1. Préambule et identité du responsable
Cette politique de confidentialité décrit comment Mathieu Lamrani, entrepreneur individuel (SIREN 992617142), traite les données à caractère personnel dans le cadre du service Lizi.
Référent RGPD : Mathieu Lamrani — contact@lizi-ai.com
2. Notre double rôle au sens du RGPD
Lizi est un service B2B. Notre rôle au sens du RGPD est dual :
| Type de données | Notre rôle | Responsable de traitement |
|---|---|---|
| Données du compte SaaS (identité, abonnement, facturation, logs d'usage) | Responsable de traitement | Mathieu Lamrani |
| Contenu des emails, métadonnées, événements calendrier, données présentes dans la boîte Gmail | Sous-traitant (art. 28 RGPD) | L'entreprise cliente / l'utilisateur professionnel |
Un Accord de Sous-Traitance (DPA) est disponible ici et également sur simple demande à contact@lizi-ai.com. Il sera intégré aux CGV dès la phase payante (1ᵉʳ novembre 2026).
3. Données collectées et finalités
3.1 Données de compte (responsable de traitement)
| Donnée | Finalité | Base légale |
|---|---|---|
| Email, nom, prénom (via Google OAuth) | Création et gestion du compte | Exécution du contrat |
| Tokens d'authentification Google (chiffrés AES-256-GCM) | Accès aux API Google autorisées | Exécution du contrat |
| Données d'usage du service | Amélioration du service | Intérêt légitime |
| Logs techniques (adresse IP, navigateur) | Sécurité et débogage | Intérêt légitime |
| Données de facturation (à partir du 01/11/2026) | Facturation, comptabilité | Obligation légale |
| Email de communications service | Notifications de service | Intérêt légitime |
| Email marketing (newsletter, nouveautés) | Communication commerciale | Consentement (opt-in) |
3.2 Données traitées dans la boîte de l'utilisateur (sous-traitant)
Dans le cadre du service, Lizi traite pour le compte de l'utilisateur les données suivantes :
- Contenu des emails (objet, corps, expéditeur, destinataires, date, fil de discussion)
- Événements de calendrier (titre, dates, participants, descriptions)
- Tâches, notes et brouillons créés par l'utilisateur
Important : pour générer un triage, un résumé ou un brouillon de réponse, le contenu des emails est transmis à l'API Claude (Anthropic). Ce traitement est exécuté à la demande de l'utilisateur, dans le cadre du service.
3.3 Ce que nous ne faisons jamais
- ❌ Nous ne vendons aucune donnée à des tiers
- ❌ Nous ne collectons jamais vos mots de passe
- ❌ Nous ne conservons pas les pièces jointes des emails sur nos serveurs
- ❌ Vos données restent les vôtres — jamais réutilisées pour entraîner des modèles d'IA
4. Sous-traitants et transferts de données
| Sous-traitant | Rôle | Siège | Hébergement effectif | Transfert hors UE |
|---|---|---|---|---|
| Supabase Inc. | Base de données, authentification | États-Unis | AWS Paris (eu-west-3) | CCT |
| Anthropic, PBC | API Claude — analyse IA | États-Unis | États-Unis | DPF + CCT |
| Google LLC | API Gmail, Calendar, Tasks | États-Unis | Centres Google (UE et hors-UE) | DPF |
| Stripe Payments Europe Ltd. (à partir du 01/11/2026) | Paiement et facturation | Irlande | Union Européenne | CCT |
| Vercel Inc. | Hébergement de l'application web | États-Unis | Régions Vercel (incl. UE) | CCT |
Sur Anthropic spécifiquement : le contenu transmis à l'API Claude n'est jamais réutilisé pour entraîner les modèles — vos données restent les vôtres. Anthropic conserve les requêtes pendant 30 jours maximum à des fins de sécurité, puis les supprime automatiquement. Anthropic adhère au Data Privacy Framework (DPF).
5. Durées de conservation
| Type de donnée | Durée |
|---|---|
| Données de compte | Durée de l'abonnement + 30 jours après résiliation |
| Tokens OAuth Google | Tant que le compte est actif |
| Résumés IA et caches de triage | 7 jours — suppression automatique |
| Tâches, notes créées par l'utilisateur | Durée de l'abonnement |
| Logs techniques | 30 jours |
| Données de facturation (à partir du 01/11/2026) | 10 ans (obligation légale) |
| Requêtes API Claude (chez Anthropic) | 30 jours maximum |
6. Décisions automatisées et profilage
Le service Lizi effectue des traitements automatisés sur le contenu des emails de l'utilisateur, notamment :
- Catégorisation des emails par priorité
- Suggestion de brouillons de réponse
- Génération de résumés et briefings
Ces traitements sont effectués à la demande de l'utilisateur et ne produisent aucun effet juridique à son égard. L'utilisateur reste seul responsable de l'envoi effectif de tout email et de toute action prise sur la base des suggestions de l'IA.
7. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement (art. 17)
- Droit à la limitation (art. 18)
- Droit à la portabilité (art. 20)
- Droit d'opposition (art. 21)
- Droit de retrait du consentement
- Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés)
Modalités d'exercice : envoyez votre demande à contact@lizi-ai.com, accompagnée d'un justificatif d'identité. Réponse dans un délai d'un mois. Exercice gratuit.
Réclamation : CNIL — www.cnil.fr
8. Sécurité
- Connexion utilisateur exclusivement via Google OAuth 2.0
- Tokens d'authentification chiffrés AES-256-GCM au repos
- Communications chiffrées via TLS 1.2+
- Hébergement des données principales en France (AWS Paris)
- Contrôle d'accès strict : accès aux données uniquement par Mathieu Lamrani, sur authentification forte
- Sauvegardes chiffrées quotidiennes
- Surveillance des accès et journalisation
9. Notification d'incident
En cas de violation de données à caractère personnel, Lizi s'engage à :
- Notifier la CNIL dans un délai de 72 heures (art. 33 RGPD)
- Notifier les utilisateurs concernés sans délai injustifié si risque élevé (art. 34 RGPD)
- Notifier les entreprises clientes dans les meilleurs délais
10. Analyse d'Impact (AIPD)
Compte tenu du traitement systématique de correspondances professionnelles à l'aide d'intelligence artificielle, Lizi a engagé une AIPD conformément à l'art. 35 RGPD. Une synthèse est disponible sur demande à contact@lizi-ai.com.
11. Cookies
Lizi utilise exclusivement des cookies techniques strictement nécessaires au fonctionnement du service (authentification, session). Aucun cookie publicitaire, analytique tiers ou de profilage n'est utilisé.
12. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, les utilisateurs seront notifiés par email au moins 30 jours avant la prise d'effet.
13. Contact
Mathieu Lamrani — Référent RGPD
60 rue François 1er, 75008 Paris
SIREN : 992617142