RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données personnelles et à la libre circulation de ces données.
- DPA : l'Annexe A des CGU, formalisant les obligations d'Octopussian en qualité de Sous-traitant au sens de l'article 28 RGPD.
Les termes CGU, Application, Site, Services, Client, Utilisateur, Administrateur, Titulaire, Compte, Données et Identifiants ont le sens qui leur est donné à l'article 1 des CGU. Leur définition n'est pas reproduite ici, afin d'éviter toute divergence entre les documents contractuels. En cas d'écart rédactionnel, la définition figurant aux CGU prévaut.
4 - Finalités et bases légales des Traitements
4.1 Traitements pour lesquels Octopussian est Responsable de traitement
Octopussian traite des Données personnelles pour les finalités énumérées ci-dessous. Pour chaque finalité, la base légale applicable au sens de l'article 6, paragraphe 1, du RGPD est précisée.
Lorsque plusieurs bases légales sont mentionnées, chacune fonde la partie du Traitement qui lui correspond - par exemple, l'émission et l'envoi d'une facture relèvent de l'exécution du contrat, tandis que sa conservation pendant dix ans relève d'une obligation légale.
| Réf. | Finalité | Description synthétique | Base légale (art. 6.1 RGPD) |
|---|---|---|---|
| 4.1.1 | Création et gestion des Comptes et des Utilisateurs | Inscription, authentification, gestion des droits et des rattachements à un ou plusieurs Comptes, maintien en condition opérationnelle, pseudonymisation en cas de révocation d'un Utilisateur de l'ensemble des Comptes auxquels il était rattaché | (b) Exécution du contrat et des mesures précontractuelles prises à la demande de la personne concernée |
| 4.1.2 | Facturation, encaissement et suivi comptable | Émission des factures, suivi des paiements et du solde, rapprochement comptable, tenue de la comptabilité, recouvrement des sommes impayées | (b) Exécution du contrat ; (c) Obligation légale au titre des obligations comptables et fiscales applicables à Octopussian |
| 4.1.3 | Assistance technique | Réception, qualification et traitement des demandes de support adressées via le formulaire de contact et, le cas échéant, via le chatbot d'assistance en libre-service | (b) Exécution du contrat |
| 4.1.4 | Onboarding transactionnel | Envoi, par l'intermédiaire de notre sous-traitant Brevo (cf. art. 6), d'emails d'activation, de bienvenue et de prise en main pédagogique de l'Application, avec contrôle technique de délivrabilité de ces messages | (b) Exécution du contrat |
| 4.1.5 | Communications de service | Information des Clients et des Utilisateurs sur les évolutions significatives de l'Application, les incidents de sécurité ou de disponibilité, les révisions des CGU ou de la présente Politique, les échéances de facturation et les événements contractuels (suspension, résiliation, renouvellement) | (b) Exécution du contrat ; (c) Obligation légale pour la notification d'une Violation concernant le Client (art. 33.1 RGPD via le DPA) ou d'une modification imposée par la loi |
| 4.1.6 | Sécurité applicative et lutte contre les abus | Détection des intrusions et des comportements anormaux, prévention de la fraude, application de laAcceptable Use Policy (Annexe C des CGU), suspension conservatoire ou résiliation d'un Compte en cas d'abus | (f) Intérêt légitime d'Octopussian à préserver l'intégrité et la disponibilité de ses Services, à protéger les autres Utilisateurs et à prévenir les usages illicites |
| 4.1.7 | Journalisation technique | Conservation d'enregistrements relatifs aux opérations effectuées sur le coffre-fort de mots de passe partagés (identité de l'auteur, type d'opération, horodatage, liste des accès). Le détail figure à l'article 9 | (f) Intérêt légitime d'Octopussian à assurer l'intégrité du coffre-fort et à protéger les Utilisateurs contre des opérations non autorisées (art. 6.1.f RGPD) |
| 4.1.8 | Traitement des demandes adressées via le formulaire de contact ou par courrier | Instruction des demandes selon le motif sélectionné : information commerciale, information technique, question portant sur la présente Politique, exercice des droits RGPD, signalement d'un incident de sécurité ou d'un abus, autre demande | (b) Mesures précontractuelles pour les demandes d'information commerciale ; (c) Obligation légale pour les demandes d'exercice des droits RGPD et les questions portant sur la présente Politique ; (f) Intérêt légitime d'Octopussian à répondre aux autres demandes de ses correspondants |
| 4.1.9 | Gestion des demandes d'exercice des droits des personnes concernées | Réception, vérification d'identité le cas échéant, instruction et réponse motivée aux demandes d'accès, de rectification, d'effacement, de portabilité, d'opposition, de limitation, de retrait du consentement et aux directives post-mortem | (c) Obligation légale - articles 12 à 22 RGPD et loi n° 78-17 du 6 janvier 1978 modifiée |
| 4.1.10 | Cookies, traceurs et pixels publicitaires sur le Site | Mesure d'audience, analyse de fréquentation, diffusion de publicité ciblée sur les régies partenaires (Meta, Google, LinkedIn), conversion côté serveur. Les modalités, la liste des traceurs et les options de retrait figurent à l'article 11 | (a) Consentement préalable pour les traceurs non strictement nécessaires au service demandé |
| 4.1.11 | Respect des obligations légales et défense de nos droits | Conservation des documents comptables, contractuels et probatoires conformément aux durées légales ; réponse aux réquisitions régulières émanant d'autorités judiciaires, administratives ou de contrôle ; constitution et administration de preuves en cas de contentieux | (c) Obligation légale ; (f) Intérêt légitime pour la constitution de preuves et la défense en justice |
4.2 Traitements pour lesquels Octopussian est Sous-traitant
Les Traitements que le Client et ses Utilisateurs mettent en œuvre au moyen de l'Application, portant sur les Données qu'ils y enregistrent dans le cadre de leur propre activité - notamment la todo list, les contacts, les fichiers stockés dans le drive, les mots de passe partagés dans le coffre-fort, les contenus de chat et de visioconférence, les contenus de la base de connaissances, les événements d'agenda, les fichiers transférés et les documents signés électroniquement -, ne relèvent pas du champ de la présente Politique.
Pour ces Traitements, le Client demeure Responsable de traitement et détermine lui-même les finalités et la base légale applicables. Octopussian les exécute en qualité de Sous-traitant, dans les conditions définies au DPA (Annexe A des CGU), au titre de l'article 28 RGPD.
5 - Catégories de Données personnelles traitées
Le présent article énumère, par nature, les catégories de Données personnelles traitées par Octopussian dans le cadre des finalités décrites à l'article 4.1. Toutes les Données ne sont pas collectées pour toutes les finalités : seules les Données strictement nécessaires à chaque finalité sont traitées, conformément au principe de minimisation posé à l'article 5, paragraphe 1, point c), du RGPD.
5.1 Données d'identification et de contact
Prénom, nom, civilité (si renseignée), adresse de courrier électronique professionnelle, numéro de téléphone (si renseigné), fonction ou poste (si renseigné), adresse postale professionnelle (lorsqu'elle est nécessaire à la facturation).
5.2 Données relatives au Compte et à l'authentification
Identifiant interne unique de l'Utilisateur (UUID non significatif), identifiant(s) du ou des Comptes de rattachement, profil fonctionnel (Titulaire, Administrateur, Utilisateur), mot de passe (conservé exclusivement sous forme d'empreinte cryptographique salée - il n'est pas lisible par Octopussian), secret partagé TOTP chiffré pour la double authentification lorsqu'elle est activée, dates et horodatages des dernières connexions, fuseau horaire déclaré par l'Utilisateur pour l'envoi des notifications aux horaires souhaités.
5.3 Données de connexion et données techniques
Adresses IP source des connexions, identifiants techniques de session, user agent du navigateur et identification du système d'exploitation. Ces données sont traitées en temps réel à des fins d'authentification et de détection d'anomalies de connexion, mais ne font l'objet d'aucun stockage persistant au-delà de la durée de la session active. Les seuls enregistrements durables sont décrits à l'article 9.
5.4 Données de facturation et de paiement
Raison sociale, forme juridique, numéro d'identification (SIREN ou équivalent), numéro de TVA intracommunautaire, adresse de facturation, nom et adresse électronique de la personne en charge de la facturation le cas échéant, historique des factures émises, des paiements perçus et du solde.
Le numéro de carte bancaire n'est à aucun moment communiqué à Octopussian, ni stocké sur nos systèmes. Le paiement est intégralement exécuté par notre sous-traitant Stripe Payments Europe Ltd (cf. art. 6 et art. 7). Nous conservons exclusivement les éléments techniques renvoyés par Stripe à des fins de rapprochement comptable et de continuité de service : identifiant opaque de client Stripe, jeton de transaction, marque de la carte, quatre derniers chiffres du numéro de carte, date d'expiration, statut du paiement.
5.5 Données relatives aux demandes adressées à Octopussian
Contenu des messages adressés via le formulaire de contact, l'adresse ou le courrier postal, pièces éventuellement jointes, horodatages, motif sélectionné dans le formulaire. Ces échanges peuvent comporter des Données personnelles que la Personne concernée a choisi de Nous transmettre ; elle est invitée à ne Nous communiquer que les informations strictement nécessaires à l'instruction de sa demande.
5.6 Données déclaratives B2B et preuves d'acceptation contractuelle
Lors de la création d'un Compte, le Titulaire coche une case déclarative confirmant sa majorité, l'inscription dans le cadre d'une activité professionnelle et son pouvoir d'engager la personne morale qu'il représente. Cette déclaration est conservée, avec l'horodatage de l'acceptation, l'identifiant de l'Utilisateur, son adresse IP et la version du texte accepté.
Sont également conservés, à titre probatoire, l'horodatage, l'identifiant de l'Utilisateur et la version du texte accepté pour chaque acceptation des CGU, du DPA et de la présente Politique, ainsi que pour leurs révisions ultérieures portées à la connaissance du Titulaire.
5.7 Historique des consentements aux cookies et traceurs
Pour les traceurs déposés sur le Site qui requièrent un consentement préalable, est conservé un historique des choix effectués par le visiteur (acceptation, refus, retrait du consentement), horodaté, afin d'assurer la preuve du consentement exigée à l'article 7, paragraphe 1, du RGPD. Le détail figure à l'article 11.
5.8 Vos données dans l'Application restent les vôtres
Les informations que vous enregistrez dans l'Application - vos contacts, les fichiers de votre drive, les mots de passe partagés dans le coffre-fort, vos messages de chat, vos visioconférences, vos bases de connaissances, votre agenda, vos tâches, vos fichiers transférés et vos documents signés électroniquement - vous appartiennent.
Nous les hébergeons pour les rendre accessibles aux seules personnes que vous avez autorisées. Nous ne les exploitons à aucune fin qui Nous soit propre : pas de revente, pas de publicité, pas de profilage, pas d'entraînement d'intelligence artificielle. Nous ne les communiquons à aucun tiers, sauf à votre demande, pour répondre à une réquisition judiciaire régulière, ou pour satisfaire à une obligation légale qui s'impose à Nous.
Le cadre juridique précis, les engagements de sécurité et Nos obligations vis-à-vis de votre organisation figurent dans le DPA (Annexe A des CGU).
6 - Destinataires et Sous-traitants
6.1 Principe - besoin d'en connaître
Les Données personnelles traitées par Octopussian ne sont communiquées qu'aux personnes habilitées à en prendre connaissance en raison de leurs fonctions ou de leur mission, et dans la stricte mesure nécessaire aux finalités décrites à l'article 4.
6.2 Destinataires internes à Octopussian
Les personnels d'Octopussian habilités au traitement des Données personnelles - équipes produit, développement, exploitation, support, administration et facturation - accèdent aux Données strictement nécessaires à l'exercice de leurs missions respectives, dans le cadre d'une politique interne d'habilitation. Chacun est tenu par une obligation de confidentialité de niveau professionnel.
6.3 Sous-traitants stratégiques
Nous recourons aux Sous-traitants suivants pour la fourniture de l'Application et du Site. Chacun est engagé par un contrat de sous-traitance conforme à l'article 28 RGPD.
| Sous-traitant | Entité et siège | Finalité pour Octopussian | Référence publique du DPA |
|---|---|---|---|
| OVH | OVH SAS - 2 rue Kellermann, 59100 Roubaix, France (RCS Lille Métropole 424 761 419) | Hébergement de l'Application et du Site, stockage des fichiers déposés dans le drive et des sauvegardes, tous datacenters situés dans l'Union européenne | DPA contractualisé selon la version en vigueur publiée par OVH |
| Stripe | Stripe Payments Europe Ltd - Dublin, Irlande | Exécution des paiements et gestion des reçus de paiement | https://stripe.com/legal/ssa et Data Transfers Addendum https://stripe.com/legal/dta |
| Brevo | Sendinblue SAS - 106 boulevard Haussmann, 75008 Paris, France (RCS Paris 498 019 298) | Envoi des emails d'onboarding transactionnel (activation, bienvenue, prise en main pédagogique) | DPA intégré aux Conditions générales Brevo publiées àhttps://www.brevo.com/legal/termsofuse/ |
| Mistral AI | Mistral AI SAS - 15 rue des Halles, 75001 Paris, France (RCS Paris 952 418 325) | Fourniture du modèle de langage alimentant les fonctionnalités d'intelligence artificielle ; option d'entraînement de modèles désactivée contractuellement par Octopussian | https://legal.mistral.ai/terms/data-processing-addendum |
6.4 Autres prestataires techniques
Nous recourons également, dans le cadre de l'exécution de l'Application et du Site, à d'autres prestataires techniques dont le rôle est plus ponctuel ou périphérique :
- Diffusion des vidéos pédagogiques publiées sur le Site, via un réseau de distribution de contenu (Content Delivery Network) dont les points de présence sont configurés pour rester dans l'Union européenne ;
- Enrichissement géographique d'adresses IP à partir du numéro de l'adresse IP, à des fins de détection d'anomalies de connexion, au moyen d'un service spécialisé établi dans l'Union européenne ;
- Vérification syntaxique et de délivrabilité des adresses email saisies lors de l'inscription, au moyen d'un service spécialisé établi dans l'Union européenne.
Chacun de ces prestataires est engagé par un contrat de sous-traitance conforme à l'article 28 RGPD.
6.5 Liste nominative à jour
La liste nominative complète de nos Sous-traitants, maintenue à jour, figure à l'Annexe D des CGU. Conformément au DPA, toute évolution substantielle de cette liste fait l'objet d'une information préalable des Clients avec un préavis de trente (30) jours, laissant un droit d'objection motivé dans les conditions prévues au DPA.
Le recours à cette référence contractuelle - plutôt qu'à la citation nominative dans la présente Politique - permet de tenir à jour la liste des prestataires techniques sans multiplier les révisions rédactionnelles de la Politique elle-même. Cette modalité est expressément admise par l'article 13, paragraphe 1, point e), du RGPD qui autorise la désignation des destinataires par catégories.
6.6 Destinataires agissant en Responsables de traitement autonomes
Certains de nos Sous-traitants exécutent, en marge des Traitements qu'ils opèrent pour notre compte, des Traitements qu'ils mettent en œuvre pour leurs propres finalités, au titre desquels ils agissent en qualité de Responsables de traitement autonomes. Ces Traitements échappent à notre contrôle et relèvent de leurs propres politiques, qu'ils communiquent à leurs utilisateurs finaux.
Dans un souci de transparence, Nous signalons ci-dessous les cas identifiés :
- Stripe : prévention de la fraude, respect des obligations de lutte contre le blanchiment de capitaux et de connaissance du client (AML/KYC), gestion des relations avec ses partenaires financiers, développement et amélioration des produits.
- Brevo : sécurité et intégrité de sa plateforme d'envoi, agrégation statistique et amélioration de ses services.
- ipregistry : amélioration de ses propres bases de données géographiques, prévention de la fraude sur ses propres services.
- Mistral AI : modération automatisée et détection d'abus concernant l'usage de ses modèles, statistiques agrégées d'usage. L'utilisation des Données pour entraîner les modèles Mistral AI est exclue par l'opt-out contractuel qu'Octopussian a activé.
6.7 Autres destinataires tiers
Les Données personnelles peuvent être communiquées, en cas de nécessité et dans les limites strictement requises par la situation :
- aux prestataires juridiques intervenant dans des missions ponctuelles (avocat, huissier de justice), astreints au secret professionnel ;
- aux autorités judiciaires, administratives ou de contrôle régulièrement saisies sur un fondement légal (réquisition, demande d'une autorité de contrôle, décision de justice exécutoire) ;
- au cessionnaire ou à l'acquéreur en cas d'opération de cession d'actifs, de fusion ou d'acquisition concernant tout ou partie de l'activité d'Octopussian, dans les conditions prévues par les CGU et sous réserve de la protection équivalente des Données.
7 - Transferts hors Union européenne
7.1 Principe - traitement dans l'Union européenne
Octopussian héberge et traite les Données personnelles sur le territoire de l'Union européenne. Les Sous-traitants stratégiques désignés à l'article 6.3 sont établis dans l'Union européenne et exploitent à ce titre des infrastructures situées en Union européenne.
Un seul cas donne lieu à un transfert direct et structurel vers un pays tiers : l'exécution des paiements par Stripe, décrit à l'article 7.2. Pour les autres Sous-traitants, des transferts peuvent, dans certains cas, intervenir au sein de leur propre organisation à l'occasion de l'exécution de leurs services ou de leurs finalités propres ; ces hypothèses sont précisées à l'article 7.3.
7.2 Transfert direct vers Stripe aux États-Unis
L'exécution des paiements par Stripe implique une communication de Données à Stripe Payments Europe Ltd (Irlande), puis, dans le cadre de son organisation interne et de ses finalités propres, à Stripe, Inc. (États-Unis) ainsi qu'à d'autres entités du groupe Stripe.
Ces transferts sont encadrés cumulativement :
- par l'adhésion des entités Stripe concernées au Data Privacy Framework UE-États-Unis, objet de la décision d'adéquation (UE) 2023/1795 de la Commission européenne du 10 juillet 2023 ;
- par les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 (décision d'exécution (UE) 2021/914), Modules 1 et 2, incorporées au contrat Stripe par le biais du Data Transfers Addendum publié à l'adresse
https://stripe.com/legal/dta.
7.3 Transferts susceptibles d'intervenir au sein de nos Sous-traitants établis dans l'Union européenne
Certains des Sous-traitants désignés aux articles 6.3 et 6.4 peuvent, pour l'exécution interne de leurs services ou pour leurs propres finalités, recourir à des traitements ou à des sous-traitants ultérieurs situés hors Union européenne. Ces opérations relèvent du DPA propre à chacun de ces Sous-traitants, contractualisé avec Octopussian. Les mécanismes d'encadrement prévus par ces DPA sont les suivants :
- Sendinblue SAS (Brevo) - recours au Data Privacy Framework et aux Clauses Contractuelles Types pour les transferts éventuels hors Union européenne intervenant dans le cadre de son organisation ;
- Elaunira SARL (ipregistry) - recours aux Clauses Contractuelles Types (Modules 2 et 3) et à l'Addendum dit UK International Data Transfer Addendum pour les transferts éventuels hors Espace économique européen intervenant dans le cadre de son organisation ;
- Mistral AI SAS - traitement par défaut au sein de l'Union européenne ; en cas d'intervention de sous-traitants ultérieurs situés hors Union européenne, recours aux Clauses Contractuelles Types ou aux décisions d'adéquation applicables ;
- CyberPanda s.r.o. (exploitant le service EmailListVerify, Slovaquie) - recours aux Clauses Contractuelles Types (Modules 2 et 3) pour les transferts éventuels hors Espace économique européen intervenant dans le cadre de son organisation.
Pour le réseau de distribution de contenu utilisé pour la diffusion des vidéos pédagogiques du Site, les points de présence ont été configurés pour rester dans l'Union européenne. Les Données générées par la consultation de ces vidéos - en particulier l'adresse IP du visiteur - sont donc traitées au sein de l'Union européenne.
La liste et l'identité des Sous-traitants évoqués ci-dessus figurent à l'Annexe D des CGU, qui est mise à jour selon les modalités rappelées à l'article 6.5. En cas d'évolution substantielle des mesures d'encadrement des transferts mises en œuvre par ces Sous-traitants, la présente Politique sera mise à jour dans les conditions prévues à l'article 14.
8 - Durées de conservation
Octopussian ne conserve les Données personnelles que le temps nécessaire aux finalités pour lesquelles elles ont été collectées, conformément aux principes de limitation de la conservation et de minimisation posés à l'article 5 RGPD.
| Catégorie | Durée en base active | Sort à l'échéance |
|---|---|---|
| Données de compte et d'authentification (§5.1 et §5.2) | Durée de vie du Compte | Pseudonymisation : prénom et nom remplacés par les initiales ; email remplacé par une empreinte SHA-256 avec salt serveur ; téléphones, adresse postale, commentaire et avatar supprimés |
| Preuves d'acceptation contractuelle et déclarations B2B (§5.6) | Durée de vie du Compte | Conservées 5 ans après la clôture du Compte (prescription quinquennale, art. 2224 Code civil) |
| Données de connexion techniques associées à une session active | Durée de la session | Suppression à l'expiration de la session |
| Données de facturation et pièces comptables (§5.4) | Durée du contrat | Conservation 10 ans à compter de la clôture de l'exercice comptable (art. L.123-22 Code de commerce) |
| Demandes adressées via le formulaire de contact (§5.5) | Durée du traitement de la demande | 1 an à compter de la clôture du dossier |
| Demandes d'exercice des droits RGPD (§5.5) | Durée du traitement de la demande | 5 ans à compter de la clôture du dossier |
| Historique des consentements aux cookies et traceurs (§5.7) | - | 13 mois à compter de chaque choix exprimé |
| Métadonnées du coffre-fort de mots de passe partagés | Durée de vie du Compte | Suppression à la clôture du Compte (voir §9.2) |
| Sauvegardes des bases de données | - | 72 heures maximum (plusieurs jeux tournants) |
8.1 Pseudonymisation à la clôture du Compte
Lorsqu'un Utilisateur n'est plus rattaché à aucun Compte actif, sa fiche est pseudonymisée au sens de l'article 4.5 du RGPD. Les opérations suivantes sont effectuées automatiquement :
- Prénom et nom → remplacés par les initiales de l'Utilisateur.
- Adresse de courrier électronique → remplacée par une empreinte SHA-256 avec salt serveur, non réversible à froid. Cette empreinte permet uniquement à Octopussian de vérifier l'identité d'une personne qui présente elle-même son adresse email pour exercer ses droits.
- Données optionnelles identifiantes (numéros de téléphone fixe et mobile, adresse postale, commentaire, avatar) → supprimées.
- Langue de l'interface → conservée (donnée non identifiante).
Cette opération préserve l'intégrité référentielle des enregistrements de l'Application sans maintenir d'identifiant direct accessible.
En cas de demande ultérieure d'exercice des droits, la personne concernée peut présenter son adresse email, ce qui permet à Octopussian de retrouver sa fiche par vérification de l'empreinte. Si l'identification ne peut être établie avec une certitude raisonnable, Octopussian est en droit de ne pas donner suite, conformément à l'article 11 RGPD, et en informe la personne concernée.
8.2 Sauvegardes
Les bases de données sont sauvegardées sur des infrastructures de stockage objet hébergées en France. Plusieurs jeux de sauvegardes tournants sont conservés, avec une rétention maximale de 72 heures, au-delà de laquelle les sauvegardes sont automatiquement purgées. Les sauvegardes ne sont mobilisées qu'à des fins de continuité de service et de reprise après incident.
9 - Journalisation technique
9.1 Périmètre
Le présent article décrit les seuls enregistrements techniques mis en œuvre par Octopussian qui contiennent des Données personnelles. Les journaux de supervision des infrastructures (disponibilité, charge, performances) ne portent pas sur des Données personnelles et sont exclus du champ de la présente Politique.
9.2 Traçabilité des opérations sur le coffre-fort de mots de passe partagés
Le coffre-fort de mots de passe partagés fait l'objet d'une traçabilité des opérations afin de protéger les Utilisateurs contre toute modification ou suppression non autorisée.
Sont enregistrés en base de données : l'identité de l'Utilisateur auteur de l'opération, le type d'opération (création, modification, suppression), l'horodatage, et la liste des Utilisateurs disposant ou ayant disposé d'un droit d'accès à chaque entrée.
Le contenu des mots de passe n'est à aucun moment accessible à Octopussian. Ils sont chiffrés de bout en bout au moyen d'un mécanisme asymétrique : seuls les Utilisateurs disposant des droits d'accès correspondants peuvent les déchiffrer, côté client.
Ces enregistrements sont conservés pendant toute la durée de vie du Compte et supprimés à sa clôture.
Base légale : intérêt légitime d'Octopussian à assurer l'intégrité du coffre-fort et à protéger les Utilisateurs contre des opérations non autorisées (art. 6.1.f RGPD).
9.3 Authentification
Les échecs d'authentification ne donnent pas lieu à une journalisation persistante. Un compteur temporaire enregistre le nombre d'échecs successifs pour un Compte donné ; au-delà d'un nombre limité de tentatives infructueuses successives, un délai de vingt minutes est imposé avant toute nouvelle tentative. Ce compteur est remis à zéro en cas de connexion réussie et ne constitue pas un enregistrement durable de Données personnelles.
9.4 Absence de journaux d'accès persistants
Octopussian ne conserve pas de journaux d'accès HTTP, de journaux applicatifs ni de journaux de sécurité contenant des Données personnelles. Les données de connexion (adresses IP, user agents, horodatages) sont traitées en temps réel à des fins d'authentification et de détection d'anomalies, puis écartées sans stockage persistant. Les métriques de supervision des infrastructures (charge CPU, mémoire, espace disque) ne contiennent pas de Données personnelles et sont exclues du champ de la présente Politique, conformément à l'article 9.1.
10 - Droits des personnes concernées
10.1 Droits applicables
Le RGPD vous confère, en tant que Personne concernée, les droits suivants à l'égard des Données personnelles que Nous traitons en qualité de Responsable de traitement.
| Droit | Objet | Conditions et limites |
|---|---|---|
| Accès (art. 15 RGPD) | Obtenir la confirmation que des Données vous concernant sont traitées, et en recevoir une copie | Gratuit ; en cas de demandes manifestement excessives ou répétitives, Nous pouvons facturer des frais raisonnables ou refuser de donner suite |
| Rectification (art. 16 RGPD) | Faire corriger des Données inexactes ou incomplètes | Vous pouvez directement modifier votre propre fiche Utilisateur dans l'Application ; pour les autres Données, adressez-Nous une demande |
| Effacement (art. 17 RGPD) | Demander la suppression de vos Données | Non applicable aux Données que Nous sommes tenus de conserver en vertu d'une obligation légale (pièces comptables, preuves contractuelles) ou pour la constatation, l'exercice ou la défense de droits en justice |
| Portabilité (art. 20 RGPD) | Recevoir vos Données dans un format structuré et lisible par machine | Limité aux Données que vous avez fournies et aux traitements fondés sur votre consentement ou l'exécution du contrat ; pour l'Application, le Titulaire peut demander un export complet de son Compte |
| Opposition (art. 21 RGPD) | Vous opposer à un traitement fondé sur l'intérêt légitime | Nous pouvons maintenir le traitement si Nous démontrons des motifs légitimes impérieux - notamment pour la sécurité applicative et la traçabilité du coffre-fort de mots de passe |
| Limitation (art. 18 RGPD) | Suspendre temporairement un traitement pendant que vous en contestez la licéité ou l'exactitude | Applicable dans les cas prévus à l'article 18 RGPD |
| Retrait du consentement (art. 7.3 RGPD) | Retirer à tout moment un consentement préalablement donné | S'applique aux traitements fondés sur le consentement (cookies non essentiels, activation des fonctionnalités d'intelligence artificielle) ; le retrait ne remet pas en cause la licéité des traitements antérieurs |
| Directives post-mortem | Définir le sort de vos Données après votre décès | Prévu par la législation française applicable ; adressez vos directives par courrier postal ou à .com` |
10.2 Modalités d'exercice
Pour exercer l'un des droits listés à l'article 10.1, adressez-Nous votre demande via le formulaire de contact à l'adresse https://octopussian.com/contact (motif « Exercer mes droits en matière de données personnelles »), ou par courrier électronique à .
Indiquez votre nom, votre adresse email de rattachement à l'Application - ou, si votre Compte a été clôturé, tout élément permettant de vous identifier (entreprise, période d'utilisation approximative) - ainsi que la nature précise de votre demande. Nous pouvons, si la situation le justifie, vous demander un justificatif complémentaire avant de donner suite.
10.3 Délais
Nous répondons dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prorogé de deux mois supplémentaires en cas de demande complexe ; nous vous en informons alors dans le premier mois, en motivant la prorogation.
Si votre fiche a été pseudonymisée après clôture du Compte et que l'identification ne peut être établie avec une certitude raisonnable, Nous vous en informons et Nous ne sommes pas tenus de donner suite - voir §8.1.
10.4 Droit de saisir la CNIL
Si vous estimez, après Nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) à l'adresse https://www.cnil.fr/fr/plaintes.
10.5 Directives post-mortem et demandes des héritiers
Conformément à l'article 85 de la loi n° 78-17 du 6 janvier 1978 modifiée, l'Utilisateur peut adresser à ou par courrier des directives sur le sort de ses Données après son décès. Ces directives ne portent que sur sa fiche personnelle d'identification et de Compte (§5.1 et §5.2) ; les Données enregistrées dans l'Application au titre de l'activité professionnelle du Client en sont exclues et relèvent du Client en sa qualité de Responsable de traitement. Elles doivent être claires, concises, dans une langue comprise par Octopussian et exécutables sans interprétation juridique ; à défaut, elles sont traitées comme inexistantes.
En l'absence de directives exécutables, ou lorsque le Client est lui-même une personne physique exerçant à titre professionnel sans personnalité morale distincte, les ayants droit peuvent saisir Octopussian par l'intermédiaire d'un notaire ou de tout officier ministériel équivalent en droit applicable, ou directement munis d'un acte de notoriété et d'un acte de décès, légalisés ou apostillés selon les conventions applicables. Octopussian n'est pas qualifiée pour trancher des contestations entre ayants droit ni pour apprécier l'opposabilité d'un secret professionnel applicable à l'activité du défunt ; les demandes douteuses sont renvoyées au notaire ou à l'autorité ordinale compétente, et celles dont l'authentification n'est pas raisonnablement établie ne reçoivent pas suite (article 11 RGPD).
Lorsque l'Utilisateur défunt n'est plus rattaché à aucun Compte, sa fiche est déjà pseudonymisée (§8.1) ; à défaut de demande dans le délai prévu à l'article A.11 du DPA, les Données sont supprimées selon le calendrier de fin de Contrat.
11 - Cookies, traceurs et pixels publicitaires
11.1 Site de l'Application ( app.octopussian.com )
L'Application dépose un cookie de session technique au moment de l'authentification. Ce cookie est strictement nécessaire au fonctionnement du service : il maintient la session de l'Utilisateur connecté et ne peut pas être refusé sans rendre l'Application inopérante. Il n'est pas soumis à un recueil de consentement.
11.2 Site commercial ( octopussian.com ) - principe général
Aucun traceur n'est déposé, et aucune donnée n'est transmise à des partenaires analytiques ou publicitaires, sans recueil préalable de votre consentement.
Lors de votre première visite sur le Site, un dialogue de consentement vous est présenté. Il vous permet d'accepter ou de refuser l'ensemble des traceurs décrits à l'article 11.3. En l'absence d'acceptation, aucun traceur n'est activé. Votre choix est mémorisé dans le stockage local de votre navigateur (localStorage) pour une durée de 13 mois ; passé ce délai, le dialogue vous est de nouveau présenté. Vous pouvez modifier votre choix à tout moment en accédant au lien « En savoir plus » disponible dans le dialogue.
11.3 Traceurs soumis à consentement
En cas d'acceptation, les services suivants sont activés :
| Service | Éditeur | Finalité | Transfert hors UE |
|---|---|---|---|
| Google Analytics 4 | Google Ireland Ltd (Irlande) | Mesure d'audience et analyse du comportement des visiteurs ; pilotage des campagnes publicitaires (Google Ads, YouTube Ads) via le Google Consent Mode v2 | Vers Google LLC (États-Unis) - Data Privacy Framework UE-États-Unis + Clauses Contractuelles Types |
| LinkedIn Insight Tag | LinkedIn Ireland Unlimited Company (Irlande) | Mesure des conversions et ciblage publicitaire sur LinkedIn | Vers LinkedIn Corporation (États-Unis) - Clauses Contractuelles Types |
| Meta Pixel / Conversions API | Meta Platforms Ireland Ltd (Irlande) | Mesure des conversions et ciblage publicitaire sur les réseaux Meta (Facebook, Instagram) | Vers Meta Platforms, Inc. (États-Unis) - Data Privacy Framework UE-États-Unis + Clauses Contractuelles Types |
Ces services peuvent, pour leurs propres finalités, traiter des Données personnelles en qualité de Responsables de traitement autonomes (profilage publicitaire, amélioration de leurs produits). Ces traitements relèvent de leurs propres politiques de confidentialité.
Les campagnes LinkedIn et Meta ne sont pas actives en permanence. Les documents légaux d'Octopussian couvrent leur activation éventuelle dès lors que votre consentement a été recueilli au titre du présent article.
11.4 Infrastructure de collecte côté serveur
Les données sont transmises aux plateformes désignées à l'article 11.3 via un mécanisme de collecte côté serveur (server-side tagging) opéré par notre sous-traitant Stape Europe OÜ (Sepapaja tn 6, Tallinn, Estonie), établie dans l'Union européenne. Aucune donnée n'est collectée via ce mécanisme en cas de refus des traceurs.
12 - Intelligence artificielle et absence de profilage
12.1 Fonctionnalités d'intelligence artificielle
Notre fonctionnalité d'assistance intelligente s'appuie sur un modèle d'intelligence artificielle fourni par Mistral AI SAS (France). Cette fonctionnalité n'est activée que si le Titulaire l'a explicitement activée pour son Compte. Par défaut, les données envoyées à ce modèle sont traitées au sein de l'Union européenne. Dans le cas où des sous-traitants de Mistral AI situés hors Union européenne interviendraient dans la chaîne de traitement, Mistral AI garantit que ces transferts sont encadrés par des mécanismes conformes au RGPD (clauses contractuelles types ou décision d'adéquation). Les données traitées dans ce cadre ne sont pas utilisées pour entraîner les modèles de Mistral AI : l'option d'opt-out d'entraînement a été contractuellement activée par Octopussian.
12.2 Absence de profilage et de décision automatisée
Octopussian ne met en œuvre aucun profilage des Utilisateurs et n'effectue aucune prise de décision automatisée produisant des effets juridiques ou affectant significativement les personnes concernées, au sens de l'article 22 du RGPD.
13 - Sécurité et notification des violations
13.1 Mesures de sécurité
Octopussian met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des Données personnelles, conformément à l'article 32 du RGPD.
13.2 Mécanismes automatiques de prévention des abus
Les Services intègrent des mécanismes automatisés destinés à prévenir l'usage abusif de l'Application, notamment l'analyse a priori des contenus avant transmission à un sous-traitant tiers et la non-exécution des opérations contraires à la Charte d'usage acceptable. Ces mécanismes opèrent sans consultation humaine des Données du Client.
Lorsqu'une violation manifeste de la Charte est détectée, l'opération concernée n'est pas exécutée et un avertissement est notifié à l'Utilisateur de manière automatique. La répétition de tels événements peut donner lieu à une suspension ou résiliation prononcée par un membre du personnel habilité, sur examen ponctuel limité aux métadonnées correspondantes (auteur, horodatage, type d'opération), sans accès au contenu, dans les conditions de l'article 13.4 des CGU.
13.3 Notification des violations
En cas de violation de Données personnelles, Octopussian notifie la CNIL dans les 72 heures suivant la découverte de l'incident, lorsque cette notification est requise par l'article 33 du RGPD. Les obligations de notification envers le Client en qualité de Responsable de traitement sont régies par le DPA (Annexe A des CGU).
14 - Modifications de la Politique
La présente Politique peut être modifiée à tout moment. La date de dernière mise à jour figure en bas de page. En cas de modification substantielle, les Titulaires en sont informés selon les modalités prévues à l'article 20 des CGU. La version en vigueur est celle publiée sur le Site.