AALMA
← Tous les articles
Sécurité

RGPD et secrétaire IA : tout ce qu'il faut savoir avant de confier ses documents

Comment ALMA traite tes données : hébergement, chiffrement, droit à l'oubli, sous-traitants. Réponse claire, sans bullshit.

Matt Benamar·30 avril 2026·3 min de lecture

RGPD et secrétaire IA : tout ce qu'il faut savoir

Confier ses courriers à une IA, c'est confier des documents sensibles : factures, mises en demeure, contrats, mails médicaux, banque, impôts. La question RGPD est légitime. Voici la réponse honnête.

1. Où sont stockés tes documents ?

  • Base de données (Postgres) : Neon, datacenter Frankfurt 🇩🇪 (Union Européenne)
  • Fichiers (PDFs, images) : Cloudflare R2, juridiction EU
  • Hébergement web : Vercel (CDN global mais traitement à Paris/Frankfurt)

Aucune de tes données ne quitte l'Europe sauf si tu contactes notre support et qu'on doit déboguer un cas.

2. Qui peut voir tes documents ?

  • Toi (et les membres de ton org si tu es en plan Famille/Pro)
  • Notre infra automatisée pour le traitement (extraction texte, classification IA)
  • Personne d'autre. Pas d'humain qui lit tes mails.

3. L'IA (Gemini) garde-t-elle mes documents ?

Non. Configuration explicite :

  • Le mode "API" de Gemini (que ALMA utilise) n'utilise pas tes contenus pour entraîner les modèles par défaut. C'est documenté dans les CGU Google AI for Developers.
  • Aucun stockage long terme côté Google : ils traitent, renvoient le résultat, oublient.

4. Chiffrement

  • En transit : TLS 1.3 partout (HTTPS strict)
  • Au repos : Postgres + R2 chiffrent avec AES-256 (standard industriel)
  • Mots de passe : hash bcrypt, jamais stockés en clair

5. Droit à l'effacement (RGPD Art. 17)

Dans Paramètres → Zone dangereuse → Supprimer mon compte :

  • Marquage immédiat
  • Effacement définitif sous 30 jours (rétention pour litiges éventuels)
  • Inclut documents, embeddings, brouillons, conversations chat, échéances
  • Tes mails BumbleBox ne sont PAS supprimés (ils restent chez BumbleBox)

6. Droit à la portabilité (RGPD Art. 20)

Bouton "Exporter mes données" dans Paramètres :

  • ZIP avec tous les documents originaux + métadonnées + classifications
  • Format JSON lisible
  • Disponible sous 24h après demande

7. Sous-traitants (le vrai test RGPD)

Liste publique de qui touche techniquement à tes données :

| Sous-traitant | Rôle | Région | DPA signé | |---|---|---|---| | Neon | Postgres + pgvector | Frankfurt (DE) | ✅ | | Cloudflare | R2 storage + CDN | Frankfurt + EU jurisdictions | ✅ | | Vercel | Hébergement Next.js | EU + global edge | ✅ | | Google | Gemini API (traitement texte) | UE | ✅ via AI for Developers | | BumbleBox | Bridge IMAP (option Pro) | UE | ✅ via leur DPA |

8. Ce qu'on ne fait pas

  • ❌ Pas de revente de données
  • ❌ Pas de tracking publicitaire (pas de Facebook Pixel, pas de Google Ads)
  • ❌ Pas d'analyse comportementale tierce (que Vercel Analytics anonymisé)
  • ❌ Pas de croisement entre comptes (ton conjoint en plan Famille n'accède qu'à TON espace partagé, pas tes docs privés)

En cas de réclamation

DPO (délégué à la protection des données) : dpo@alma.icraftnow.com

Et bien sûr, tu peux saisir la CNIL : https://www.cnil.fr

TL;DR : ALMA est conçue RGPD-first. Données chiffrées, stockées en Europe, pas de revente, droit à l'effacement en 1 clic, sous-traitants limités et tous DPA signés. Tu peux importer tes documents en confiance.