Dilbloom Logo

Politique de Confidentialité

1. Introduction

La présente Politique de Protection des Données a pour objectif d’expliquer de manière transparente comment DilBloom collecte, utilise, conserve et protège les données à caractère personnel dans le cadre de ses activités. Elle s’appuie notamment sur les traitements décrits dans le registre des activités de traitement, dont un extrait sera intégré dans les sections suivantes. Consciente de l’importance de la protection de la vie privée et du rôle qui lui incombe en tant qu’acteur responsable, DilBloom veille à ce que chaque traitement soit réalisé dans le respect des principes applicables en matière de protection des données, notamment la licéité, la loyauté, la transparence, la minimisation des données, la limitation des finalités, l’exactitude, la limitation de la conservation, l’intégrité et la confidentialité. Cette politique a également pour vocation de rappeler les droits des personnes concernées et les mesures mises en place pour assurer leur exercice effectif. Elle s’adresse à l’ensemble des personnes dont les données personnelles sont traitées par DilBloom, y compris les clients, les prospects, les prestataires, les visiteurs.

2. Exercice des droits des personnes concernées

Chaque personne concernée dispose d’un ensemble de droits concernant ses données personnelles. DilBloom s’engage à faciliter leur exercice dans les conditions prévues par la législation applicable.

2.1 Droits reconnus

Les personnes concernées peuvent exercer les droits suivants :

  • Droit d’accès : obtenir confirmation que des données personnelles sont traitées et en recevoir une copie, ainsi que des informations sur les finalités, les catégories de données, les destinataires, les durées de conservation et les garanties éventuelles encadrant les transferts hors UE.
  • Droit de rectification : demander la correction ou la mise à jour de données personnelles inexactes ou incomplètes.
  • Droit à l’effacement (« droit à l’oubli ») : solliciter la suppression de données personnelles lorsque les conditions légales sont remplies.
  • Droit à la limitation du traitement : demander la suspension temporaire du traitement dans certaines situations.
  • Droit d’opposition : s’opposer, pour des raisons tenant à la situation particulière de la personne, à certains traitements réalisés par DilBloom.
  • Droit à la portabilité : recevoir les données personnelles fournies dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transmission à un autre responsable de traitement lorsque cela est techniquement possible.
  • Droit de retirer son consentement : lorsque le traitement repose sur le consentement, celui-ci peut être retiré à tout moment, sans remettre en cause la licéité des traitements antérieurs.
  • Droit d’introduire une réclamation : les personnes concernées peuvent déposer une plainte auprès de l’autorité de contrôle compétente (CNIL : https://www.cnil.fr/fr/saisir-la-cnil/nous-contacter).

2.2 Modalités d’exercice

Pour exercer leurs droits, les personnes concernées peuvent contacter DilBloom via l’un des canaux suivants :

  • Adresse e-mail dédiée : dpo@dilbloom.ai
  • Adresse postale : Dilbloom, Pays de Gex Entreprises Technoparc, 50 Rue Gustave Eiffel, 01630 Saint-Genis-Pouilly
  • Formulaire : https://www.cnil.fr/fr/modeles/courrier

Afin de protéger la confidentialité des données, une vérification d’identité peut être demandée avant de donner suite à la requête.

2.3 Délai de réponse

DilBloom répond aux demandes dans un délai d’un mois à compter de leur réception. Ce délai peut être prolongé de deux mois en cas de complexité ou de volume important de la demande ; dans ce cas, la personne concernée en sera informée.

3. Principes de protection des données

DilBloom applique les principes fondamentaux de protection des données à l’ensemble de ses traitements. Ces principes guident la conception, la mise en œuvre et le suivi de chaque activité impliquant des données personnelles.

3.1 Licéité, loyauté et transparence

Les traitements sont réalisés sur une base légale appropriée et de manière transparente envers les personnes concernées. DilBloom veille à fournir une information claire, accessible et compréhensible.

3.2 Limitation des finalités

Les données personnelles sont collectées pour des objectifs spécifiques, explicites et légitimes tels que décrits dans le registre des traitements, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités, sans une base de légalité.

3.3 Minimisation des données

Seules les données strictement nécessaires à la finalité sont collectées. Les équipes sont formées à ne pas demander, stocker ou utiliser plus d’informations que nécessaire.

3.4 Exactitude des données

Les données personnelles sont tenues à jour et corrigées lorsqu’elles sont inexactes. Des mécanismes internes permettent aux personnes concernées et aux collaborateurs d’indiquer toute erreur.

3.5 Limitation de la conservation

Les données personnelles sont conservées uniquement pendant la durée nécessaire à la finalité du traitement et conformément aux exigences légales ou contractuelles. Les durées sont définies dans le registre des activités de traitement.

3.6 Intégrité et confidentialité

Les données sont protégées contre la perte, l’accès non autorisé, la divulgation ou la destruction. DilBloom met en place des mesures de sécurité organisationnelles, techniques et physiques adaptées.

3.7 Responsabilité (Accountability)

L’organisation documente les mesures prises et peut démontrer sa conformité à tout moment. Les équipes sont sensibilisées et des contrôles réguliers sont réalisés.

4. Sécurité des données

DilBloom met en œuvre des mesures de sécurité proportionnées aux risques identifiés pour les droits et libertés des personnes. Ces mesures couvrent les aspects techniques, organisationnels et physiques.

4.1 Mesures techniques

  • Contrôles d’accès et authentification renforcée.
  • Chiffrement des données en transit et au repos lorsque pertinent.
  • Journalisation des accès et surveillance des systèmes.
  • Sauvegardes régulières et tests de restauration.
  • Mise à jour continue des logiciels et correctifs de sécurité.

4.2 Mesures organisationnelles

  • Procédures internes pour la gestion des données, l’accès, la conservation et la suppression.
  • Protocoles de gestion des incidents et notification de violations.
  • Sensibilisation et formations régulières des employés.
  • Clauses contractuelles de confidentialité et de sécurité avec les prestataires.

4.3 Mesures physiques

  • Contrôle des accès aux locaux.

5. Partage de données et sous-traitance

5.1 Destinataires internes et externes

Les données personnelles peuvent être communiquées uniquement aux destinataires autorisés et nécessaires à la finalité du traitement. Ceux-ci peuvent inclure, selon les traitements :

  • Collaborateurs internes habilités.
  • Prestataires de services, sous-traitants, partenaires contractuels.
  • Autorités administratives ou judiciaires, lorsque la loi l’exige.

5.2 Sous-traitants

Lorsque DilBloom fait appel à des sous-traitants, elle s’assure que :

  • un contrat conforme encadre la relation (obligations de confidentialité, sécurité, assistance, etc.) ;
  • le sous-traitant apporte des garanties suffisantes en matière de protection des données ;
  • des contrôles réguliers puissent être réalisés.

5.3 Transferts de données hors de l’Union européenne

Lorsque cela est nécessaire, DilBloom peut transférer des données personnelles vers des pays situés en dehors de l’UE/EEE. Ces transferts sont réalisés uniquement si :

  • le pays bénéficie d’une décision d’adéquation, ou
  • des garanties appropriées sont mises en place (clauses contractuelles types, accords encadrant les flux, mesures additionnelles si requis), ou
  • une dérogation spécifique s’applique.

Lorsque les données sont transférées vers des pays à risque élevé pour la confidentialité, DilBloom procède à une analyse détaillée, documente les risques et met en place des mesures additionnelles.

6. Conservation et suppression des données

Les durées de conservation sont définies pour chaque traitement dans le registre. Elles tiennent compte :

  • des obligations légales et réglementaires ;
  • des besoins opérationnels ;
  • des risques associés au stockage.

Lorsque la durée est atteinte ou que la donnée n’est plus nécessaire, elle est supprimée ou anonymisée selon les procédures internes. Les supports physiques sont détruits de manière sécurisée, et les données numériques sont effacées de manière irréversible.

7. Gouvernance interne et responsabilités

7.1 Rôle du Responsable de traitement

DilBloom assume pleinement son rôle de responsable de traitement et garantit la conformité des opérations réalisées.

7.2 Rôle du Délégué à la protection des données (si applicable)

Le DPO conseille, sensibilise, contrôle la conformité et constitue le point de contact avec la CNPD et les personnes concernées.

7.3 Responsabilités des employés

Chaque collaborateur est responsable de :

  • manipuler les données de manière conforme ;
  • respecter les politiques et procédures internes ;
  • signaler toute anomalie ou incident potentiel ;
  • suivre les formations obligatoires en matière de protection des données.

7.4 Revue et mise à jour de la politique

Cette politique peut être mise à jour pour refléter :

  • les évolutions légales,
  • les changements organisationnels,
  • les retours d’expérience et contrôles internes.

8. Liste des traitements opérés par DilBloom

MET-01 : Téléchargement de documents sur la plateforme

  • Finalité : Il s’agit pour l’utilisateur de télécharger des documents sur la plateforme afin d’alimenter le graphe.
  • Base légale : Relation contractuelle (L’utilisateur est tenu en vertu d’un contrat d’abonnement souscrit sur la plateforme ou dans certains cas par signature électronique).
  • Personnes concernées : Utilisateurs de la plateforme, personnes physiques objets d’analyse sur la plateforme.
  • Catégories de données : Données d'identification (personnelles, électroniques, bancaires et financières, caractéristiques personnelles), Vie quotidienne (loisirs et intérêts, affiliations et situation de membres), Données socio-professionnelles (éducation, profession, mots de passe...), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : LlamaCloud, OVHcloud, Talium, Microsoft Azure AI translator, Microsoft Azure GPT 5.
  • Transfert hors-EEE : LlamaCloud à documenter, Microsoft : EU-US Data privacy framework.

MET-02 : Chat sur les données téléchargées sur la plateforme

  • Finalité : Il s’agit d’interroger les données déposées sur la plateforme afin d’obtenir des réponses aux questions posées par l’utilisateur.
  • Base légale : Relation contractuelle (L’utilisateur est tenu en vertu d’un contrat d’abonnement...).
  • Personnes concernées : Utilisateurs de la plateforme, personnes physiques objets d’analyse sur la plateforme.
  • Catégories de données : Données d'identification (personnelles, électroniques, bancaires et financières, caractéristiques personnelles), Données socio-professionnelles (éducation, profession, mots de passe...), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : LlamaCloud, OVHcloud, Talium, Microsoft Azure AI translator, Microsoft Azure GPT 5.
  • Transfert hors-EEE : LlamaCloud à documenter, Microsoft : EU-US Data privacy framework.

MET-03 : Évaluation de risque

  • Finalité : Il s’agit pour l’utilisateur au moyen de réponses fermées à une liste de question d’établir un profil de risque d’une société.
  • Base légale : Relation contractuelle (L’utilisateur a accès à cette fonctionnalité lors de la souscription...).
  • Personnes concernées : Utilisateurs de la plateforme, personnes physiques objets d’analyse.
  • Catégories de données : Données d'identification (personnelles, électroniques, bancaires et financières, caractéristiques personnelles), Données socio-professionnelles (éducation, formation, profession, sécurité...), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans maximum à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : LlamaCloud, OVHcloud, Talium, Microsoft Azure AI translator, Microsoft Azure GPT 5.
  • Transfert hors-EEE : LlamaCloud à documenter, Microsoft : EU-US Data privacy framework.
  • Rôle de l'organisme : Responsable du traitement.

MET-04 : Générateur de rapport d'analyse (Due Diligence)

  • Finalité : Il s’agit pour l’utilisateur de faire générer par la plateforme un rapport d’analyse global résultant de réponses à des questions ouvertes.
  • Base légale : Relation contractuelle.
  • Personnes concernées : Utilisateurs de la plateforme, personnes physiques objets d’analyse.
  • Catégories de données : Données d'identification (personnelles, électroniques, bancaires et financières, caractéristiques personnelles), Données socio-professionnelles (éducation, formation, sécurité), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans maximum à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : LlamaCloud, OVHcloud, Talium, Microsoft Azure AI translator, Microsoft Azure GPT 5.
  • Transfert hors-EEE : LlamaCloud à documenter, Microsoft : EU-US Data privacy framework.
  • Rôle de l'organisme : Responsable du traitement.

MET-05 : Génération d’un « Company profile »

  • Finalité : Il s’agit pour l’utilisateur de générer à partir de données structurées un rapport contenant un certain nombre d’indicateurs clés de performance.
  • Base légale : Relation contractuelle.
  • Personnes concernées : Utilisateurs de la plateforme, personnes physiques objets d’analyse.
  • Catégories de données : Données d'identification (personnelles, électroniques, bancaires et financières, caractéristiques personnelles), Données socio-professionnelles (éducation, formation, profession), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans maximum à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : LlamaCloud, OVHcloud, Talium, Microsoft Azure AI translator, Microsoft Azure GPT 5.
  • Transfert hors-EEE : LlamaCloud à documenter, Microsoft : EU-US Data privacy framework.

MET-06 : Collecte indirecte de données injectées dans la data room ("Sourcing")

  • Finalité : Il s’agit de scanner des sites tels que Pappers, LinkedIn, Motherbase et Internet afin d’en extraire les données nécessaires à l’analyse par l’utilisateur.
  • Base légale : Intérêt légitime de DilBloom (d’alimenter sa plateforme avec des données publiques). La plateforme ne fait pas peser une menace disproportionnée car les données sont rendues publiques par les personnes.
  • Personnes concernées : Utilisateurs de la plateforme, personnes physiques objets d’analyse.
  • Catégories de données : Données d'identification (personnelles, électroniques, caractéristiques personnelles), Données socio-professionnelles (éducation, formation, profession, sécurité...), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : OVH.
  • Transfert hors-EEE : LinkedIn : EU-US Data Privacy Framework.
  • Rôle de l'organisme : Responsable du traitement.

SUP-01 : Gestion des projets informatiques et maintenance

  • Finalité : Gestion des projets informatiques et maintenance de l’application destinés à développer, tester, mettre à jour et maintenir la plateforme.
  • Base légale : Intérêt légitime. La SSII n’a accès aux données personnelles que de façon transitoire (tests et maintenance).
  • Personnes concernées : Clients, utilisateurs, personnel et mandataires.
  • Catégories de données : Données d'identification (personnelles, électroniques).
  • Durée de rétention : 2 ans à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : Talium.
  • Transfert hors-EEE : Listez les garanties.

SUP-02 : Données clients, personnel et mandataires conservées dans le CRM

  • Finalité : Données de contact des clients, et des utilisateurs.
  • Base légale : Relation contractuelle.
  • Personnes concernées : Clients, utilisateurs, personnel et mandataires.
  • Catégories de données : Données d'identification (personnelles, électroniques, bancaires et financières, caractéristiques personnelles), Vie quotidienne (biens et services fournis et reçus), Données socio-professionnelles (éducation, profession, sécurité...), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans maximum à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : Sellsy.
  • Transfert hors-EEE : Listez les garanties.

SUP-03 : Gestion de projet

  • Finalité : Planification, organisation, pilotage et coordination des ressources et des actions nécessaires pour atteindre un objectif défini dans un délai, un budget et un périmètre déterminés.
  • Base légale : Intérêt légitime (gestion de projet adéquate permettant de faire évoluer le site et le maintenir).
  • Personnes concernées : Clients, utilisateurs, personnel et mandataires.
  • Catégories de données : Données d'identification (personnelles, électroniques, bancaires et financières, caractéristiques), Données socio-professionnelles (éducation, profession, sécurité...), Autres (données judiciaires, enregistrement d'image).
  • Durée de rétention : 2 ans à compter de la fin de la relation contractuelle.
  • Destinataire : Néant.
  • Sous-traitants : Asana.
  • Transfert hors-EEE : Clauses Contractuelles Types.

Annexe A : Liste des catégories de données

1. Données d’identification

  • Données d’identification personnelles : Nom, titre, adresse (privée et professionnelle), adresses antérieures, numéro de téléphone (privé, professionnel), identifiants attribués par le responsable du traitement. Données d’identification, émises par les services publics, par exemple : numéro d’identification national, numéro de carte d’identité, de passeport, de permis de conduire, de pension, de plaque d’immatriculation.
  • Données d’identification électronique : Adresses IP, cookies, moments de connexion, signature électronique...
  • Données d’identification biométrique : Empreintes digitales, reconnaissance vocale, image de la rétine, reconnaissance du visage, de la forme des doigts ou de la main, signature dynamique…
  • Données bancaires et financières : Identification et numéro de compte bancaires, numéros de cartes de crédit ou de débit, codes secrets. Revenu, possessions, investissements, revenu total, revenu professionnel, épargne, date de début et de terme de placements, revenus d’investissements, charges sur les actifs, Dettes, dépenses : dépenses totales, dépenses pour loyer, prêts, hypothèques et autres formes de crédit. Emprunts, hypothèques et crédits : type d’emprunt, montant emprunté... Allocations, aides, dons. Détails relatifs aux assurances... Détails relatifs à la pension... Transactions financières... Compensation... Activités professionnelles de la personne concernée. Conventions et accords... Licences détenues.
  • Caractéristiques personnelles : Détails personnels : âge, sexe, date de naissance, lieu de naissance, état civil et nationalité. Statut d’immigration.
  • Données physiques : Description physique : taille, poids, couleur des cheveux, couleur des yeux, caractéristiques distinctives.
  • Données psychiques : Opinions concernant la personnalité ou le caractère.

2. Vie quotidienne

  • Habitudes de vie et de consommation : Habitudes : consommation de tabac, d’alcool. Style de vie : détails concernant la consommation de biens ou de services, comportement de l’individu ou de sa famille. Détails des voyages et déplacements. Contacts sociaux. Possessions : terrains, propriétés... Mandats publics détenus. Réclamations, incidents ou accidents. Utilisation des médias et moyens de communication.
  • Composition du ménage : Mariage ou partenariat actuel, Historique marital, Détails sur les autres membres de la famille ou du ménage.
  • Loisirs et intérêts : Activités de loisirs et intérêts : hobbies, sport et autres intérêts.
  • Affiliations et situation de membres : Affiliations (autres que professionnelles, politiques, syndicales): affiliations à des organisations caritatives ou bénévoles...
  • Biens et services fournis et reçus : Détail des biens et services fournis, prêtés ou loués à ou par la personne concernée.
  • Caractéristiques du logement : Adresse du logement, type de logement, durée de séjour à cette adresse, loyer, charges...

3. Données socio-professionnelles

  • Education, formation et qualification : Curriculum académique, Historique financier des études, Qualifications professionnelles, Expérience professionnelle, Affiliation / participation à des organisations, Publications.
  • Profession et emploi : Emploi actuel, Recrutement, Fin du contrat d’emploi, Carrière, Présences et discipline, Premiers secours. Actifs détenus par le membre du personnel, Organisation du travail, Formation à la fonction, Évaluation de l’utilisation des moyens informatiques.
  • Salaire : Salaire : paiements et retenues, salaire, commissions, bonus...
  • Évaluation professionnelle : Évaluation des prestations, potentiel.
  • Sécurité : Mots de passe, codes de sécurité et niveaux d’autorisation.

4. Données relatives à la santé

  • État de santé physique : Dossier médical, rapport médical, diagnostic, traitement, résultat d’analyse, handicap ou infirmité...
  • État de santé psychique : Dossier médical, rapport médical, diagnostic, traitements, résultats d’analyse.
  • Données génétiques : Données génétiques dans le cadre d’un dépistage, d’un examen d’hérédité...
  • Données relatives aux soins : Données relatives aux ressources et procédures utilisées pour la prise en charge médicale et paramédicale des patients.

5. Autres données sensibles

  • Données judiciaires : Données judiciaires sujettes aux traitements visés à l’article 10 du RGPD.
  • Données raciales ou ethniques : Données raciales ou ethniques sujettes aux traitements visés à l’article 9 du RGPD.
  • Données relatives au comportement sexuel : Données relatives au comportement sexuel sujettes aux traitements visés à l’article 9 du RGPD.
  • Opinions politiques : Opinions politiques, préférence de vote. Adhésion à un parti politique, fonctions politiques occupées.
  • Affiliation syndicale : Données relatives à l’appartenance syndicale sujettes aux traitements visés à l’article 9 du RGPD.
  • Convictions philosophiques : Données relatives aux convictions religieuses ou philosophiques sujettes aux traitements visés à l’article 9 du RGPD.
  • Enregistrement d’images : Photographies, vidéos, etc.
  • Enregistrements de sons : Voix, etc.