Accueil/Politique de confidentialité
Version du 20 mai 2026

Politique de confidentialité

RGPD · Règlement (UE) 2016/679 Loi I&L · n° 78-17 modifiée Hébergement UE

La présente politique décrit les modalités de collecte, traitement, conservation et protection des données à caractère personnel mises en œuvre par Forhia dans le cadre de sa plateforme SaaS et de ses sites publics. Elle est révisée à chaque modification matérielle.

Responsable de traitement

Le responsable de traitement est Forhia, exploité par Saqab Shah, société en cours d'immatriculation. Joignable à [email protected].

Aucun délégué à la protection des données (DPO) externe n'est désigné à ce stade : le responsable assure directement les missions correspondantes. Une désignation formelle interviendra dès franchissement des seuils CNIL applicables.

Périmètre

La présente politique s'applique à l'ensemble des traitements de données mis en œuvre par Forhia dans le cadre de :

  • la plateforme SaaS accessible sur les domaines opérés par Forhia (incluant forhia.fr, app.forhia.fr et sous-domaines tenants) ;
  • les sites publics afférents (forhia.fr) et leurs formulaires de contact ;
  • la relation contractuelle avec les Clients (entreprises et agences partenaires).

Catégories de données traitées

  • Données de compte : email professionnel, nom et prénom, fonction, langue préférée, identifiant interne, date de création, rôle dans l'organisation.
  • Données opérationnelles : organisations rattachées, identifiants techniques (org, tenant, scan), historique des actions déclenchées par l'utilisateur (audit log).
  • Données techniques : adresse IP au moment de l'authentification, user-agent, événements d'erreur (Sentry, après scrubbing PII automatique).
  • Données de prospection : informations renseignées dans les formulaires de contact du site (nom, email pro, téléphone, entreprise, secteur, message).
  • Données de paiement : non stockées par Forhia. Paiement par virement bancaire après signature des CGV ou validation d'un devis. Aucun prestataire de paiement en ligne intégré.
  • Sorties de modèles d'IA : réponses brutes des LLM interrogés à propos de l'organisation cliente. Stockées sous forme agrégée (scores, citations). Les textes bruts sont conservés au plus 12 mois puis anonymisés.

Aucune donnée sensible au sens de l'article 9 RGPD n'est sciemment traitée. Forhia ne s'adresse pas aux mineurs et ne traite pas de données de santé, biométriques, génétiques, de vie sexuelle, d'opinions politiques, philosophiques ou religieuses.

Finalités et bases légales

FinalitéBase légale (RGPD)
Création et gestion du compte utilisateurExécution du contrat (art. 6.1.b)
Exécution des scans GEO et restitution des résultatsExécution du contrat (art. 6.1.b)
Sécurité du SI, prévention de la fraude, audit logIntérêt légitime (art. 6.1.f)
Facturation, recouvrement, comptabilitéObligation légale (art. 6.1.c)
Amélioration produit (analytics agrégés, sans cookies tiers)Intérêt légitime, équilibre garanti
Communication commerciale (clients existants uniquement)Intérêt légitime, opt-out à tout moment
Réponse aux formulaires de contactMesure pré-contractuelle (art. 6.1.b)

Destinataires

Vos données sont accessibles aux équipes de Forhia strictement habilitées, à nos sous-traitants techniques détaillés ci-dessous, et aux autorités compétentes en cas de réquisition légale. Aucune donnée n'est cédée ou louée à des tiers à des fins commerciales.

Transferts hors Union européenne

Certains de nos sous-traitants techniques sont établis aux États-Unis (notamment OpenAI, Anthropic, Google, Perplexity pour les modèles d'IA, Resend pour l'email transactionnel, Upstash pour le cache). Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) ;
  • ou le Data Privacy Framework (DPF) lorsque le sous-traitant y est certifié.

Les infrastructures principales (Supabase, Railway, Sentry) opèrent leurs régions européennes pour les données Forhia. La liste exhaustive des sous-traitants est tenue à jour et communiquée sur demande à [email protected]. Les textes des clauses sont disponibles sur demande.

Durées de conservation

  • Compte actif : durée de la relation contractuelle.
  • Compte clôturé : 3 ans à compter du dernier accès, en mode anonymisé pour preuve du traitement de la demande Art 17 RGPD, puis purge complète.
  • Réponses brutes des modèles d'IA : anonymisation après 12 mois. Les scores agrégés et métriques restent.
  • Journal d'audit (audit log) : 36 mois (obligation cybersécurité et conservation des preuves).
  • Données de prospection (leads) : 3 ans à compter du dernier contact, conformément à la recommandation CNIL.
  • Données de facturation : 10 ans (article L123-22 du Code de commerce).

Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès aux données vous concernant (art. 15) ;
  • Rectification de données inexactes (art. 16) ;
  • Effacement (« droit à l'oubli », art. 17) ;
  • Limitation du traitement (art. 18) ;
  • Portabilité de vos données dans un format structuré (art. 20) ;
  • Opposition au traitement (art. 21) ;
  • Définir des directives relatives au sort de vos données après votre décès (loi I&L).

Vous pouvez exercer ces droits en écrivant à [email protected] ou directement depuis l'espace /account de la plateforme. Forhia s'engage à répondre dans un délai maximal d'un mois, extensible à deux mois en cas de demande complexe.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

Sécurité

Forhia met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

  • chiffrement TLS 1.2+ pour tout transport ;
  • chiffrement au repos via les fournisseurs gérés (Supabase/Postgres, S3) ;
  • contrôle d'accès basé sur les rôles (RLS Postgres) ;
  • journal d'audit immuable ;
  • revues de code obligatoires avant déploiement ;
  • scrubbing automatique des données personnelles dans la télémétrie d'erreurs (Sentry) ;
  • rate-limiting des points d'accès sensibles ;
  • authentification via fournisseur OAuth/email magique.

Modèles d'intelligence artificielle

Forhia utilise des modèles d'IA générative tiers (OpenAI, Anthropic, Google, Perplexity) pour produire des résultats d'analyse (scans GEO) et des contenus assistés. Ces traitements relèvent du Règlement européen sur l'IA (UE 2024/1689).

Conformément à l'article 50, les contenus générés par IA sont systématiquement signalés et requièrent une relecture humaine avant publication. La classification AI Act et la documentation de risque associée sont disponibles sur demande à [email protected].

Cookies

Voir notre charte cookies. Forhia n'utilise que des cookies strictement nécessaires (authentification, préférences de tenant). Aucun cookie publicitaire ni de mesure d'audience tiers n'est déposé.

Modifications

En cas de modification matérielle de cette politique, les utilisateurs actifs seront notifiés par email au moins 30 jours avant son entrée en vigueur. La version courante est toujours accessible à cette URL.

Politique susceptible d'évoluer à l'issue de l'immatriculation définitive de la société et de l'ouverture officielle du service. Toute modification matérielle sera notifiée et la date de version mise à jour en tête de page.