Politique de confidentialité.
Dernière mise à jour : 2 juin 2026 · Version 2.0
Éditeur : SIR Tecnologie — Auto-entrepreneur, SIREN 884 780 065, France
Présentation
Gwani est une solution de cybersécurité développée par SIR Tecnologie. Elle propose deux services principaux : une protection DLP (Data Loss Prevention) qui analyse les prompts saisis sur les plateformes d'IA générative avant envoi, et une formation cybersécurité gamifiée avec coach IA intégré.
La présente politique de confidentialité décrit les données collectées par Gwani, leur traitement et les droits dont vous disposez conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
Données collectées
Données traitées localement (jamais transmises)
- Contenu des prompts saisis sur les sites d'IA (analyse en temps réel, jamais stocké ni envoyé à nos serveurs)
- Données sensibles détectées par le module DLP (noms, emails, IBAN, NIR, SIRET, clés API, données RGPD Article 9) — analysées localement uniquement
Données stockées localement sur votre appareil
- Préférences utilisateur (activation DLP, sites surveillés, paramètres de notification)
- Progression de formation (XP, niveau, badges, série de jours, défis complétés, scores)
- Historique des conversations avec le coach IA (stocké localement)
Données transmises à nos serveurs (si fonctionnalité activée)
- Métadonnées d'audit DLP : horodatage, type de donnée détectée, site concerné, action prise (blocage, anonymisation). Le contenu sensible lui-même n'est jamais transmis.
- Questions posées au coach IA (envoyées au backend pour générer une réponse via un modèle de langage)
Gwani n'accède jamais à votre historique de navigation, vos mots de passe, vos fichiers personnels ou toute donnée en dehors des sites d'IA surveillés.
Fonctionnement du module DLP
Le module DLP fonctionne exclusivement sur les sites d'IA générative configurés (ChatGPT, Claude, Gemini, Copilot, Mistral). Lorsque vous saisissez du texte dans un champ de prompt :
- Gwani analyse le texte localement dans votre navigateur
- Si des données sensibles sont détectées, une alerte s'affiche avant l'envoi
- Vous pouvez choisir d'anonymiser, modifier ou annuler l'envoi
- Seules des métadonnées d'audit (sans le contenu sensible) peuvent être transmises au tableau de bord administrateur si cette option est activée
| Type de donnée | Traitement | Transmission |
|---|---|---|
| Noms, emails, téléphones | Local Analyse en temps réel | Aucune |
| NIR, IBAN, SIRET/SIREN | Local Analyse en temps réel | Aucune |
| Clés API, mots de passe | Local Analyse en temps réel | Aucune |
| Données RGPD Article 9 | Local Analyse en temps réel | Aucune |
| Métadonnées d'audit | Horodatage, type, action | Optionnel (dashboard admin) |
Lorsqu'un événement d'analyse est journalisé, le contenu du prompt n'est jamais stocké en clair : seule une empreinte cryptographique (hash SHA-256, irréversible) est conservée, accompagnée du niveau de risque et de la décision prise.
Stockage des données
Les données de préférence et de progression sont stockées localement sur votre appareil via l'API chrome.storage.local. Elles ne quittent jamais votre navigateur sauf si vous activez explicitement la synchronisation avec le tableau de bord administrateur.
Les données transmises à nos serveurs sont hébergées sur des serveurs sécurisés en Europe (Hetzner, Allemagne/Finlande), conformément aux exigences de localisation du RGPD.
Transfert et partage des données
- Nous ne vendons jamais vos données à des tiers
- Nous ne partageons pas vos données avec des annonceurs
Sous-traitants et localisation
- Hébergement : Hetzner Online GmbH (Allemagne/Finlande, Union européenne) — certifié ISO 27001
- Paiements : Stripe (États-Unis) — uniquement les données de facturation des clients, encadré par des clauses contractuelles types (CCT) ; aucune donnée de carte bancaire ne transite par nos systèmes
- Modèles de langage (coach IA, génération de rapports) : les contenus transmis aux API d'IA (Anthropic, OpenAI, Mistral — selon la configuration choisie par votre organisation) sont préalablement anonymisés par le moteur DLP : les données personnelles et sensibles sont remplacées par des marqueurs (
[MASQUÉ]) avant tout envoi
Si votre employeur a déployé Gwani (rôle de sous-traitant)
Lorsque Gwani est déployé par votre employeur pour protéger les données de l'entreprise, votre employeur est responsable de traitement et SIR Tecnologie agit en qualité de sous-traitant (article 28 du RGPD), sur instructions documentées de votre employeur.
Dans ce cadre : votre employeur est tenu de vous informer du déploiement de l'outil ; les tableaux de bord qui lui sont fournis sont agrégés et ne donnent jamais accès au contenu de vos messages ; et le contrat qui nous lie à votre employeur lui interdit d'utiliser ces données à des fins disciplinaires.
Base légale du traitement (RGPD)
- Exécution du contrat (Art. 6.1.b) : le traitement des données est nécessaire à la fourniture des services DLP et de formation
- Intérêt légitime (Art. 6.1.f) : l'analyse locale des prompts pour la protection contre les fuites de données répond à un intérêt légitime de sécurité
- Consentement (Art. 6.1.a) : la transmission optionnelle des métadonnées d'audit au tableau de bord administrateur est soumise à votre activation explicite
Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer à certains traitements
- Droit à la limitation : restreindre le traitement de vos données
Pour les données stockées localement, vous pouvez les supprimer à tout moment depuis les paramètres de Gwani.
Si Gwani est déployé par votre employeur : adressez votre demande en priorité à votre employeur (responsable de traitement). Vous pouvez aussi nous écrire directement — nous transmettrons votre demande à votre employeur sous 72 heures et l'assisterons dans sa réponse, qui doit intervenir sous un mois.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL .
Durée de conservation
- Données locales : conservées tant que Gwani est actif. Supprimées à la désactivation.
- Événements d'analyse DLP (métadonnées + hash) : conservés 90 jours maximum sur nos serveurs, puis supprimés automatiquement chaque nuit.
- Événements impliquant des données particulièrement sensibles (santé, opinions, appartenance syndicale… — article 9 du RGPD) : conservation réduite à 30 jours maximum.
- Historique coach IA : conservé localement uniquement. Non transmis à nos serveurs.
- Données de facturation : 10 ans (obligation légale comptable).
Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement de toutes les communications (HTTPS/TLS)
- Contenu des prompts jamais stocké en clair (empreinte SHA-256 irréversible uniquement)
- Mots de passe protégés par hachage renforcé (bcrypt) avec verrouillage de compte anti force brute
- Conteneurs Docker isolés, non privilégiés, avec systèmes de fichiers en lecture seule
- Pare-feu et protection DDoS (Cloudflare), bases de données inaccessibles depuis Internet
- Analyse de vulnérabilités continue et bloquante (Trivy, TruffleHog, audits de dépendances) avant chaque mise en production
- Journalisation d'audit des actions d'administration, suppression automatique des données à l'échéance de conservation
- Hébergement certifié ISO 27001 (Hetzner) ; démarche de certification ISO 27001 de SIR Tecnologie en cours
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et les personnes ou organisations concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
Mineurs
Gwani est destiné à un usage professionnel en entreprise. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et que vous pensez que votre enfant a utilisé Gwani, contactez-nous pour que nous supprimions les données concernées.
Cookies & traceurs
Conformément à la recommandation de la CNIL du 17 septembre 2020 et à l'article 82 de la loi Informatique et Libertés, nous vous informons de l'utilisation de cookies et traceurs sur gwani.fr.
Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site. Ils ne nécessitent pas votre consentement.
- Préférence de consentement aux cookies (gwani_consent) — durée : 12 mois
- Session d'authentification (si espace client) — durée : session
Cookies analytiques (soumis à consentement)
Avec votre accord, nous utilisons une solution d'analyse d'audience auto-hébergée et respectueuse de la vie privée :
- Umami Analytics — hébergé sur analytics.gwani.fr (serveurs en Europe), sans cookie tiers, sans transfert hors UE, sans collecte d'adresse IP complète
- Données collectées : pages visitées, durée de visite, type d'appareil (anonymisé)
- Durée de conservation : 24 mois
Cookies marketing (soumis à consentement)
Aucun cookie publicitaire ou de reciblage n'est déposé sur gwani.fr. Nous n'utilisons pas Google Analytics, Facebook Pixel ni aucun outil de tracking tiers.
Vous pouvez à tout moment modifier vos préférences cookies via le bouton « Gérer les cookies » en bas de chaque page, ou en supprimant les cookies de votre navigateur.
Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité pour refléter des évolutions de nos pratiques ou des exigences légales. En cas de modification substantielle, nous vous informerons via une notification dans Gwani. La date de dernière mise à jour est indiquée en haut de ce document.
Contact
Pour toute question relative à cette politique de confidentialité ou pour exercer vos droits :
SIR Tecnologie
Responsable du traitement : Ramzi Sidi Ibrahim
Email : [email protected]
SIREN : 884 780 065
TVA : FR03884780065