Politique de confidentialité
POLITIQUE DE CONFIDENTIALITÉ
Dernière mise à jour : 12 mai 2026
1. Identité du responsable de traitement
Le responsable de traitement des données personnelles collectées via le service Replay est :
NINETWELVE 13 rue Claudius Linossier, 69004 Lyon, France RCS Lyon n° 940 174 931 contact@customity.fr — +33 9 74 98 74 75
2. Périmètre d'application
La présente politique s'applique à toute personne utilisant le service Replay (l'« Utilisateur »), ainsi qu'à toute personne dont la voix ou les propos apparaissent dans un enregistrement traité via le service (le « Participant »).
Elle ne s'applique pas aux traitements effectués par les Utilisateurs professionnels sur leurs propres données — ces traitements sont encadrés par l'article 11 ci-dessous.
3. Données collectées et finalités
3.1 Données de compte
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom, email | Création et gestion du compte | Exécution du contrat (Art. 6.1.b) |
| Mot de passe (haché) | Authentification | Exécution du contrat (Art. 6.1.b) |
| Date d'inscription, dernière connexion | Sécurité, lutte contre la fraude | Intérêt légitime (Art. 6.1.f) |
3.2 Données d'enregistrement
| Donnée | Finalité | Base légale |
|---|---|---|
| Fichier audio | Transcription, stockage temporaire pendant traitement | Exécution du contrat (Art. 6.1.b) |
| Transcription textuelle | Enrichissement, recherche sémantique, archivage | Exécution du contrat (Art. 6.1.b) |
| Résumé, titre, interlocuteurs générés | Enrichissement du contenu | Exécution du contrat (Art. 6.1.b) |
| Vecteurs d'embeddings textuels | Recherche sémantique cross-enregistrements | Exécution du contrat (Art. 6.1.b) |
Le fichier audio peut être supprimé par l'Utilisateur indépendamment de la transcription. La suppression de l'audio n'entraîne pas la suppression de la transcription ni des enrichissements associés.
3.3 Données biométriques — vecteurs vocaux
Replay propose une fonctionnalité d'identification automatique des intervenants dans les enregistrements. À cette fin, un vecteur mathématique représentatif des caractéristiques vocales de chaque Participant est généré et stocké.
Ces vecteurs constituent des données biométriques au sens de l'Article 9 du RGPD.
- Base légale : consentement explicite de l'Utilisateur (Art. 9.2.a), lequel déclare, lors de l'activation de cette fonctionnalité, avoir obtenu le consentement des Participants concernés conformément à l'article 10 ci-dessous.
- Stockage : base de données sécurisée hébergée dans l'Union Européenne (Supabase — voir article 7).
- Format : vecteur numérique de 256 dimensions. L'audio source n'est pas conservé à l'issue du traitement.
- Finalité exclusive : identification des intervenants au sein des enregistrements de l'Utilisateur. Ces vecteurs ne sont ni croisés entre comptes, ni utilisés à d'autres fins.
- Suppression : à la suppression du participant ou du compte, les vecteurs associés sont supprimés définitivement.
3.4 Données de facturation
| Donnée | Finalité | Base légale |
|---|---|---|
| Historique des achats, solde de crédits | Gestion des packs, litiges | Obligation légale (Art. 6.1.c) |
| Données de paiement tokenisées | Recharge automatique | Exécution du contrat (Art. 6.1.b) |
Les données de carte bancaire sont tokenisées et gérées par Revolut Business. NINETWELVE ne stocke aucun numéro de carte en clair.
3.5 Données techniques
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP, user-agent | Sécurité, débogage | Intérêt légitime (Art. 6.1.f) |
| Logs d'utilisation | Amélioration du service | Intérêt légitime (Art. 6.1.f) |
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Données de compte | Durée de vie du compte + 3 ans après résiliation |
| Fichiers audio | Jusqu'à suppression par l'Utilisateur |
| Transcriptions et enrichissements | Jusqu'à suppression par l'Utilisateur ou clôture du compte |
| Vecteurs vocaux | Jusqu'à suppression du participant ou clôture du compte |
| Données de facturation | 10 ans (obligation comptable légale) |
| Logs techniques | 12 mois glissants |
5. Sous-traitants techniques
NINETWELVE fait appel aux sous-traitants suivants. Chacun est lié par un Data Processing Agreement conforme au RGPD.
| Sous-traitant | Rôle | Localisation des données |
|---|---|---|
| Supabase (Supabase Inc.) | Base de données, authentification, stockage fichiers | Union Européenne |
| AssemblyAI | Transcription audio, diarisation, identification des intervenants | Union Européenne (endpoint api.eu.assemblyai.com) |
| Hetzner Online GmbH | Hébergement applicatif, VPS, Object Storage | Allemagne (UE) |
| OpenAI (OpenAI OpCo, LLC) | Génération de vecteurs d'embeddings textuels | États-Unis — voir article 6 |
| Anthropic (Anthropic PBC) | Génération de résumés et enrichissements | États-Unis — voir article 6 |
| Resend (Resend Inc.) | Envoi d'emails transactionnels | États-Unis — voir article 6 |
| Revolut Business | Traitement des paiements | Union Européenne |
6. Transferts de données hors Union Européenne
Trois sous-traitants sont établis aux États-Unis : OpenAI, Anthropic et Resend.
Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914), constituant une garantie appropriée au sens de l'Article 46 du RGPD.
Nature des données transférées :
- Vers OpenAI : fragments de texte issus des transcriptions, aux fins de génération d'embeddings sémantiques.
- Vers Anthropic : transcriptions complètes, aux fins de génération de résumés et d'enrichissements.
- Vers Resend : adresse email et prénom de l'Utilisateur, aux fins d'envoi d'emails transactionnels.
Aucune donnée biométrique (vecteur vocal) n'est transférée hors de l'Union Européenne.
7. Sécurité
NINETWELVE met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit (TLS 1.2 minimum) et au repos
- Accès aux données restreint au personnel habilité
- Authentification forte sur l'ensemble des services d'infrastructure
- Journalisation des accès aux données sensibles
- Politique de suppression effective des données biométriques
8. Cookies et traceurs
Le service Replay utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie publicitaire ou de tracking tiers n'est déposé.
9. Droits des personnes concernées
Conformément au RGPD, toute personne concernée dispose des droits suivants :
- Droit d'accès (Art. 15) : obtenir une copie des données vous concernant
- Droit de rectification (Art. 16) : corriger des données inexactes
- Droit à l'effacement (Art. 17) : demander la suppression de vos données
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré
- Droit d'opposition (Art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime
- Droit de retrait du consentement : applicable notamment aux données biométriques (Art. 7.3)
- Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr)
Exercice des droits : demande écrite à contact@customity.fr. Réponse sous 30 jours. Une pièce d'identité peut être demandée pour les données sensibles.
Cas particulier des Participants : toute personne dont la voix a été traitée via Replay sans être titulaire d'un compte peut exercer ses droits à la même adresse, en précisant le contexte de l'enregistrement. NINETWELVE transmettra la demande à l'Utilisateur concerné, en sa qualité de responsable de traitement, ou traitera directement la demande si elle porte sur les vecteurs vocaux stockés en son nom.
10. Responsabilité de l'Utilisateur à l'égard des Participants
L'Utilisateur est seul responsable du respect des obligations légales applicables aux Participants dont il enregistre la voix ou les propos, notamment :
- L'obligation d'information préalable des Participants sur l'existence et la finalité de l'enregistrement (Art. 13 RGPD)
- L'obtention du consentement explicite des Participants pour le traitement de leurs données biométriques, préalablement à l'activation de la fonctionnalité d'identification vocale
- Le respect du droit au secret des correspondances et des dispositions de l'article 226-1 du Code pénal relatif à l'enregistrement de conversations privées à l'insu des participants
NINETWELVE ne saurait être tenu responsable du non-respect par l'Utilisateur de ces obligations.
11. Utilisateurs professionnels — NINETWELVE en tant que sous-traitant
Lorsqu'un Utilisateur professionnel utilise Replay dans le cadre de son activité pour traiter des données personnelles appartenant à ses propres clients, employés ou partenaires, cet Utilisateur agit en qualité de responsable de traitement et NINETWELVE en qualité de sous-traitant au sens de l'Article 28 du RGPD.
Dans ce cadre :
- NINETWELVE traite les données exclusivement sur instruction documentée de l'Utilisateur professionnel
- Les données ne sont pas utilisées par NINETWELVE à d'autres fins que la fourniture du service
- Un Data Processing Agreement (DPA) encadrant cette relation est disponible sur demande à contact@customity.fr
L'Utilisateur professionnel reste responsable de la licéité de ses propres traitements, de l'information de ses personnes concernées, et de la conformité de son usage de Replay à sa propre politique de confidentialité.
12. Modifications
NINETWELVE se réserve le droit de modifier la présente politique. En cas de modification substantielle, l'Utilisateur sera informé par email au moins 30 jours avant l'entrée en vigueur de la nouvelle version. La version en vigueur est toujours accessible à l'adresse replay.customity.fr/confidentialite.