Aller au contenu principal
Certi-fy

Conformité RGPD

Notre engagement concret pour la protection de vos données.

Dernière mise à jour : 14 mars 2026

Notre approche : RGPD by design

Certi-fy a été conçu dès l'origine avec la protection des données comme principe fondamental. Nous ne nous conformons pas au RGPD après coup : c'est le socle de notre architecture technique et de nos processus métier.

Les 5 piliers de notre conformité

1. Minimisation des données

Nous ne collectons que les données strictement nécessaires à la fourniture du service. Pas de profilage, pas de traceurs publicitaires, pas de collecte de données comportementales.

2. Suppression automatique

Chaque image soumise est automatiquement et définitivement supprimée de nos serveurs 1 heure après l'analyse. Ce processus est irréversible et ne nécessite aucune action de votre part.

3. Hébergement souverain

L'intégralité de notre infrastructure est hébergée chez OVHcloud, sur des serveurs physiquement situés en France (Roubaix). Aucune donnée ne transite ou n'est stockée en dehors de l'Union Européenne.

Nos sous-traitants techniques (hébergement, paiement) sont tous soumis au droit européen et ont signé des clauses contractuelles conformes à l'article 28 du RGPD.

4. Anonymisation EXIF

Les métadonnées EXIF contenues dans vos images (coordonnées GPS, nom de l'auteur, numéro de série de l'appareil) sont automatiquement anonymisées avant tout traitement d'analyse. Seules les données techniques (dimensions, format, modèle d'appareil) sont conservées pour l'analyse.

5. Pas d'entraînement IA

Vos images ne sont jamais utilisées pour entraîner, améliorer ou affiner un modèle d'intelligence artificielle. C'est un engagement contractuel, pas une simple déclaration d'intention.

Registre des traitements

Conformément à l'article 30 du RGPD, nous tenons un registre des activités de traitement. Les principales opérations sont :

  • Gestion des comptes : base légale = exécution du contrat. Durée = durée du compte + 3 ans.
  • Analyse d'images : base légale = exécution du contrat. Durée = 1 heure.
  • Génération de certificats : base légale = exécution du contrat. Durée = empreinte SHA-256 conservée indéfiniment, image source supprimée.
  • Facturation : base légale = obligation légale. Durée = 10 ans.

Mesures de sécurité

  • Chiffrement TLS 1.3 pour toutes les communications
  • Chiffrement AES-256 des données au repos
  • Authentification à deux facteurs disponible
  • Journalisation et surveillance des accès
  • Tests d'intrusion réguliers par un prestataire indépendant
  • Plan de continuité et de reprise d'activité

Vos droits

Vous pouvez exercer vos droits (accès, rectification, suppression, portabilité, opposition, limitation) en contactant notre Délégué à la Protection des Données :

  • E-mail : dpo@certi-fy.fr
  • Courrier : DPO Certi-fy, 2 Boulevard Pablo Picasso, 94000 Créteil
  • Délai de réponse : 30 jours maximum

En cas de désaccord, vous pouvez saisir la CNIL : www.cnil.fr.

Conformité AI Act

En anticipation du règlement européen sur l'intelligence artificielle (AI Act), Certi-fy intègre d'ores et déjà les exigences de transparence applicables aux systèmes d'IA. Chaque certificat mentionne explicitement le cadre réglementaire applicable et les limites techniques de l'analyse.