Politique de confidentialité
Version 1.1 · Dernière mise à jour : 19 mai 2026
1. Qui sommes-nous
Le service MyAutonomous (myautonomous.fr et app.myautonomous.fr) est édité par Myziggi SASU, société par actions simplifiée unipersonnelle immatriculée au RCS de Tarbes sous le n° 913 721 239 (SIRET 913 721 239 00022, TVA intra FR86913721239), siège social 34 route du lac, 65350 Laslades, France. Représentée par Bruno Boirie, Président.
Le présent document décrit la manière dont nous traitons les données personnelles dans le cadre de l'utilisation du site myautonomous.fr et de l'application app.myautonomous.fr.
Responsable du traitement : Myziggi SASU · Bruno Boirie, Président · bruno@myautonomous.fr
Myziggi SASU n'est pas tenue de désigner un DPO au sens de l'article 37 du RGPD (entreprise < 250 salariés, traitements non systématiques à grande échelle). Le Président assume la fonction de référent vie privée.
2. Quelles données collectons-nous
2.1. Du Client (utilisateur du SaaS)
- Nom d'entreprise, email, mot de passe (haché scrypt, jamais en clair)
- Adresse IP au signup (audit log) pour anti-spam
- Credentials externes (Brevo, Telegram, Google, Stripe, Mistral) : chiffrés AES-256-GCM en base
- Fiche entreprise saisie par le Client (activité, zone, personas cibles, ton)
- Email de contact où arrivent les notifs et rapports B2B (configurable)
- Logs d'utilisation, coûts LLM, statistiques (anonymisés agrégés)
2.2. Des prospects (personnes contactées par le Client)
- Nom d'entreprise, SIREN, code NAF, effectifs, dirigeants — sources publiques (API SIRENE de data.gouv.fr, optionnellement API Pappers)
- Email professionnel, téléphone professionnel, site web, secteur, ville — sources publiques (DuckDuckGo, scraping page /contact, API Pappers, optionnellement Brave Search)
- Contenu des conversations email (sujet, corps, statut envoi, ouvertures, clics — via Brevo tracking)
- Statut commercial (lead, qualifié, client, perdu, etc.) géré par le Client
-
Signaux business publics extraits via le mode autoresearch (presse, actualité,
recrutement) — produits par les agents lorsque le Client active explicitement le flag
deepResearchdans son espace admin.
2.3. Quand vous demandez un guide gratuit sur myautonomous.fr
- Votre adresse email (obligatoire pour vous envoyer le guide)
- Votre prénom (optionnel, pour personnaliser l'email)
- Le guide demandé et la date de la demande
- L'adresse IP de la requête (logs serveur, conservation 90 jours)
2.4. Quand vous souscrivez à un abonnement payant
- Votre email facturation et le nom de société (transmis par Stripe)
- Le plan choisi et l'historique des transactions
- Les coordonnées de paiement sont gérées exclusivement par Stripe Inc. — nous ne stockons PAS de numéro de carte bancaire
3. Pourquoi (finalités)
- Exécution du contrat : fourniture du service SaaS, génération de mails IA, suivi des conversations, génération de rapports B2B.
- Vous envoyer le guide gratuit que vous avez demandé via le formulaire
- Intérêt légitime : prospection commerciale B2B (les prospects sont des personnes professionnelles contactées sur leur email pro)
- Gérer la facturation et le suivi commercial
- Tenir un journal d'audit interne pour la sécurité, la traçabilité et la qualité de service
- Amélioration continue : analyse des appels LLM (table
llm_traces) pour ajuster les prompts et garantir la qualité des rédactions
4. Base légale
- Exécution du contrat (RGPD art. 6.1.b) : fourniture du SaaS pour les Clients abonnés
- Consentement explicite (art. 6.1.a) : demande de guide via formulaire, autorisation Google Calendar
- Intérêt légitime (art. 6.1.f) : prospection B2B ciblée à partir de données publiques d'entreprises, journal d'audit interne, observabilité LLM
- Obligation légale (art. 6.1.c) : conservation comptable des transactions Stripe (10 ans)
5. Durée de conservation
Les TTL sont appliqués automatiquement par un job mensuel (1er du mois 03h UTC). Valeurs configurables par le super-admin via variables d'environnement.
- Compte actif : durée de l'abonnement + 30 jours après résiliation
- Compte sans activité 12 mois : suppression automatique avec préavis email 30 j
- Email + nom (lead magnet) : tant que vous restez intéressé. Désinscription en 1 clic depuis le footer de chaque email reçu.
- Logs LLM (table
llm_traces) : 90 jours - Rapports B2B terminés : 1 an
- Audit trail (table
audit_log) : 180 jours - Runs agents (métriques agrégées) : 180 jours
- Données publiques d'entreprises (SIRENE) : tant que l'entreprise est dans la cible commerciale du Client. Suppression à la demande.
- Données de transaction Stripe : 10 ans (obligation comptable)
- Logs serveur applicatifs : 90 jours
- Backups DB : 7 j (daily) + 4 semaines (weekly) + 6 mois (monthly) + 2 ans (yearly)
6. Partage avec des tiers (sous-traitants)
Nous ne vendons jamais vos données. Nous utilisons les sous-traitants techniques suivants pour faire fonctionner le service :
- Mistral AI (France, UE) — génération IA (mails, classification, rapports B2B). Prompts envoyés : fiche du Client + contexte conversationnel + extraits du site prospect. Rétention nulle par défaut (pas d'entraînement sur les données — clause contractuelle).
- Brevo / Sendinblue (France, UE) — envoi/réception email + gestion blocklist transactionnelle. Données : adresses, sujets, corps, events ouverture/clic.
-
Pappers (France, UE, optionnel — flag
pappers) — enrichissement données entreprises (dirigeants, bilans) et coordonnées professionnelles publiques (téléphone, email, site web) à partir du SIREN. Requêtes : SIREN uniquement. -
Brave Search (USA, optionnel — flag
braveSearch) — recherche web pour le mode autoresearch. Requêtes textuelles uniquement, pas de données personnelles. - Stripe (Irlande, UE + USA avec CCT type EU) — paiements et facturation. Stripe est responsable de ses propres données de paiement.
- Google (USA, optionnel) — intégration Google Calendar via Service Account dédié, sur autorisation explicite du Client. Lecture des événements + création optionnelle (suite à un RDV pris).
- Telegram (UK / AE, optionnel) — notifications d'alerte côté Client (token bot + chat ID stockés chiffrés).
- Cloudflare (USA) — tunnel TLS + protection DDoS pour app.myautonomous.fr.
- API SIRENE (data.gouv.fr, France, UE) — source publique sans signature, pas de transfert de données personnelles du Client.
Les transferts hors UE (Stripe USA, Google USA, Brave Search USA, Telegram UK/AE, Cloudflare USA) sont encadrés par les clauses contractuelles types de la Commission européenne. Les flags optionnels (Brave Search, Pappers, Telegram, Google Calendar) sont tous désactivés par défaut — c'est le Client qui les active explicitement.
Tous les autres traitements (base de données, agents IA, dashboard) tournent sur l'infrastructure Myziggi SASU (NAS situé en France, Tarbes) — vos données ne quittent jamais l'Union Européenne sauf cas ci-dessus, encadrés par CCT type CE.
7. Hébergement et localisation
- Site web et application : NAS QNAP situé physiquement à Tarbes (65), France, opéré par Myziggi SASU
- Base de données et logs : idem, France
- Tunnel TLS + DDoS : Cloudflare (USA), uniquement en transit
- Backups : disque local du NAS chiffré. À terme, backup chiffré sur S3 EU possible (opt-in)
8. Observabilité technique (llm_traces)
Pour garantir la qualité du service et permettre au Client de comprendre ce qui a été
généré en son nom, chaque appel à l'IA Mistral est tracé dans une table technique
llm_traces qui stocke :
- Les prompts envoyés (system + user, tronqués à 30 KB)
- La réponse du modèle
- Le nombre de tokens et le coût en USD
- La durée, le modèle utilisé, le contexte agent
Ces données ne sortent jamais du NAS Myziggi SASU. Elles sont consultables par le Client
super-admin via la page /admin/llm-runs à des fins de debug et audit personnel.
Conservation : 90 jours, purgées automatiquement par le job cleanup mensuel.
9. Vos droits RGPD
Conformément au RGPD (Règlement (UE) 2016/679), vous disposez à tout moment des droits suivants :
- Accès : obtenir copie des données personnelles que nous détenons sur vous
- Rectification : corriger une donnée inexacte
- Effacement ("droit à l'oubli") : suppression complète de votre fiche
- Opposition : refus de l'utilisation de vos données pour la prospection
- Limitation du traitement
- Portabilité : récupérer vos données dans un format structuré (JSON disponible 24/7 dans
/settings → Mes données) - Retrait du consentement à tout moment, sans justification
- Ne pas faire l'objet d'une décision entièrement automatisée : le mode shadow garantit qu'aucun mail n'est envoyé sans validation humaine
Pour exercer ces droits, écrivez à bruno@myautonomous.fr. Réponse sous 30 jours maximum (en pratique : sous 48 h ouvrées).
En cas de litige, vous pouvez aussi saisir la CNIL (autorité française de contrôle).
10. Cookies et traceurs
Le site myautonomous.fr n'utilise aucun cookie de tracking, aucun pixel publicitaire, aucun outil d'analytics tiers (pas de Google Analytics, pas de Meta Pixel).
L'application app.myautonomous.fr pose uniquement des cookies techniques strictement nécessaires au fonctionnement du service :
myautonomous_session— token HMAC d'authentification, 30 jours, httpOnly secure- Cookie temporaire CSRF pour le flow OAuth Google Calendar (valide 10 minutes, optionnel)
Aucun de ces cookies n'est utilisé à des fins publicitaires ou statistiques. Ces cookies strictement nécessaires ne requièrent pas de consentement préalable (art. 82 loi Informatique et Libertés).
11. Contact
Myziggi SASU — Bruno Boirie, Président
34 route du lac, 65350 Laslades, France
Email : bruno@myautonomous.fr
Cette politique peut être amendée — la version en vigueur est toujours celle disponible à l'adresse https://myautonomous.fr/privacy.html.