Politique de Confidentialité et Protection des Données Personnelles

Date de dernière mise à jour : 26 janvier 2026 Version : 2.4 — Agents IA Externes MCP/UCP (Section 21)

Préambule

La présente Politique de Confidentialité (ci-après la « Politique ») a pour objet de vous informer sur les moyens que nous mettons en œuvre pour collecter, traiter, protéger et sécuriser vos données à caractère personnel, dans le respect le plus strict de vos droits et de la réglementation en vigueur.

G2 CARE (ci-après « SAABA », « nous », « notre ») s'engage à respecter la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »), ainsi que le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (« RGPD »).

Certification HDS : Pour le stockage des documents sensibles (pièces d'identité, justificatifs médicaux), SAABA utilise un hébergeur certifié HDS (Hébergement de Données de Santé) conforme aux exigences de l'article L.1111-8 du Code de la santé publique.

1. QUI EST LE RESPONSABLE DE TRAITEMENT ?

Le responsable de traitement de vos données personnelles est :

G2 CARE (nom commercial « SAABA ») Société par actions simplifiée (SAS) Siège social : 61 rue du Rouet, 13008 Marseille, France RCS Marseille : 907 982 342 N° TVA intracommunautaire : FR22907982342

Contact :

Email général : contact@saaba.fr
Téléphone : 09 52 89 58 11

2. POINT DE CONTACT RGPD (DPO)

Nous avons nommé un point de contact en matière de protection des données à caractère personnel (Data Protection Officer - DPO), dont les coordonnées sont les suivantes :

Email DPO : rgpd@saaba.fr

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez contacter notre DPO à cette adresse.

3. DÉFINITIONS

Dans le cadre de la présente Politique, les termes suivants ont la signification qui leur est attribuée ci-dessous :

Visiteur : Toute personne naviguant sur le Site www.saaba.fr sans nécessairement créer de compte.
Utilisateur : Toute personne ayant créé un compte sur la Plateforme (Intervenant, Bénéficiaire, Aidant).
Intervenant : Professionnel de l'aide à la personne proposant ses services sur la Plateforme.
Bénéficiaire : Personne (senior, personne en perte d'autonomie) bénéficiant des services d'un Intervenant.
Aidant : Proche aidant ou aidant familial agissant pour le compte d'un Bénéficiaire.
Plateforme ou Site : Le site internet accessible à l'adresse www.saaba.fr et l'ensemble de ses fonctionnalités.
Données à caractère personnel : Toutes données qui permettent d'identifier un individu directement ou par recoupement avec d'autres données (nom, prénom, email, téléphone, adresse IP, localisation, photos, etc.).
Zone A (Vitrine) : Infrastructure d'hébergement standard pour les données publiques et non sensibles.
Zone B (Coffre-Fort HDS) : Infrastructure certifiée HDS pour le stockage sécurisé des documents sensibles.

4. ARCHITECTURE D'HÉBERGEMENT — DUAL-ZONE

SAABA utilise une architecture Dual-Zone pour garantir à la fois la performance de la plateforme et la sécurité maximale de vos données sensibles :

Zone A — Vitrine & Performance

| Composant | Hébergeur | Localisation | |-----------|-----------|--------------| | Application web | Vercel | Edge Network (Europe) | | Base de données | MongoDB Atlas | AWS Paris (eu-west-3) | | CDN & Images | Vercel Edge | Global CDN |

Données stockées en Zone A :

Profils publics (nom, prénom, photo de profil)
Messages de la messagerie interne
Statistiques et métadonnées de navigation
Signaux de validation (statuts, dates, sans le contenu des documents)

Zone B — Coffre-Fort HDS (Données Sensibles)

| Composant | Hébergeur | Localisation | Certification | |-----------|-----------|--------------|---------------| | Documents sensibles | Scaleway | Paris DC5 (France) | HDS (ISO 27001, HDS 1.1) | | Stockage objet | Scaleway Object Storage | Paris (fr-par) | Chiffrement AES-256 |

Données stockées en Zone B :

Pièces d'identité (CNI, passeport, titre de séjour)
Diplômes et certifications professionnelles
Attestations médicales et justificatifs de santé
Justificatifs de domicile
RIB et documents bancaires

Principe « Signal vs Preuve »

SAABA applique le principe de séparation Signal/Preuve :

Signal (Zone A) : Métadonnées légères indiquant qu'un document a été vérifié (ex: "CNI vérifiée le 15/12/2025")
Preuve (Zone B) : Document original stocké de manière sécurisée, accessible uniquement via URL signée temporaire

Cette architecture permet d'optimiser la performance (les pages se chargent rapidement) tout en garantissant la sécurité maximale des documents sensibles.

5. QUELLES DONNÉES COLLECTONS-NOUS ?

Nous collectons des données personnelles qui relèvent des catégories suivantes :

A. Pour les Visiteurs du Site

Si vous êtes un Visiteur, nous collectons :

Données d'identification : Nom, prénom, adresse email, adresse postale, numéro de téléphone (si vous nous contactez).
Données de navigation : Adresse IP, pages consultées, date et heure de connexion, navigateur utilisé, système d'exploitation, user ID, IFA (identifiant publicitaire).
Données de contact : Toute information que vous souhaitez nous transmettre dans le cadre de votre demande de contact (formulaire de contact, email).

B. Pour les Intervenants

Si vous êtes un Intervenant, nous collectons :

Données d'identification : Nom, prénom, photographie, adresse email, adresse postale, numéro de téléphone.
Données relatives à votre vie professionnelle : Poste/fonction, entreprise, SIRET (si applicable), certifications, formations, diplômes, expériences professionnelles.
Documents sensibles (stockés en Zone B HDS) : Pièce d'identité, diplômes, attestations, casier judiciaire (bulletin n°3), RIB.
Données de connexion : Logs de connexion, mots de passe chiffrés, adresse IP.
Données de navigation : Pages consultées, date et heure de connexion, navigateur utilisé, système d'exploitation.
Données économiques et financières : RIB, factures, devis, transactions (historique des paiements via Stripe).
Données de messagerie : Messages échangés avec les Bénéficiaires/Aidants via la Plateforme.
Données comportementales : Taux de complétion du profil, taux d'acceptation des demandes, temps de réponse moyen, actions réalisées sur la Plateforme (utilisées pour le scoring de qualité et la gamification).

C. Pour les Bénéficiaires et Aidants

Si vous êtes un Bénéficiaire ou un Aidant, nous collectons :

Données d'identification : Nom, prénom, adresse email, adresse postale, numéro de téléphone, vos Intervenants favoris.
Documents sensibles (stockés en Zone B HDS) : Pièce d'identité, justificatifs de domicile, attestations médicales.
Données de connexion : Logs de connexion, mots de passe chiffrés, adresse IP.
Données de navigation : Pages consultées, date et heure de connexion, navigateur utilisé, système d'exploitation.
Données de messagerie : Messages échangés avec les Intervenants via la Plateforme.
Données de santé : Lors de l'utilisation de la messagerie de la Plateforme, vous pouvez être amenés à transmettre des données de santé vous concernant. Ces données ne sont conservées qu'avec votre consentement exprès via la case à cocher disponible au moment de la création de votre compte. Vous pouvez retirer votre consentement à tout moment en nous écrivant à : rgpd@saaba.fr

D. Métadonnées des Images (EXIF et GPS)

Si vous téléversez des images sur la Plateforme (photos de profil, photos de prestations, etc.), nous pouvons extraire et exploiter les métadonnées EXIF (appareil photo, date, paramètres techniques) et les données de localisation GPS (coordonnées géographiques, ville, région) contenues dans ces images.

Important : Ces métadonnées sont des données personnelles au sens du RGPD. Leur extraction et exploitation nécessitent votre consentement exprès et granulaire (EXIF séparé de GPS).

Résumé :

Métadonnées EXIF : Appareil photo, date, paramètres techniques, dimensions → Utilisées pour authenticité SEO, optimisation technique, analyse IA Vision.
Données GPS : Coordonnées géographiques (latitude, longitude), ville, région → Utilisées pour SEO local, authenticité (preuve de localisation). Les coordonnées GPS exactes sont floutées par défaut (~500m de précision) pour protéger votre vie privée.

Consentement :

EXIF : Consentement par défaut (coché), révocable à tout moment.
GPS : Pas de consentement par défaut (décoché), consentement explicite requis, révocable à tout moment.

E. Données obligatoires et facultatives

Les données marquées comme obligatoires (signalées par tous moyens, notamment par un astérisque *) sont nécessaires pour l'utilisation des Services. En l'absence de ces données, vous ne pourrez pas accéder à certaines fonctionnalités de la Plateforme.

Les données facultatives permettent d'améliorer votre expérience utilisateur mais ne sont pas nécessaires pour l'utilisation des Services.

6. SUR QUELLES BASES LÉGALES ET POUR QUELLES FINALITÉS TRAITONS-NOUS VOS DONNÉES ?

Nous traitons vos données personnelles sur les bases légales suivantes, conformément à l'article 6 du RGPD :

A. Pour les Visiteurs

| Finalité | Base légale | Durée de conservation | |----------|-------------|----------------------| | Traiter votre demande de contact | Exécution de mesures précontractuelles prises à la demande du Visiteur (Art. 6.1.b RGPD) | Durée du traitement de votre demande | | Constituer un fichier de Visiteurs (prospects) | Notre intérêt légitime à développer et promouvoir notre activité (Art. 6.1.f RGPD) | 3 ans à compter du dernier contact |

B. Pour les Intervenants

| Finalité | Base légale | Durée de conservation | |----------|-------------|----------------------| | Fournir nos Services disponibles sur la Plateforme via votre compte | Exécution de mesures précontractuelles prises à votre demande et/ou exécution du contrat (Art. 6.1.b RGPD) | Durée de votre compte. Logs : 1 an. Compte inactif 2 ans : suppression après email réactivation. Archive probatoire : 5 ans. | | Vérifier votre identité et vos qualifications professionnelles | Exécution du contrat et obligation légale (Art. 6.1.b et 6.1.c RGPD) | CNI/Passeport : 90 jours après vérification. Diplômes : 10 ans. | | Effectuer les opérations relatives à la gestion des Intervenants (contrats, devis, factures, suivi relation) | Exécution du contrat (Art. 6.1.b RGPD) | Durée relation contractuelle. Archive (hors données bancaires) : 5 ans. | | Gérer les paiements via Stripe Connect | Exécution du contrat (Art. 6.1.b RGPD) | Factures : 10 ans. Transactions : 5 ans. Données bancaires : gérées par Stripe. | | Constituer un fichier d'Intervenants (utilisateurs et prospects) | Notre intérêt légitime à développer et promouvoir notre activité (Art. 6.1.f RGPD) | Utilisateurs : durée relation. Prospects : 3 ans après dernier contact. | | Adresser des newsletters, sollicitations et messages promotionnels | Notre intérêt légitime à fidéliser et informer les Intervenants (Art. 6.1.f RGPD) | 3 ans à compter du dernier contact |

C. Pour les Bénéficiaires et Aidants

| Finalité | Base légale | Durée de conservation | |----------|-------------|----------------------| | Fournir nos Services disponibles sur la Plateforme via votre compte | Exécution de mesures précontractuelles prises à votre demande et/ou exécution du contrat (Art. 6.1.b RGPD) | Durée de votre compte. Logs : 1 an. Compte inactif 2 ans : suppression après email réactivation. Archive probatoire : 5 ans. | | Traiter vos données de santé (si vous en partagez via la messagerie) | Votre consentement exprès (Art. 6.1.a et Art. 9.2.a RGPD) | Jusqu'au retrait de votre consentement | | Stocker vos documents médicaux (attestations, ordonnances) | Votre consentement exprès (Art. 9.2.a RGPD) | 10 ans (conformité médicale) ou jusqu'au retrait de votre consentement | | Gérer vos avis sur nos produits, services ou contenus | Notre intérêt légitime à recueillir votre avis (Art. 6.1.f RGPD) | 2 ans à compter de la publication de l'avis | | Constituer un fichier de Bénéficiaires (utilisateurs et prospects) | Notre intérêt légitime à développer et promouvoir notre activité (Art. 6.1.f RGPD) | Utilisateurs : durée relation. Prospects : 3 ans après dernier contact. | | Adresser des newsletters, sollicitations et messages promotionnels | Votre consentement (Art. 6.1.a RGPD) | 3 ans à compter du dernier contact ou jusqu'au retrait de votre consentement |

D. Pour tous les utilisateurs

| Finalité | Base légale | Durée de conservation | |----------|-------------|----------------------| | Répondre à vos demandes d'information | Notre intérêt légitime à répondre à vos demandes (Art. 6.1.f RGPD) | Durée traitement de votre demande, puis suppression | | Élaborer des statistiques (navigation, audience, etc.) et améliorer les fonctionnalités du Site (cookies de mesure d'audience) | Votre consentement (Art. 6.1.a RGPD) | 25 mois | | Gérer les demandes d'exercice de droits (RGPD) | Notre intérêt légitime à répondre à vos demandes et à conserver un suivi (Art. 6.1.f RGPD) | Justificatif d'identité : durée vérification, puis suppression. Opposition prospection : 3 ans. | | Se conformer aux obligations légales applicables à notre activité (facturation, comptabilité, etc.) | Se conformer à nos obligations légales et règlementaires (Art. 6.1.c RGPD) | Factures : 10 ans. Transactions (hors données bancaires) : 5 ans. |

E. Métadonnées des images (EXIF et GPS)

| Finalité | Base légale | Durée de conservation | |----------|-------------|----------------------| | Extraire et exploiter les métadonnées EXIF (appareil, date, paramètres) pour authenticité SEO, optimisation technique, analyse IA Vision | Votre consentement exprès (Art. 6.1.a RGPD) | Durée de votre compte ou jusqu'au retrait de votre consentement | | Extraire et exploiter les données GPS (coordonnées, ville, région) pour SEO local, authenticité (preuve localisation) | Votre consentement exprès et granulaire (Art. 6.1.a RGPD) | Durée de votre compte ou jusqu'au retrait de votre consentement |

Important : Vous pouvez retirer votre consentement EXIF ou GPS à tout moment en nous contactant à : rgpd@saaba.fr. Le retrait de votre consentement entraîne la suppression des données concernées.

7. QUI SONT LES DESTINATAIRES DE VOS DONNÉES ?

Auront accès à vos données à caractère personnel :

A. Le personnel de G2 CARE (SAABA)

Les employés, collaborateurs et dirigeants de G2 CARE ayant besoin d'accéder à vos données dans le cadre de l'exécution des Services et de leurs fonctions.

B. Nos sous-traitants

Nous faisons appel à des prestataires de services (sous-traitants au sens du RGPD) qui traitent vos données pour notre compte et selon nos instructions. Ces sous-traitants sont soumis aux mêmes obligations de sécurité et de confidentialité que nous.

Liste des sous-traitants :

| Sous-traitant | Service | Localisation | Certification | |---------------|---------|--------------|---------------| | Scaleway | Hébergement documents sensibles (Zone B) | Paris, France | HDS, ISO 27001 | | MongoDB Atlas | Base de données (Zone A) | AWS Paris (eu-west-3) | SOC 2, ISO 27001 | | Vercel | Hébergement application web | Edge Network Europe | SOC 2 | | Stripe | Paiement en ligne | Dublin, Irlande | PCI-DSS Level 1 | | Resend | Emails transactionnels | Union Européenne | - | | HubSpot | CRM et marketing automation | Allemagne (EU Data Residency) | SOC 2 Type II, ISO 27001 |

Détail du traitement HubSpot (CRM Marketing)

SAABA utilise HubSpot comme outil de gestion de la relation client (CRM) et d'automatisation marketing.

Hébergement des données : Les données sont hébergées dans le datacenter européen de HubSpot (Allemagne), conformément à l'option "EU Data Residency" disponible depuis juillet 2021. Aucun transfert de données personnelles vers les États-Unis n'est effectué pour le stockage principal.

Garanties juridiques : HubSpot dispose d'un Data Processing Agreement (DPA) incluant les Clauses Contractuelles Types (SCCs) de la Commission européenne, le EU-U.S. Data Privacy Framework, et est certifié SOC 2 Type II.

Les données suivantes peuvent être synchronisées avec HubSpot :

| Catégorie | Données transmises | Finalité | |-----------|-------------------|----------| | Identité | Email, prénom, nom | Identification du contact | | Segmentation | Type de persona (Aidant, Intervenant, Senior) | Personnalisation des communications | | Localisation | Ville, code postal, département, région | Segmentation marketing locale (sans coordonnées GPS précises) | | Parcours | Étape du tunnel de conversion, progression onboarding | Suivi du parcours utilisateur |

Données NON transmises à HubSpot :

Coordonnées GPS précises
Documents sensibles (CNI, diplômes)
Données de santé
Messages de la messagerie interne

Base légale : Intérêt légitime (Art. 6.1.f RGPD) pour la prospection commerciale et la fidélisation client.

Droit d'opposition : Vous pouvez vous opposer à la synchronisation de vos données vers HubSpot à tout moment en nous contactant à : rgpd@saaba.fr. Cette opposition n'affecte pas votre utilisation des Services.

C. Les autres utilisateurs de la Plateforme

Les Bénéficiaires/Aidants et les Intervenants n'ont accès entre eux qu'aux données affichées sur les profils publics (nom, prénom, photo, prestations proposées, zone géographique, témoignages, etc.).

Les données privées (email, téléphone, adresse exacte, RIB, etc.) ne sont jamais partagées publiquement et ne sont accessibles qu'aux parties concernées dans le cadre d'une transaction (Devis validé).

Important : Les documents sensibles (CNI, diplômes, attestations médicales) stockés en Zone B HDS ne sont jamais accessibles aux autres utilisateurs. Seul un signal de validation ("Identité vérifiée", "Diplôme vérifié") est affiché sur les profils publics.

D. Organismes publics et autorités

Peuvent également être destinataires de vos données à caractère personnel les organismes publics ou privés et les services chargés du contrôle exclusivement pour répondre à nos obligations légales (administration fiscale, URSSAF, autorités judiciaires, CNIL, etc.).

8. VOS DONNÉES SONT-ELLES TRANSFÉRÉES HORS DE L'UNION EUROPÉENNE ?

Stockage principal en France

Vos documents sensibles (pièces d'identité, diplômes, attestations médicales) sont exclusivement stockés en France sur les serveurs de Scaleway (Paris DC5), hébergeur certifié HDS.

Vos données de profil et messages sont stockés sur les serveurs de MongoDB Atlas situés à Paris (AWS eu-west-3), dans l'Union européenne.

Transferts hors UE

Dans le cadre des outils que nous utilisons (voir article 7 sur les sous-traitants), vos données sont susceptibles de faire l'objet de transferts hors de l'Union européenne.

Le transfert de vos données dans ce cadre est sécurisé au moyen des outils suivants :

Pays avec décision d'adéquation : Les données sont transférées dans un pays ayant fait l'objet d'une décision d'adéquation de la Commission européenne, conformément à l'article 45 du RGPD. Dans ce cas, ce pays assure un niveau de protection jugé comme suffisant et adéquat aux dispositions du RGPD.
Pays sans décision d'adéquation : Les données sont transférées dans un pays dont le niveau de protection des données n'a pas été reconnu comme adéquat au RGPD. Dans ce cas, ces transferts sont fondés sur des garanties appropriées indiquées à l'article 46 du RGPD, notamment :
- Conclusion de clauses contractuelles types approuvées par la Commission Européenne
- Application de règles d'entreprises contraignantes (BCR - Binding Corporate Rules)
- Mécanisme de certification approuvé

Exception : Vos documents sensibles stockés en Zone B HDS ne font jamais l'objet de transferts hors de l'Union européenne.

9. QUELS SONT VOS DROITS SUR VOS DONNÉES ?

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants s'agissant de vos données personnelles :

A. Droit à l'information (Articles 13 et 14 RGPD)

C'est justement la raison pour laquelle nous avons rédigé la présente Politique. Vous avez le droit d'être informé de manière claire et transparente sur la manière dont vos données sont collectées et traitées.

B. Droit d'accès (Article 15 RGPD)

Vous avez le droit d'accéder à tout moment à l'ensemble de vos données personnelles et d'obtenir une copie de ces données.

C. Droit de rectification (Article 16 RGPD)

Vous avez le droit de rectifier à tout moment vos données personnelles inexactes, incomplètes ou obsolètes.

D. Droit à l'effacement (« droit à l'oubli ») (Article 17 RGPD)

Vous avez le droit d'exiger que vos données personnelles soient effacées, et d'en interdire toute collecte future, pour les motifs énoncés à l'article 17 du RGPD (notamment : consentement retiré, données non nécessaires, opposition au traitement).

Exceptions : Certaines données peuvent être conservées conformément aux obligations légales (ex: factures pendant 10 ans, données de santé selon les délais réglementaires).

E. Droit à la limitation du traitement (Article 18 RGPD)

Vous avez le droit d'obtenir la limitation du traitement de vos données personnelles dans certains cas définis à l'article 18 du RGPD (notamment : contestation de l'exactitude, traitement illicite, opposition au traitement).

F. Droit à la portabilité (Article 20 RGPD)

Selon certaines conditions précisées à l'article 20 du RGPD, vous avez le droit de recevoir les données personnelles que vous nous avez fournies dans un format standard lisible par machine et d'exiger leur transfert au destinataire de votre choix.

Export automatisé : Vous pouvez demander l'export de vos données en envoyant un email à rgpd@saaba.fr. L'export inclut :

Vos données de profil (JSON)
Vos messages (JSON)
Vos documents (fichiers originaux)
Vos transactions et factures (JSON)
Métadonnées complètes

L'export est généré sous format ZIP et mis à disposition via un lien sécurisé temporaire.

G. Droit d'opposition (Article 21 RGPD)

Vous avez le droit de vous opposer au traitement de vos données personnelles pour des motifs tenant à votre situation particulière.

Notez toutefois que nous pourrons maintenir le traitement malgré cette opposition, pour des motifs légitimes ou la défense de droits en justice.

Droit d'opposition à la prospection : Vous avez un droit d'opposition absolu au traitement de vos données à des fins de prospection commerciale (newsletters, messages promotionnels). Ce droit s'exerce sans avoir à justifier d'un motif.

H. Droit de retirer votre consentement (Article 7 RGPD)

Pour les finalités fondées sur le consentement (ex. : données de santé, newsletters, cookies, métadonnées EXIF/GPS), vous avez le droit de retirer votre consentement à tout moment.

Ce retrait ne remettra pas en cause la légalité du traitement effectué avant le retrait.

I. Droit de définir des directives post-mortem (Loi Informatique et Libertés)

Vous avez le droit de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre mort.

J. Droit d'introduire une réclamation (Article 77 RGPD)

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle compétente (en France, la CNIL), si vous considérez que le traitement de vos données personnelles constitue une violation des textes applicables.

CNIL : Commission Nationale de l'Informatique et des Libertés 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site web : www.cnil.fr

10. COMMENT EXERCER VOS DROITS ?

Vous pouvez exercer ces droits en nous écrivant :

Par email : rgpd@saaba.fr
Par courrier postal : G2 CARE (SAABA), 61 rue du Rouet, 13008 Marseille, France, à l'attention du DPO.

Nous pourrons vous demander à cette occasion de nous fournir des informations ou documents complémentaires pour justifier votre identité (copie de pièce d'identité).

Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en fonction de la complexité de la demande. Nous vous en informerons le cas échéant.

11. CESSION DES DONNÉES À CARACTÈRE PERSONNEL

Vos données à caractère personnel ne feront pas l'objet de cessions, locations ou échanges au bénéfice de tiers sans votre consentement préalable.

12. SÉCURITÉ DE VOS DONNÉES

Nous vous informons prendre toutes précautions utiles, mesures organisationnelles et techniques appropriées pour préserver la sécurité, l'intégrité et la confidentialité de vos données à caractère personnel et notamment, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Mesures de sécurité mises en œuvre

Zone A (Données standard)

Chiffrement en transit : HTTPS/TLS 1.3 obligatoire
Chiffrement au repos : MongoDB Atlas encryption at rest (AES-256)
Authentification forte : Mots de passe complexes, authentification à deux facteurs (2FA) disponible
Contrôle d'accès : Accès aux données personnelles strictement limité aux personnes autorisées
Sauvegarde : Sauvegardes automatiques quotidiennes avec rétention 7 jours
Monitoring : Surveillance des infrastructures et détection des actes malveillants

Zone B (Documents sensibles - HDS)

Hébergement HDS : Scaleway certifié HDS (ISO 27001, HDS 1.1), datacenter Paris DC5
Chiffrement SSE-S3 : Chiffrement côté serveur AES-256 obligatoire
URLs signées temporaires : Accès aux documents via URLs pré-signées (TTL 60 secondes pour documents de santé, 300 secondes pour autres)
Audit trail : Journalisation de tous les accès aux documents sensibles
Isolation des données : Chaque utilisateur n'accède qu'à ses propres documents
Cycle de vie automatisé : Migration automatique vers stockage froid après 7 jours

Paiements

Stripe PCI-DSS : Nous ne stockons aucune donnée de carte bancaire. Toutes les transactions sont gérées par Stripe, certifié PCI-DSS Level 1.
Stripe Connect : Les paiements aux Intervenants transitent par Stripe Connect (comptes Express), garantissant la séparation des fonds.

13. COOKIES ET TRACEURS

Le Site utilise des cookies et autres traceurs pour améliorer l'expérience utilisateur, réaliser des statistiques de visite et optimiser les fonctionnalités du Site.

Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d'un site internet. Il permet de conserver des informations relatives à votre navigation et de vous reconnaître lors de vos prochaines visites.

Quels types de cookies utilisons-nous ?

| Type | Finalité | Consentement requis | |------|----------|---------------------| | Cookies strictement nécessaires | Gestion de session, authentification, sécurité | Non | | Cookies de mesure d'audience | Statistiques de visite, amélioration du Site | Oui | | Cookies de fonctionnalité | Préférences utilisateur (langue, thème) | Oui | | Cookies publicitaires | Publicités personnalisées (si utilisés) | Oui |

Comment gérer vos préférences cookies ?

Vous pouvez à tout moment paramétrer vos préférences en matière de cookies :

Via le bandeau de consentement accessible sur le Site
Via les paramètres de votre navigateur (voir les liens ci-dessous)

Comment paramétrer votre navigateur :

Chrome : https://support.google.com/chrome/answer/95647
Firefox : https://support.mozilla.org/fr/kb/activer-desactiver-cookies
Safari : https://support.apple.com/fr-fr/guide/safari/sfri11471/mac
Edge : https://support.microsoft.com/fr-fr/microsoft-edge/supprimer-les-cookies-dans-microsoft-edge

Durée de conservation des cookies : Les cookies de mesure d'audience sont conservés pendant 25 mois maximum.

14. DONNÉES DE SANTÉ — CONSENTEMENT EXPRÈS

Nature des données de santé

Si vous êtes un Bénéficiaire ou un Aidant, vous pouvez être amené(e) à transmettre des données de santé vous concernant (ou concernant le Bénéficiaire dont vous êtes l'Aidant) lors de l'utilisation de la messagerie de la Plateforme (ex. : description de l'état de santé, pathologies, traitements, besoins médicaux).

Les données de santé sont des données sensibles au sens de l'article 9 du RGPD et font l'objet d'une protection renforcée.

Stockage sécurisé HDS

Les documents médicaux (attestations, ordonnances, comptes-rendus) que vous téléversez sont stockés de manière sécurisée sur notre infrastructure certifiée HDS (Zone B - Scaleway Paris), conformément aux exigences de l'article L.1111-8 du Code de la santé publique.

Consentement exprès requis

Ces données ne sont conservées qu'avec votre consentement exprès via la case à cocher disponible au moment de la création de votre compte :

☑️ J'autorise Saaba à conserver les données de santé que je transmets via la messagerie de la Plateforme, afin de faciliter la coordination des soins et l'accompagnement par les Intervenants.

Droit de retrait du consentement

Vous pouvez retirer votre consentement à tout moment en nous écrivant à : rgpd@saaba.fr

Le retrait de votre consentement entraîne la suppression immédiate de toutes les données de santé vous concernant conservées sur la Plateforme.

15. MÉTADONNÉES DES IMAGES — EXIF ET GPS

Nature des métadonnées

Les images que vous téléversez sur la Plateforme (photos de profil, photos de prestations, etc.) contiennent des métadonnées EXIF (appareil photo, date, paramètres techniques) et potentiellement des données de localisation GPS (coordonnées géographiques).

Ces métadonnées sont des données personnelles au sens du RGPD.

Consentement exprès et granulaire requis

L'extraction et l'exploitation de ces métadonnées nécessitent votre consentement exprès et granulaire (EXIF séparé de GPS).

Avant l'upload de l'image, vous devez accepter :

☑️ J'autorise Saaba à extraire et exploiter les métadonnées EXIF de cette image (appareil photo, date, paramètres techniques) pour :

Authenticité et crédibilité SEO

Optimisation technique

Analyse par IA Vision

☐ J'autorise Saaba à extraire et exploiter les données de localisation GPS de cette image (coordonnées, ville, région) pour :

SEO local (référencement géographique)

Authenticité (preuve de localisation)

Je comprends que les coordonnées GPS exactes peuvent être floutées pour préserver ma vie privée.

Par défaut :

EXIF : Consentement par défaut (coché) — Impact SEO positif, risque faible.
GPS : Pas de consentement par défaut (décoché) — Risque vie privée élevé.

Floutage GPS par défaut

Les coordonnées GPS exactes sont floutées par défaut (~500m de précision) pour protéger votre vie privée. Seules la ville et la région sont conservées pour le SEO local.

Droit de retrait du consentement

Vous pouvez retirer votre consentement EXIF ou GPS à tout moment en nous écrivant à : rgpd@saaba.fr

Le retrait de votre consentement entraîne la suppression immédiate des métadonnées concernées.

16. RECHERCHE GÉOLOCALISÉE

Nature des données de localisation

Lors de votre recherche de prestataires sur la Plateforme, nous pouvons traiter des données de localisation pour vous proposer des intervenants à proximité de votre position.

Données traitées

Nous traitons deux types de données de localisation :

A. Recherche par ville (textuelle)

Lorsque vous saisissez une ville ou un code postal dans la barre de recherche (ex. : "Marseille 13001", "Paris", "Lyon"), nous convertissons cette information en coordonnées géographiques (latitude, longitude) via l'API Adresse du Gouvernement Français (https://adresse.data.gouv.fr).

Données traitées :

Ville ou code postal saisi
Coordonnées géographiques approximatives (centre de la ville)

Classification RGPD :

❌ Pas une donnée personnelle au sens du RGPD Art. 4(1)
🟢 Donnée géographique générale (ville, code postal)

Une ville comme "Marseille" n'identifie pas une personne physique et ne permet pas de vous identifier directement ou indirectement.

B. Recherche "Autour de moi" (GPS mobile)

Lorsque vous cliquez sur le bouton "Autour de moi", votre navigateur web ou application mobile vous demande l'autorisation d'accéder à votre position GPS via l'API de géolocalisation HTML5 (Standard W3C).

Données traitées :

Coordonnées GPS précises (latitude, longitude) fournies par votre navigateur
Rayon de recherche (par défaut : 10 km)

Classification RGPD :

⚠️ Données de géolocalisation précises (Art. 9 RGPD si précision < 50m)
🟡 Consentement requis (RGPD + Directive ePrivacy)

Finalité du traitement

Objectif : Vous proposer des prestataires (intervenants, auxiliaires de vie, aides à domicile) à proximité de votre localisation pour faciliter la coordination des soins et réduire les temps de déplacement.

Base légale

Nous traitons vos données de localisation sur les bases légales suivantes :

| Type de recherche | Base légale | Article RGPD | |-------------------|-------------|--------------| | Recherche par ville (textuelle) | Intérêt légitime à fournir une recherche locale pertinente | Art. 6.1.f | | Recherche GPS ("Autour de moi") | Consentement (autorisation navigateur) | Art. 6.1.a |

Pourquoi l'intérêt légitime pour la recherche par ville ?

Intérêt légitime : Fournir une recherche locale pertinente (UX optimale)
Pas d'atteinte disproportionnée : Données non personnelles (ville générale)
Balance des intérêts : L'utilisateur bénéficie d'une recherche locale précise

Pourquoi le consentement pour la recherche GPS ?

Le consentement est automatiquement demandé par votre navigateur (API HTML5 Geolocation)
Vous pouvez refuser l'accès à votre position GPS
Si vous refusez, la recherche s'effectuera sans filtrage géographique

Conservation des données

Important : Les coordonnées GPS ne sont jamais stockées de manière persistante.

| Donnée | Conservation | Détail | |--------|--------------|--------| | Ville saisie | ❌ Non stockée | Utilisée uniquement pour la recherche en cours | | Coordonnées GPS | ❌ Non stockées | Traitées en mémoire serveur, puis supprimées immédiatement | | Résultats de recherche | ❌ Non stockés | Générés dynamiquement, pas de cache utilisateur |

Durée de traitement : Les données de localisation sont utilisées uniquement pour la recherche en cours et sont supprimées immédiatement après l'affichage des résultats.

Pas de tracking : Nous ne conservons aucun historique de vos recherches géolocalisées.

Tiers — API Adresse du Gouvernement Français

Pour convertir les villes en coordonnées GPS, nous utilisons l'API Adresse du Gouvernement Français (https://adresse.data.gouv.fr).

Caractéristiques :

Service public gratuit de l'État français
Hébergé en France (pas de transfert hors UE)
Pas de collecte de données personnelles
Pas de cookies ou traceurs

Données transmises à l'API :

Ville ou code postal saisi (ex. : "Marseille 13001")

Données reçues de l'API :

Coordonnées géographiques (latitude, longitude)
Nom de la ville, code postal, département

Politique de confidentialité de l'API Adresse : https://adresse.data.gouv.fr

Cache serveur (optimisation performance)

Pour améliorer les performances et réduire les appels à l'API Gouvernement, nous pouvons cacher temporairement les résultats de géocodage (conversion ville → coordonnées) sur nos serveurs.

Données cachées :

Ville → Coordonnées GPS (ex. : "Marseille" → [43.296482, 5.36978])

Classification RGPD :

❌ Pas de données personnelles (cache anonyme)
🟢 Données géographiques générales

Durée de conservation du cache : 7 jours maximum

RGPD-friendly : Le cache contient uniquement des villes et coordonnées générales, pas de données utilisateur.

Droit d'accès et d'effacement

Droit d'accès (Art. 15 RGPD) : Vous pouvez demander l'accès à vos données de localisation.

Réponse : ⚠️ Pas de données à fournir — Vos coordonnées GPS ne sont jamais stockées de manière persistante. Nous ne conservons aucun historique de vos recherches géolocalisées.

Droit à l'effacement (Art. 17 RGPD) : Vous pouvez demander la suppression de vos données de localisation.

Réponse : ⚠️ Pas de données à supprimer — Vos coordonnées GPS ne sont jamais stockées. Elles sont traitées en mémoire uniquement et supprimées immédiatement.

Sécurité

Les coordonnées GPS sont traitées de manière sécurisée :

| Mesure de sécurité | Détail | |--------------------|--------| | Traitement Server-Side | Les coordonnées GPS ne sont jamais exposées côté client (frontend) | | HTTPS obligatoire | Toutes les requêtes utilisent le protocole HTTPS/TLS 1.3 | | Pas de logs | Les coordonnées GPS ne sont pas loggées dans nos systèmes | | Timeout automatique | Les requêtes API ont un timeout de 5 secondes pour limiter l'exposition | | Fallback gracieux | Si le géocodage échoue, la recherche s'effectue sans filtrage géographique |

Retrait du consentement (GPS)

Si vous avez autorisé l'accès à votre position GPS via le bouton "Autour de moi", vous pouvez retirer votre consentement à tout moment :

Méthode 1 : Paramètres du navigateur

Chrome : Paramètres → Confidentialité et sécurité → Paramètres des sites → Localisation
Firefox : Paramètres → Vie privée et sécurité → Permissions → Localisation
Safari : Préférences → Sites web → Localisation

Méthode 2 : Refuser l'autorisation

Lors de la prochaine recherche "Autour de moi", cliquez sur "Bloquer" dans la popup de votre navigateur.

Conséquence du retrait : La recherche "Autour de moi" ne fonctionnera plus. Vous pourrez toujours utiliser la recherche par ville (textuelle).

Informations complémentaires

Transparence UX : Lors de l'utilisation de la recherche géolocalisée, nous affichons un message explicatif :

💡 Nous utilisons votre localisation pour vous proposer des prestataires à proximité.

Vos coordonnées GPS ne sont jamais stockées et sont utilisées uniquement pour cette recherche.

Aucun profilage : Les données de localisation ne sont pas utilisées pour du profilage, de la publicité ciblée ou de l'analyse comportementale.

17. TÉMOIGNAGES ET CONTENUS GÉNÉRÉS PAR LES UTILISATEURS

Réutilisation des témoignages

Les témoignages associés à une fiche Intervenant peuvent être réutilisés sur l'application Saaba ou en externe de manière globale, sans restriction géographique ou temporelle.

Les Intervenants acceptent que leurs témoignages puissent être utilisés :

Sur la plateforme Saaba (fiche profil, sections marketing, etc.)
En externe (publications, réseaux sociaux, supports marketing)
De manière globale et sans limitation géographique

Consentement du témoin

Chaque témoin (Bénéficiaire, Aidant) doit donner son consentement explicite pour la publication et la réutilisation de son témoignage. Ce consentement doit inclure :

L'utilisation sur l'application Saaba
La réutilisation externe (marketing, promotion)
L'utilisation globale sans restriction géographique
La conservation et l'utilisation future du témoignage

Le consentement doit être obtenu avant la publication du témoignage et peut être révoqué à tout moment par le témoin en nous contactant à : rgpd@saaba.fr

18. SCORING AUTOMATISÉ ET CLASSEMENT (RGPD Art. 22)

Nature du traitement

SAABA utilise des systèmes de scoring automatisé pour améliorer l'expérience utilisateur et la qualité des mises en relation. Ces scores influencent le classement des profils dans les résultats de recherche.

Scores calculés

A. Score d'Authenticité (Intervenants)

Ce score évalue la fiabilité et la complétude du profil d'un Intervenant. Il est calculé automatiquement à partir des critères suivants :

| Composant | Pondération | Éléments pris en compte | |-----------|-------------|-------------------------| | Identité | 25% | Niveau de vérification (email, photo ID, FranceConnect) | | Photo | 20% | Présence d'une photo, authenticité (métadonnées EXIF) | | Documents | 15% | Diplômes, attestations, casier judiciaire vérifiés | | Onboarding | 15% | Taux de complétion du profil | | Sécurité | 10% | Score de sécurité global du profil | | Activité | 15% | Missions réalisées, avis reçus, ancienneté |

B. Score de Capital Temporel (Tous utilisateurs)

Ce score mesure l'engagement et la qualité des interactions sur la plateforme. Il prend en compte :

La qualité des échanges et des missions
La réactivité aux demandes
Les contributions positives à la communauté
Les recommandations et parrainages

Conséquences du scoring

Les scores calculés influencent :

Le classement des Intervenants dans les résultats de recherche (visibilité améliorée pour les profils authentiques)
La priorisation des communications marketing (contacts les plus engagés)
Les suggestions de matching (adéquation profil/demande)

Absence de décision exclusivement automatisée

Important : Conformément au RGPD (Art. 22), ces scores ne constituent pas une décision exclusivement automatisée produisant des effets juridiques ou significatifs :

Le choix final de l'Intervenant est toujours fait par l'utilisateur (Bénéficiaire/Aidant)
Le score n'entraîne aucune exclusion automatique de la plateforme
Une intervention humaine est possible à tout moment pour contester ou corriger un score

Vos droits

Droit d'accès (Art. 15 RGPD) : Vous pouvez demander à connaître votre score d'authenticité et les éléments qui le composent.

Droit d'explication : Vous pouvez obtenir des informations sur la logique du scoring et son impact sur votre visibilité.

Droit de contestation : Si vous estimez que votre score est erroné ou injuste, vous pouvez nous contacter pour une révision humaine.

Contact : rgpd@saaba.fr

19. PROGRAMME AMBASSADEUR — OPT-IN EXPLICITE

Nature du Programme

Le Programme Ambassadeur est un programme de fidélisation et de parrainage réservé aux Intervenants remplissant certains critères d'éligibilité. Ce programme fonctionne sur un modèle opt-in explicite : l'inscription est volontaire et nécessite votre consentement exprès.

Éligibilité et prérequis

Pour devenir éligible au Programme Ambassadeur, vous devez remplir les critères suivants :

Profil Expert : 6 mois d'ancienneté, note moyenne 4.5+, 10+ missions réalisées, 3+ spécialités
Membre d'une équipe : Être membre d'une équipe Mode Équipe sur la plateforme

Important : L'éligibilité ne déclenche aucune inscription automatique. Vous devez explicitement choisir de rejoindre le programme.

Données collectées

Lors de votre inscription au Programme Ambassadeur, nous collectons et traitons les données suivantes :

| Donnée | Description | Finalité | |--------|-------------|----------| | enrolled | Statut d'inscription (oui/non) | Savoir si vous avez rejoint le programme | | enrolledAt | Date et heure d'inscription | Preuve du consentement (RGPD) | | level | Niveau atteint (Bronze, Silver, Gold) | Progression dans le programme | | referralCount | Nombre de parrainages convertis | Calcul de progression et récompenses | | totalEarned | Total des récompenses accumulées | Suivi des avantages |

Base légale

| Finalité | Base légale | Article RGPD | |----------|-------------|--------------| | Inscription au programme | Votre consentement exprès | Art. 6.1.a | | Suivi de progression | Exécution du contrat (Programme Ambassadeur) | Art. 6.1.b | | Calcul des récompenses | Exécution du contrat | Art. 6.1.b | | Communications dédiées | Notre intérêt légitime à fidéliser nos ambassadeurs | Art. 6.1.f |

Consentement explicite requis

L'inscription au Programme Ambassadeur nécessite votre consentement explicite via le bouton « Rejoindre le Programme Ambassadeur » disponible sur votre dashboard Intervenant.

En cliquant sur ce bouton, vous acceptez :

De participer au Programme Ambassadeur de SAABA
Que votre badge Ambassadeur soit visible sur votre profil public
De recevoir des communications relatives au programme (avancement, récompenses)
De représenter SAABA auprès de vos pairs professionnels

Durée de conservation

| Donnée | Durée de conservation | |--------|----------------------| | Statut d'inscription | Durée de votre compte ou jusqu'à votre retrait | | Date d'inscription | 5 ans après votre retrait (preuve de consentement) | | Historique de progression | 3 ans après votre retrait | | Parrainages | 5 ans (conformité comptable si récompenses monétaires) |

Droit de retrait

Vous pouvez vous retirer du Programme Ambassadeur à tout moment en nous contactant à : rgpd@saaba.fr

Le retrait entraîne :

La suppression de votre badge Ambassadeur de votre profil
L'arrêt des communications relatives au programme
La conservation de l'historique pendant les durées légales (preuve de consentement, conformité comptable)

Important : Le retrait du Programme Ambassadeur n'affecte pas votre compte Intervenant ni votre utilisation de la plateforme.

20. INTELLIGENCE ARTIFICIELLE ET EU AI ACT

Conformité au Règlement Européen sur l'IA

SAABA utilise des systèmes d'intelligence artificielle pour améliorer l'expérience utilisateur. Conformément au Règlement Européen sur l'Intelligence Artificielle (EU AI Act), nous vous informons de la nature et du fonctionnement de ces systèmes.

Systèmes IA utilisés

A. Algorithme de Matching (Risque Limité)

Notre algorithme de recommandation analyse vos critères pour vous proposer les intervenants les plus adaptés :

| Critère | Pondération | Description | |---------|-------------|-------------| | Proximité géographique | 25% | Distance entre l'intervenant et le lieu d'intervention | | Disponibilités | 25% | Correspondance des créneaux horaires | | Compétences | 20% | Adéquation entre besoins et qualifications | | Avis et satisfaction | 15% | Notes des familles précédentes | | Compatibilité humaine | 15% | Préférences déclarées (genre, langue) |

Important : L'algorithme suggère, mais la décision finale vous appartient toujours.

B. Neuro-Ergonomie Ouroboros (Risque Limité - Consentement requis)

Ce système analyse votre navigation (mouvements de souris, temps de réponse) pour détecter d'éventuelles difficultés et adapter l'interface.

| Aspect | Détail | |--------|--------| | Consentement | Opt-in explicite via le gestionnaire de cookies (catégorie "Neuro-ergonomie") | | Données collectées | Vitesse de souris, fréquence de clics, temps d'inactivité | | Données NON collectées | Aucune biométrie, aucun enregistrement vidéo/audio | | Retention | 48h max pour données brutes, 13 mois pour statistiques anonymes | | Finalité | Simplification de l'interface si difficulté détectée |

Pour plus de détails, consultez notre Avenant RGPD Neuro-Comportemental.

C. Détection de Demande par Zone (Risque Minimal)

Le système Ouroboros³ agrège les recherches par zone géographique pour identifier les besoins non satisfaits et prioriser le recrutement d'intervenants.

Données traitées : Localisation de recherche (ville/département), catégorie de service
Aucune donnée personnelle : Seules des statistiques agrégées par zone sont utilisées
Finalité : Améliorer la couverture géographique du service

D. Contribution à l'IA Saaba (Consentement explicite requis)

SAABA développe sa propre intelligence artificielle pour améliorer ses services et préparer l'assistance robotique de demain (horizon 2027+). Avec votre consentement explicite, vos interactions et vos contenus multimédias (portfolio) peuvent contribuer à cet effort.

| Aspect | Détail | |--------|--------| | Consentement | Opt-in explicite via le gestionnaire de cookies ou lors de l'upload (catégorie "IA Saaba") | | Données utilisées | Feedbacks missions, préférences déclarées, patterns d'utilisation, photos de portfolio (analyse sémantique et géo-temporelle) | | Données JAMAIS utilisées | Données de santé, ordonnances, informations financières | | Partage avec tiers | SÉCURISÉ - Vos photos peuvent être inspectées par des agents IA pour valider votre authenticité et accélérer votre référencement (AEO). | | Finalités | Amélioration du matching, création de guides de formation, authentification électronique renforcée, référencement prédictif (AEO) | | Retrait | À tout moment via le gestionnaire de cookies ou vos paramètres de confidentialité |

Différence fondamentale avec les IA tierces :

| Aspect | IA Tierces (Meta, OpenAI...) | IA Saaba | |--------|------------------------------|----------| | Contrôle | Aucun | Total (vous décidez) | | Transparence | Opaque | Documentée | | Bénéfice pour vous | Aucun direct | Meilleur service | | Localisation | Serveurs US/Monde | Serveurs UE/France (HDS) | | Retrait | Difficile/Impossible | Immédiat |

Engagement éthique : SAABA s'engage à ne jamais utiliser vos données personnelles pour entraîner des IA sans votre consentement explicite. C'est pourquoi nous bloquons les crawlers d'entraînement IA tiers (comme meta-externalagent) sur les pages contenant des données personnelles.

Classification EU AI Act

| Système | Classification | Obligations | |---------|---------------|-------------| | Matching | Risque limité | Transparence (Art. 52) | | Neuro-ergonomie | Risque limité | Transparence + Consentement | | Détection demande | Risque minimal | Aucune obligation spécifique | | IA Saaba (Training) | Risque limité | Transparence + Consentement explicite |

Engagements de transparence

Nous nous engageons à :

Informer clairement lorsque vous interagissez avec un système IA (badge "IA" visible)
Expliquer pourquoi un profil vous est suggéré sur demande
Ne jamais utiliser l'IA pour du scoring social ou de la discrimination
Maintenir une supervision humaine sur tous les systèmes

Vos droits concernant l'IA

Droit à l'information : Savoir quand vous interagissez avec un système IA
Droit à l'explication : Comprendre la logique derrière une suggestion
Droit de contestation : Signaler une suggestion inappropriée ou discriminatoire
Droit de désactivation : Retirer le consentement pour la neuro-ergonomie

Pour exercer ces droits : rgpd@saaba.fr

Page dédiée : /transparence-ia

21. AGENTS IA EXTERNES ET PROTOCOLES MCP/UCP

A. Interopérabilité avec les assistants IA

SAABA expose certaines fonctionnalités via des protocoles d'interopérabilité standardisés permettant aux assistants IA externes (Google Gemini, ChatGPT d'OpenAI, Claude d'Anthropic, etc.) d'accéder à des données et services de la Plateforme.

Protocoles supportés :

MCP (Model Context Protocol) : Standard d'interopérabilité IA développé par Anthropic
UCP (Unified Context Protocol) : Extension pour contexte unifié multi-agents
JSON-LD / Schema.org : Données structurées sémantiques (AEO - Answer Engine Optimization)

Point d'accès : /.well-known/ucp.json

B. Classification des outils selon le RGPD

Outils PUBLICS (Sans consentement)

Ces outils accèdent aux mêmes données qu'un visiteur du site. L'agent IA externe agit comme un simple client web.

| Outil | Description | Base légale RGPD | |-------|-------------|------------------| | find_caregiver | Recherche annuaire public | Art. 6.1.b (exécution contrat) | | simulate_cesu | Simulation fiscale CESU | Art. 6.1.b (exécution contrat) | | check_care_manager_availability | Disponibilité Care Manager | Art. 6.1.b (exécution contrat) | | get_market_tension | Tension marché (données agrégées) | Art. 6.1.b (exécution contrat) |

Pourquoi pas de consentement ? Ces outils retournent des données publiquement accessibles sur le site. L'agent IA n'accède à rien de plus qu'un visiteur humain.

Outils PRIVÉS (Consentement + Authentification)

Ces outils accèdent ou modifient des données personnelles. Ils nécessitent :

Votre consentement explicite (catégorie "Agents IA externes" dans le gestionnaire de cookies)
Votre authentification sur la Plateforme

| Outil | Description | Base légale RGPD | |-------|-------------|------------------| | request_replacement | Demande de remplacement | Art. 6.1.a (consentement) |

C. Catégorie de consentement "Agents IA externes"

Une nouvelle catégorie de consentement a été ajoutée au gestionnaire de cookies :

☐ Agents IA externes (agentic_ai)
   Autorisez des assistants IA (Google Gemini, ChatGPT, Claude) à effectuer
   des actions en votre nom sur Saaba (demandes de remplacement, etc.).
   Ces agents n'accèdent JAMAIS à vos données de santé ou documents sensibles.

Caractéristiques :

Opt-in explicite : Décoché par défaut (vous devez activer)
Durée : 13 mois (conformité CNIL)
Révocable : À tout moment via le gestionnaire de cookies ou vos paramètres

D. Données collectées lors des invocations

Chaque invocation d'outil par un agent IA externe génère des données de traçabilité :

| Donnée collectée | Finalité | Base légale | |------------------|----------|-------------| | Source (Google, OpenAI, Anthropic, etc.) | Audit CNIL, sécurité | Art. 6.1.f (intérêt légitime) | | Nom de l'outil invoqué | Audit, statistiques | Art. 6.1.f (intérêt légitime) | | Horodatage | Traçabilité | Art. 6.1.f (intérêt légitime) | | sessionId (anonyme) | Liaison des requêtes | Art. 6.1.f (intérêt légitime) | | Résultat du contrôle de consentement | Preuve RGPD | Art. 6.1.c (obligation légale) |

Durée de conservation : 13 mois (alignée sur le consentement cookies).

E. Données JAMAIS accessibles aux agents IA externes

Les agents IA externes n'ont jamais accès aux données suivantes, même avec votre consentement :

❌ Données de santé (attestations médicales, ordonnances, messages contenant des informations de santé)
❌ Documents sensibles (pièces d'identité, diplômes, RIB) stockés en Zone B HDS
❌ Messages privés de la messagerie interne
❌ Coordonnées complètes (email, téléphone, adresse exacte)
❌ Données financières (transactions, factures)

F. Différence avec le Training IA (Section 20.D)

| Aspect | Agents IA Externes (MCP/UCP) | Training IA Saaba (Section 20.D) | |--------|------------------------------|----------------------------------| | Nature | Invocation d'outils en temps réel | Apprentissage sur données historiques | | Tiers | ChatGPT, Gemini, Claude | IA interne Saaba uniquement | | Consentement | Catégorie "agentic_ai" | Catégorie "saaba_ai" | | Données sensibles | JAMAIS | JAMAIS |

G. Vos droits concernant les agents IA externes

Droit d'accès (Art. 15 RGPD) : Vous pouvez demander l'historique des invocations d'outils effectuées par des agents IA en votre nom.

Droit d'opposition (Art. 21 RGPD) : Vous pouvez :

Refuser la catégorie "Agents IA externes" dans le gestionnaire de cookies
Retirer votre consentement à tout moment
Demander la suppression de l'historique d'invocations

Contact : rgpd@saaba.fr

H. Sécurité et audit

Mesures de sécurité :

Vérification du consentement avant chaque invocation
Validation de l'authentification pour les outils PRIVÉS
Rate limiting pour prévenir les abus
Audit trail complet pour conformité CNIL

En cas de contrôle CNIL : Les logs d'invocation permettent de prouver :

Que le consentement était valide au moment de l'invocation
Que les outils PUBLICS n'accédaient qu'à des données publiques
Que les outils PRIVÉS n'étaient invoqués qu'avec consentement explicite

22. DURÉES DE CONSERVATION DES DONNÉES

Nous conservons vos données personnelles uniquement pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées, conformément aux exigences légales et réglementaires.

Tableau récapitulatif des durées de conservation

| Type de données | Durée de conservation | Zone | |-----------------|----------------------|------| | Compte actif | Durée de votre compte | A | | Logs de connexion | 1 an | A | | Compte inactif | 2 ans, puis suppression après email de réactivation sans réponse | A | | Archive probatoire | 5 ans (en cas de litige ou conformité légale) | A | | Factures | 10 ans (obligation comptable) | A | | Transactions (hors données bancaires) | 5 ans | A | | Données bancaires | Gérées par Stripe (non stockées par SAABA) | - | | Pièces d'identité (CNI, passeport) | 90 jours après vérification | B (HDS) | | Diplômes et certifications | 10 ans | B (HDS) | | Attestations médicales | 10 ans (conformité médicale) | B (HDS) | | Documents sensibles (hot storage) | 7 jours puis migration vers cold storage | B (HDS) | | Prospects (Visiteurs, non-utilisateurs) | 3 ans à compter du dernier contact | A | | Newsletters et prospection | 3 ans à compter du dernier contact ou jusqu'au retrait du consentement | A | | Données de santé (messagerie) | Jusqu'au retrait de votre consentement | A | | Métadonnées EXIF/GPS | Durée de votre compte ou jusqu'au retrait de votre consentement | A | | Témoignages | 2 ans à compter de la publication ou jusqu'au retrait du consentement | A | | Cookies de mesure d'audience | 25 mois | A | | Opposition à la prospection | 3 ans (pour garantir le respect de votre opposition) | A |

Au-delà de ces durées, vos données personnelles sont supprimées ou anonymisées de manière irréversible.

23. MODIFICATION DE LA PRÉSENTE POLITIQUE

Nous pouvons modifier à tout moment la présente Politique, afin notamment de nous conformer à toutes évolutions réglementaires, jurisprudentielles, éditoriales ou techniques.

Ces modifications s'appliqueront à la date d'entrée en vigueur de la version modifiée. Vous êtes donc invité(e) à consulter régulièrement la dernière version de cette Politique.

Néanmoins, nous vous tiendrons informé(e) de toute modification significative de la présente Politique de confidentialité par email ou via un message sur la Plateforme.

24. CONTACT

Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter :

Email DPO : rgpd@saaba.fr
Email général : contact@saaba.fr
Téléphone : 09 52 89 58 11
Courrier postal : G2 CARE (SAABA), 61 rue du Rouet, 13008 Marseille, France, à l'attention du DPO.

25. LOI APPLICABLE

La présente Politique est régie par la loi française et notamment :

La Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »)
Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (« RGPD »)
L'article L.1111-8 du Code de la santé publique relatif à l'hébergement de données de santé (HDS)

Date d'entrée en vigueur : 11 janvier 2026

Politique de Confidentialité et Protection des Données Personnelles

Date de dernière mise à jour : 26 janvier 2026 Version : 2.4 — Agents IA Externes MCP/UCP (Section 21)

Préambule

1. QUI EST LE RESPONSABLE DE TRAITEMENT ?

Le responsable de traitement de vos données personnelles est :

Contact :

Email général : contact@saaba.fr
Téléphone : 09 52 89 58 11

2. POINT DE CONTACT RGPD (DPO)

Nous avons nommé un point de contact en matière de protection des données à caractère personnel (Data Protection Officer - DPO), dont les coordonnées sont les suivantes :

Email DPO : rgpd@saaba.fr

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez contacter notre DPO à cette adresse.

3. DÉFINITIONS

Dans le cadre de la présente Politique, les termes suivants ont la signification qui leur est attribuée ci-dessous :

Visiteur : Toute personne naviguant sur le Site www.saaba.fr sans nécessairement créer de compte.
Utilisateur : Toute personne ayant créé un compte sur la Plateforme (Intervenant, Bénéficiaire, Aidant).
Intervenant : Professionnel de l'aide à la personne proposant ses services sur la Plateforme.
Bénéficiaire : Personne (senior, personne en perte d'autonomie) bénéficiant des services d'un Intervenant.
Aidant : Proche aidant ou aidant familial agissant pour le compte d'un Bénéficiaire.
Plateforme ou Site : Le site internet accessible à l'adresse www.saaba.fr et l'ensemble de ses fonctionnalités.
Données à caractère personnel : Toutes données qui permettent d'identifier un individu directement ou par recoupement avec d'autres données (nom, prénom, email, téléphone, adresse IP, localisation, photos, etc.).
Zone A (Vitrine) : Infrastructure d'hébergement standard pour les données publiques et non sensibles.
Zone B (Coffre-Fort HDS) : Infrastructure certifiée HDS pour le stockage sécurisé des documents sensibles.

4. ARCHITECTURE D'HÉBERGEMENT — DUAL-ZONE

SAABA utilise une architecture Dual-Zone pour garantir à la fois la performance de la plateforme et la sécurité maximale de vos données sensibles :

Zone A — Vitrine & Performance

Données stockées en Zone A :

Profils publics (nom, prénom, photo de profil)
Messages de la messagerie interne
Statistiques et métadonnées de navigation
Signaux de validation (statuts, dates, sans le contenu des documents)

Zone B — Coffre-Fort HDS (Données Sensibles)

Données stockées en Zone B :

Pièces d'identité (CNI, passeport, titre de séjour)
Diplômes et certifications professionnelles
Attestations médicales et justificatifs de santé
Justificatifs de domicile
RIB et documents bancaires

Principe « Signal vs Preuve »

SAABA applique le principe de séparation Signal/Preuve :

Signal (Zone A) : Métadonnées légères indiquant qu'un document a été vérifié (ex: "CNI vérifiée le 15/12/2025")
Preuve (Zone B) : Document original stocké de manière sécurisée, accessible uniquement via URL signée temporaire

Cette architecture permet d'optimiser la performance (les pages se chargent rapidement) tout en garantissant la sécurité maximale des documents sensibles.

5. QUELLES DONNÉES COLLECTONS-NOUS ?

Nous collectons des données personnelles qui relèvent des catégories suivantes :

A. Pour les Visiteurs du Site

Si vous êtes un Visiteur, nous collectons :

Données d'identification : Nom, prénom, adresse email, adresse postale, numéro de téléphone (si vous nous contactez).
Données de navigation : Adresse IP, pages consultées, date et heure de connexion, navigateur utilisé, système d'exploitation, user ID, IFA (identifiant publicitaire).
Données de contact : Toute information que vous souhaitez nous transmettre dans le cadre de votre demande de contact (formulaire de contact, email).

B. Pour les Intervenants

Si vous êtes un Intervenant, nous collectons :

Données d'identification : Nom, prénom, photographie, adresse email, adresse postale, numéro de téléphone.
Données relatives à votre vie professionnelle : Poste/fonction, entreprise, SIRET (si applicable), certifications, formations, diplômes, expériences professionnelles.
Documents sensibles (stockés en Zone B HDS) : Pièce d'identité, diplômes, attestations, casier judiciaire (bulletin n°3), RIB.
Données de connexion : Logs de connexion, mots de passe chiffrés, adresse IP.
Données de navigation : Pages consultées, date et heure de connexion, navigateur utilisé, système d'exploitation.
Données économiques et financières : RIB, factures, devis, transactions (historique des paiements via Stripe).
Données de messagerie : Messages échangés avec les Bénéficiaires/Aidants via la Plateforme.
Données comportementales : Taux de complétion du profil, taux d'acceptation des demandes, temps de réponse moyen, actions réalisées sur la Plateforme (utilisées pour le scoring de qualité et la gamification).

C. Pour les Bénéficiaires et Aidants

Si vous êtes un Bénéficiaire ou un Aidant, nous collectons :

Données d'identification : Nom, prénom, adresse email, adresse postale, numéro de téléphone, vos Intervenants favoris.
Documents sensibles (stockés en Zone B HDS) : Pièce d'identité, justificatifs de domicile, attestations médicales.
Données de connexion : Logs de connexion, mots de passe chiffrés, adresse IP.
Données de navigation : Pages consultées, date et heure de connexion, navigateur utilisé, système d'exploitation.
Données de messagerie : Messages échangés avec les Intervenants via la Plateforme.
Données de santé : Lors de l'utilisation de la messagerie de la Plateforme, vous pouvez être amenés à transmettre des données de santé vous concernant. Ces données ne sont conservées qu'avec votre consentement exprès via la case à cocher disponible au moment de la création de votre compte. Vous pouvez retirer votre consentement à tout moment en nous écrivant à : rgpd@saaba.fr

D. Métadonnées des Images (EXIF et GPS)

Important : Ces métadonnées sont des données personnelles au sens du RGPD. Leur extraction et exploitation nécessitent votre consentement exprès et granulaire (EXIF séparé de GPS).

Résumé :

Métadonnées EXIF : Appareil photo, date, paramètres techniques, dimensions → Utilisées pour authenticité SEO, optimisation technique, analyse IA Vision.
Données GPS : Coordonnées géographiques (latitude, longitude), ville, région → Utilisées pour SEO local, authenticité (preuve de localisation). Les coordonnées GPS exactes sont floutées par défaut (~500m de précision) pour protéger votre vie privée.

Consentement :

EXIF : Consentement par défaut (coché), révocable à tout moment.
GPS : Pas de consentement par défaut (décoché), consentement explicite requis, révocable à tout moment.

E. Données obligatoires et facultatives

Les données facultatives permettent d'améliorer votre expérience utilisateur mais ne sont pas nécessaires pour l'utilisation des Services.

6. SUR QUELLES BASES LÉGALES ET POUR QUELLES FINALITÉS TRAITONS-NOUS VOS DONNÉES ?

Nous traitons vos données personnelles sur les bases légales suivantes, conformément à l'article 6 du RGPD :

A. Pour les Visiteurs

B. Pour les Intervenants

C. Pour les Bénéficiaires et Aidants

| Finalité | Base légale | Durée de conservation | |----------|-------------|----------------------| | Fournir nos Services disponibles sur la Plateforme via votre compte | Exécution de mesures précontractuelles prises à votre demande et/ou exécution du contrat (Art. 6.1.b RGPD) | Durée de votre compte. Logs : 1 an. Compte inactif 2 ans : suppression après email réactivation. Archive probatoire : 5 ans. | | Traiter vos données de santé (si vous en partagez via la messagerie) | Votre consentement exprès (Art. 6.1.a et Art. 9.2.a RGPD) | Jusqu'au retrait de votre consentement | | Stocker vos documents médicaux (attestations, ordonnances) | Votre consentement exprès (Art. 9.2.a RGPD) | 10 ans (conformité médicale) ou jusqu'au retrait de votre consentement | | Gérer vos avis sur nos produits, services ou contenus | Notre intérêt légitime à recueillir votre avis (Art. 6.1.f RGPD) | 2 ans à compter de la publication de l'avis | | Constituer un fichier de Bénéficiaires (utilisateurs et prospects) | Notre intérêt légitime à développer et promouvoir notre activité (Art. 6.1.f RGPD) | Utilisateurs : durée relation. Prospects : 3 ans après dernier contact. | | Adresser des newsletters, sollicitations et messages promotionnels | Votre consentement (Art. 6.1.a RGPD) | 3 ans à compter du dernier contact ou jusqu'au retrait de votre consentement |

D. Pour tous les utilisateurs

E. Métadonnées des images (EXIF et GPS)

7. QUI SONT LES DESTINATAIRES DE VOS DONNÉES ?

Auront accès à vos données à caractère personnel :

A. Le personnel de G2 CARE (SAABA)

Les employés, collaborateurs et dirigeants de G2 CARE ayant besoin d'accéder à vos données dans le cadre de l'exécution des Services et de leurs fonctions.

B. Nos sous-traitants

Liste des sous-traitants :

Détail du traitement HubSpot (CRM Marketing)

SAABA utilise HubSpot comme outil de gestion de la relation client (CRM) et d'automatisation marketing.

Les données suivantes peuvent être synchronisées avec HubSpot :

Données NON transmises à HubSpot :

Coordonnées GPS précises
Documents sensibles (CNI, diplômes)
Données de santé
Messages de la messagerie interne

Base légale : Intérêt légitime (Art. 6.1.f RGPD) pour la prospection commerciale et la fidélisation client.

C. Les autres utilisateurs de la Plateforme

D. Organismes publics et autorités

8. VOS DONNÉES SONT-ELLES TRANSFÉRÉES HORS DE L'UNION EUROPÉENNE ?

Stockage principal en France

Vos données de profil et messages sont stockés sur les serveurs de MongoDB Atlas situés à Paris (AWS eu-west-3), dans l'Union européenne.

Transferts hors UE

Dans le cadre des outils que nous utilisons (voir article 7 sur les sous-traitants), vos données sont susceptibles de faire l'objet de transferts hors de l'Union européenne.

Le transfert de vos données dans ce cadre est sécurisé au moyen des outils suivants :

Pays avec décision d'adéquation : Les données sont transférées dans un pays ayant fait l'objet d'une décision d'adéquation de la Commission européenne, conformément à l'article 45 du RGPD. Dans ce cas, ce pays assure un niveau de protection jugé comme suffisant et adéquat aux dispositions du RGPD.
Pays sans décision d'adéquation : Les données sont transférées dans un pays dont le niveau de protection des données n'a pas été reconnu comme adéquat au RGPD. Dans ce cas, ces transferts sont fondés sur des garanties appropriées indiquées à l'article 46 du RGPD, notamment :
- Conclusion de clauses contractuelles types approuvées par la Commission Européenne
- Application de règles d'entreprises contraignantes (BCR - Binding Corporate Rules)
- Mécanisme de certification approuvé

Exception : Vos documents sensibles stockés en Zone B HDS ne font jamais l'objet de transferts hors de l'Union européenne.

9. QUELS SONT VOS DROITS SUR VOS DONNÉES ?

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants s'agissant de vos données personnelles :

A. Droit à l'information (Articles 13 et 14 RGPD)

B. Droit d'accès (Article 15 RGPD)

Vous avez le droit d'accéder à tout moment à l'ensemble de vos données personnelles et d'obtenir une copie de ces données.

C. Droit de rectification (Article 16 RGPD)

Vous avez le droit de rectifier à tout moment vos données personnelles inexactes, incomplètes ou obsolètes.

D. Droit à l'effacement (« droit à l'oubli ») (Article 17 RGPD)

Exceptions : Certaines données peuvent être conservées conformément aux obligations légales (ex: factures pendant 10 ans, données de santé selon les délais réglementaires).

E. Droit à la limitation du traitement (Article 18 RGPD)

F. Droit à la portabilité (Article 20 RGPD)

Export automatisé : Vous pouvez demander l'export de vos données en envoyant un email à rgpd@saaba.fr. L'export inclut :

Vos données de profil (JSON)
Vos messages (JSON)
Vos documents (fichiers originaux)
Vos transactions et factures (JSON)
Métadonnées complètes

L'export est généré sous format ZIP et mis à disposition via un lien sécurisé temporaire.

G. Droit d'opposition (Article 21 RGPD)

Vous avez le droit de vous opposer au traitement de vos données personnelles pour des motifs tenant à votre situation particulière.

Notez toutefois que nous pourrons maintenir le traitement malgré cette opposition, pour des motifs légitimes ou la défense de droits en justice.

H. Droit de retirer votre consentement (Article 7 RGPD)

Pour les finalités fondées sur le consentement (ex. : données de santé, newsletters, cookies, métadonnées EXIF/GPS), vous avez le droit de retirer votre consentement à tout moment.

Ce retrait ne remettra pas en cause la légalité du traitement effectué avant le retrait.

I. Droit de définir des directives post-mortem (Loi Informatique et Libertés)

Vous avez le droit de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre mort.

J. Droit d'introduire une réclamation (Article 77 RGPD)

CNIL : Commission Nationale de l'Informatique et des Libertés 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site web : www.cnil.fr

10. COMMENT EXERCER VOS DROITS ?

Vous pouvez exercer ces droits en nous écrivant :

Par email : rgpd@saaba.fr
Par courrier postal : G2 CARE (SAABA), 61 rue du Rouet, 13008 Marseille, France, à l'attention du DPO.

Nous pourrons vous demander à cette occasion de nous fournir des informations ou documents complémentaires pour justifier votre identité (copie de pièce d'identité).

11. CESSION DES DONNÉES À CARACTÈRE PERSONNEL

Vos données à caractère personnel ne feront pas l'objet de cessions, locations ou échanges au bénéfice de tiers sans votre consentement préalable.

12. SÉCURITÉ DE VOS DONNÉES

Mesures de sécurité mises en œuvre

Zone A (Données standard)

Chiffrement en transit : HTTPS/TLS 1.3 obligatoire
Chiffrement au repos : MongoDB Atlas encryption at rest (AES-256)
Authentification forte : Mots de passe complexes, authentification à deux facteurs (2FA) disponible
Contrôle d'accès : Accès aux données personnelles strictement limité aux personnes autorisées
Sauvegarde : Sauvegardes automatiques quotidiennes avec rétention 7 jours
Monitoring : Surveillance des infrastructures et détection des actes malveillants

Zone B (Documents sensibles - HDS)

Hébergement HDS : Scaleway certifié HDS (ISO 27001, HDS 1.1), datacenter Paris DC5
Chiffrement SSE-S3 : Chiffrement côté serveur AES-256 obligatoire
URLs signées temporaires : Accès aux documents via URLs pré-signées (TTL 60 secondes pour documents de santé, 300 secondes pour autres)
Audit trail : Journalisation de tous les accès aux documents sensibles
Isolation des données : Chaque utilisateur n'accède qu'à ses propres documents
Cycle de vie automatisé : Migration automatique vers stockage froid après 7 jours

Paiements

Stripe PCI-DSS : Nous ne stockons aucune donnée de carte bancaire. Toutes les transactions sont gérées par Stripe, certifié PCI-DSS Level 1.
Stripe Connect : Les paiements aux Intervenants transitent par Stripe Connect (comptes Express), garantissant la séparation des fonds.

13. COOKIES ET TRACEURS

Le Site utilise des cookies et autres traceurs pour améliorer l'expérience utilisateur, réaliser des statistiques de visite et optimiser les fonctionnalités du Site.

Qu'est-ce qu'un cookie ?

Quels types de cookies utilisons-nous ?

Comment gérer vos préférences cookies ?

Vous pouvez à tout moment paramétrer vos préférences en matière de cookies :

Via le bandeau de consentement accessible sur le Site
Via les paramètres de votre navigateur (voir les liens ci-dessous)

Comment paramétrer votre navigateur :

Chrome : https://support.google.com/chrome/answer/95647
Firefox : https://support.mozilla.org/fr/kb/activer-desactiver-cookies
Safari : https://support.apple.com/fr-fr/guide/safari/sfri11471/mac
Edge : https://support.microsoft.com/fr-fr/microsoft-edge/supprimer-les-cookies-dans-microsoft-edge

Durée de conservation des cookies : Les cookies de mesure d'audience sont conservés pendant 25 mois maximum.

14. DONNÉES DE SANTÉ — CONSENTEMENT EXPRÈS

Nature des données de santé

Les données de santé sont des données sensibles au sens de l'article 9 du RGPD et font l'objet d'une protection renforcée.

Stockage sécurisé HDS

Consentement exprès requis

Ces données ne sont conservées qu'avec votre consentement exprès via la case à cocher disponible au moment de la création de votre compte :

☑️ J'autorise Saaba à conserver les données de santé que je transmets via la messagerie de la Plateforme, afin de faciliter la coordination des soins et l'accompagnement par les Intervenants.

Droit de retrait du consentement

Vous pouvez retirer votre consentement à tout moment en nous écrivant à : rgpd@saaba.fr

Le retrait de votre consentement entraîne la suppression immédiate de toutes les données de santé vous concernant conservées sur la Plateforme.

15. MÉTADONNÉES DES IMAGES — EXIF ET GPS

Nature des métadonnées

Ces métadonnées sont des données personnelles au sens du RGPD.

Consentement exprès et granulaire requis

L'extraction et l'exploitation de ces métadonnées nécessitent votre consentement exprès et granulaire (EXIF séparé de GPS).

Avant l'upload de l'image, vous devez accepter :

☑️ J'autorise Saaba à extraire et exploiter les métadonnées EXIF de cette image (appareil photo, date, paramètres techniques) pour :

Authenticité et crédibilité SEO

Optimisation technique

Analyse par IA Vision

☐ J'autorise Saaba à extraire et exploiter les données de localisation GPS de cette image (coordonnées, ville, région) pour :

SEO local (référencement géographique)

Authenticité (preuve de localisation)

Je comprends que les coordonnées GPS exactes peuvent être floutées pour préserver ma vie privée.

Par défaut :

EXIF : Consentement par défaut (coché) — Impact SEO positif, risque faible.
GPS : Pas de consentement par défaut (décoché) — Risque vie privée élevé.

Floutage GPS par défaut

Les coordonnées GPS exactes sont floutées par défaut (~500m de précision) pour protéger votre vie privée. Seules la ville et la région sont conservées pour le SEO local.

Droit de retrait du consentement

Vous pouvez retirer votre consentement EXIF ou GPS à tout moment en nous écrivant à : rgpd@saaba.fr

Le retrait de votre consentement entraîne la suppression immédiate des métadonnées concernées.

16. RECHERCHE GÉOLOCALISÉE

Nature des données de localisation

Lors de votre recherche de prestataires sur la Plateforme, nous pouvons traiter des données de localisation pour vous proposer des intervenants à proximité de votre position.

Données traitées

Nous traitons deux types de données de localisation :

A. Recherche par ville (textuelle)

Données traitées :

Ville ou code postal saisi
Coordonnées géographiques approximatives (centre de la ville)

Classification RGPD :

❌ Pas une donnée personnelle au sens du RGPD Art. 4(1)
🟢 Donnée géographique générale (ville, code postal)

Une ville comme "Marseille" n'identifie pas une personne physique et ne permet pas de vous identifier directement ou indirectement.

B. Recherche "Autour de moi" (GPS mobile)

Données traitées :

Coordonnées GPS précises (latitude, longitude) fournies par votre navigateur
Rayon de recherche (par défaut : 10 km)

Classification RGPD :

⚠️ Données de géolocalisation précises (Art. 9 RGPD si précision < 50m)
🟡 Consentement requis (RGPD + Directive ePrivacy)

Finalité du traitement

Base légale

Nous traitons vos données de localisation sur les bases légales suivantes :

Pourquoi l'intérêt légitime pour la recherche par ville ?

Intérêt légitime : Fournir une recherche locale pertinente (UX optimale)
Pas d'atteinte disproportionnée : Données non personnelles (ville générale)
Balance des intérêts : L'utilisateur bénéficie d'une recherche locale précise

Pourquoi le consentement pour la recherche GPS ?

Le consentement est automatiquement demandé par votre navigateur (API HTML5 Geolocation)
Vous pouvez refuser l'accès à votre position GPS
Si vous refusez, la recherche s'effectuera sans filtrage géographique

Conservation des données

Important : Les coordonnées GPS ne sont jamais stockées de manière persistante.

Durée de traitement : Les données de localisation sont utilisées uniquement pour la recherche en cours et sont supprimées immédiatement après l'affichage des résultats.

Pas de tracking : Nous ne conservons aucun historique de vos recherches géolocalisées.

Tiers — API Adresse du Gouvernement Français

Pour convertir les villes en coordonnées GPS, nous utilisons l'API Adresse du Gouvernement Français (https://adresse.data.gouv.fr).

Caractéristiques :

Service public gratuit de l'État français
Hébergé en France (pas de transfert hors UE)
Pas de collecte de données personnelles
Pas de cookies ou traceurs

Données transmises à l'API :

Ville ou code postal saisi (ex. : "Marseille 13001")

Données reçues de l'API :

Coordonnées géographiques (latitude, longitude)
Nom de la ville, code postal, département

Politique de confidentialité de l'API Adresse : https://adresse.data.gouv.fr

Cache serveur (optimisation performance)

Données cachées :

Ville → Coordonnées GPS (ex. : "Marseille" → [43.296482, 5.36978])

Classification RGPD :

❌ Pas de données personnelles (cache anonyme)
🟢 Données géographiques générales

Durée de conservation du cache : 7 jours maximum

RGPD-friendly : Le cache contient uniquement des villes et coordonnées générales, pas de données utilisateur.

Droit d'accès et d'effacement

Droit d'accès (Art. 15 RGPD) : Vous pouvez demander l'accès à vos données de localisation.

Droit à l'effacement (Art. 17 RGPD) : Vous pouvez demander la suppression de vos données de localisation.

Réponse : ⚠️ Pas de données à supprimer — Vos coordonnées GPS ne sont jamais stockées. Elles sont traitées en mémoire uniquement et supprimées immédiatement.

Sécurité

Les coordonnées GPS sont traitées de manière sécurisée :

Retrait du consentement (GPS)

Si vous avez autorisé l'accès à votre position GPS via le bouton "Autour de moi", vous pouvez retirer votre consentement à tout moment :

Méthode 1 : Paramètres du navigateur

Chrome : Paramètres → Confidentialité et sécurité → Paramètres des sites → Localisation
Firefox : Paramètres → Vie privée et sécurité → Permissions → Localisation
Safari : Préférences → Sites web → Localisation

Méthode 2 : Refuser l'autorisation

Lors de la prochaine recherche "Autour de moi", cliquez sur "Bloquer" dans la popup de votre navigateur.

Conséquence du retrait : La recherche "Autour de moi" ne fonctionnera plus. Vous pourrez toujours utiliser la recherche par ville (textuelle).

Informations complémentaires

Transparence UX : Lors de l'utilisation de la recherche géolocalisée, nous affichons un message explicatif :

💡 Nous utilisons votre localisation pour vous proposer des prestataires à proximité.

Vos coordonnées GPS ne sont jamais stockées et sont utilisées uniquement pour cette recherche.

Aucun profilage : Les données de localisation ne sont pas utilisées pour du profilage, de la publicité ciblée ou de l'analyse comportementale.

17. TÉMOIGNAGES ET CONTENUS GÉNÉRÉS PAR LES UTILISATEURS

Réutilisation des témoignages

Les témoignages associés à une fiche Intervenant peuvent être réutilisés sur l'application Saaba ou en externe de manière globale, sans restriction géographique ou temporelle.

Les Intervenants acceptent que leurs témoignages puissent être utilisés :

Sur la plateforme Saaba (fiche profil, sections marketing, etc.)
En externe (publications, réseaux sociaux, supports marketing)
De manière globale et sans limitation géographique

Consentement du témoin

Chaque témoin (Bénéficiaire, Aidant) doit donner son consentement explicite pour la publication et la réutilisation de son témoignage. Ce consentement doit inclure :

L'utilisation sur l'application Saaba
La réutilisation externe (marketing, promotion)
L'utilisation globale sans restriction géographique
La conservation et l'utilisation future du témoignage

Le consentement doit être obtenu avant la publication du témoignage et peut être révoqué à tout moment par le témoin en nous contactant à : rgpd@saaba.fr

18. SCORING AUTOMATISÉ ET CLASSEMENT (RGPD Art. 22)

Nature du traitement

Scores calculés

A. Score d'Authenticité (Intervenants)

Ce score évalue la fiabilité et la complétude du profil d'un Intervenant. Il est calculé automatiquement à partir des critères suivants :

B. Score de Capital Temporel (Tous utilisateurs)

Ce score mesure l'engagement et la qualité des interactions sur la plateforme. Il prend en compte :

La qualité des échanges et des missions
La réactivité aux demandes
Les contributions positives à la communauté
Les recommandations et parrainages

Conséquences du scoring

Les scores calculés influencent :

Le classement des Intervenants dans les résultats de recherche (visibilité améliorée pour les profils authentiques)
La priorisation des communications marketing (contacts les plus engagés)
Les suggestions de matching (adéquation profil/demande)

Absence de décision exclusivement automatisée

Important : Conformément au RGPD (Art. 22), ces scores ne constituent pas une décision exclusivement automatisée produisant des effets juridiques ou significatifs :

Le choix final de l'Intervenant est toujours fait par l'utilisateur (Bénéficiaire/Aidant)
Le score n'entraîne aucune exclusion automatique de la plateforme
Une intervention humaine est possible à tout moment pour contester ou corriger un score

Vos droits

Droit d'accès (Art. 15 RGPD) : Vous pouvez demander à connaître votre score d'authenticité et les éléments qui le composent.

Droit d'explication : Vous pouvez obtenir des informations sur la logique du scoring et son impact sur votre visibilité.

Droit de contestation : Si vous estimez que votre score est erroné ou injuste, vous pouvez nous contacter pour une révision humaine.

Contact : rgpd@saaba.fr

19. PROGRAMME AMBASSADEUR — OPT-IN EXPLICITE

Nature du Programme

Éligibilité et prérequis

Pour devenir éligible au Programme Ambassadeur, vous devez remplir les critères suivants :

Profil Expert : 6 mois d'ancienneté, note moyenne 4.5+, 10+ missions réalisées, 3+ spécialités
Membre d'une équipe : Être membre d'une équipe Mode Équipe sur la plateforme

Important : L'éligibilité ne déclenche aucune inscription automatique. Vous devez explicitement choisir de rejoindre le programme.

Données collectées

Lors de votre inscription au Programme Ambassadeur, nous collectons et traitons les données suivantes :

Base légale

Consentement explicite requis

L'inscription au Programme Ambassadeur nécessite votre consentement explicite via le bouton « Rejoindre le Programme Ambassadeur » disponible sur votre dashboard Intervenant.

En cliquant sur ce bouton, vous acceptez :

De participer au Programme Ambassadeur de SAABA
Que votre badge Ambassadeur soit visible sur votre profil public
De recevoir des communications relatives au programme (avancement, récompenses)
De représenter SAABA auprès de vos pairs professionnels

Durée de conservation

Droit de retrait

Vous pouvez vous retirer du Programme Ambassadeur à tout moment en nous contactant à : rgpd@saaba.fr

Le retrait entraîne :

La suppression de votre badge Ambassadeur de votre profil
L'arrêt des communications relatives au programme
La conservation de l'historique pendant les durées légales (preuve de consentement, conformité comptable)

Important : Le retrait du Programme Ambassadeur n'affecte pas votre compte Intervenant ni votre utilisation de la plateforme.

20. INTELLIGENCE ARTIFICIELLE ET EU AI ACT

Conformité au Règlement Européen sur l'IA

Systèmes IA utilisés

A. Algorithme de Matching (Risque Limité)

Notre algorithme de recommandation analyse vos critères pour vous proposer les intervenants les plus adaptés :

Important : L'algorithme suggère, mais la décision finale vous appartient toujours.

B. Neuro-Ergonomie Ouroboros (Risque Limité - Consentement requis)

Ce système analyse votre navigation (mouvements de souris, temps de réponse) pour détecter d'éventuelles difficultés et adapter l'interface.

Pour plus de détails, consultez notre Avenant RGPD Neuro-Comportemental.

C. Détection de Demande par Zone (Risque Minimal)

Le système Ouroboros³ agrège les recherches par zone géographique pour identifier les besoins non satisfaits et prioriser le recrutement d'intervenants.

Données traitées : Localisation de recherche (ville/département), catégorie de service
Aucune donnée personnelle : Seules des statistiques agrégées par zone sont utilisées
Finalité : Améliorer la couverture géographique du service

D. Contribution à l'IA Saaba (Consentement explicite requis)

Différence fondamentale avec les IA tierces :

Classification EU AI Act

Engagements de transparence

Nous nous engageons à :

Informer clairement lorsque vous interagissez avec un système IA (badge "IA" visible)
Expliquer pourquoi un profil vous est suggéré sur demande
Ne jamais utiliser l'IA pour du scoring social ou de la discrimination
Maintenir une supervision humaine sur tous les systèmes

Vos droits concernant l'IA

Droit à l'information : Savoir quand vous interagissez avec un système IA
Droit à l'explication : Comprendre la logique derrière une suggestion
Droit de contestation : Signaler une suggestion inappropriée ou discriminatoire
Droit de désactivation : Retirer le consentement pour la neuro-ergonomie

Pour exercer ces droits : rgpd@saaba.fr

Page dédiée : /transparence-ia

21. AGENTS IA EXTERNES ET PROTOCOLES MCP/UCP

A. Interopérabilité avec les assistants IA

Protocoles supportés :

MCP (Model Context Protocol) : Standard d'interopérabilité IA développé par Anthropic
UCP (Unified Context Protocol) : Extension pour contexte unifié multi-agents
JSON-LD / Schema.org : Données structurées sémantiques (AEO - Answer Engine Optimization)

Point d'accès : /.well-known/ucp.json

B. Classification des outils selon le RGPD

Outils PUBLICS (Sans consentement)

Ces outils accèdent aux mêmes données qu'un visiteur du site. L'agent IA externe agit comme un simple client web.

Pourquoi pas de consentement ? Ces outils retournent des données publiquement accessibles sur le site. L'agent IA n'accède à rien de plus qu'un visiteur humain.

Outils PRIVÉS (Consentement + Authentification)

Ces outils accèdent ou modifient des données personnelles. Ils nécessitent :

Votre consentement explicite (catégorie "Agents IA externes" dans le gestionnaire de cookies)
Votre authentification sur la Plateforme

| Outil | Description | Base légale RGPD | |-------|-------------|------------------| | request_replacement | Demande de remplacement | Art. 6.1.a (consentement) |

C. Catégorie de consentement "Agents IA externes"

Une nouvelle catégorie de consentement a été ajoutée au gestionnaire de cookies :

☐ Agents IA externes (agentic_ai)
   Autorisez des assistants IA (Google Gemini, ChatGPT, Claude) à effectuer
   des actions en votre nom sur Saaba (demandes de remplacement, etc.).
   Ces agents n'accèdent JAMAIS à vos données de santé ou documents sensibles.

Caractéristiques :

Opt-in explicite : Décoché par défaut (vous devez activer)
Durée : 13 mois (conformité CNIL)
Révocable : À tout moment via le gestionnaire de cookies ou vos paramètres

D. Données collectées lors des invocations

Chaque invocation d'outil par un agent IA externe génère des données de traçabilité :

Durée de conservation : 13 mois (alignée sur le consentement cookies).

E. Données JAMAIS accessibles aux agents IA externes

Les agents IA externes n'ont jamais accès aux données suivantes, même avec votre consentement :

❌ Données de santé (attestations médicales, ordonnances, messages contenant des informations de santé)
❌ Documents sensibles (pièces d'identité, diplômes, RIB) stockés en Zone B HDS
❌ Messages privés de la messagerie interne
❌ Coordonnées complètes (email, téléphone, adresse exacte)
❌ Données financières (transactions, factures)

F. Différence avec le Training IA (Section 20.D)

G. Vos droits concernant les agents IA externes

Droit d'accès (Art. 15 RGPD) : Vous pouvez demander l'historique des invocations d'outils effectuées par des agents IA en votre nom.

Droit d'opposition (Art. 21 RGPD) : Vous pouvez :

Refuser la catégorie "Agents IA externes" dans le gestionnaire de cookies
Retirer votre consentement à tout moment
Demander la suppression de l'historique d'invocations

Contact : rgpd@saaba.fr

H. Sécurité et audit

Mesures de sécurité :

Vérification du consentement avant chaque invocation
Validation de l'authentification pour les outils PRIVÉS
Rate limiting pour prévenir les abus
Audit trail complet pour conformité CNIL

En cas de contrôle CNIL : Les logs d'invocation permettent de prouver :

Que le consentement était valide au moment de l'invocation
Que les outils PUBLICS n'accédaient qu'à des données publiques
Que les outils PRIVÉS n'étaient invoqués qu'avec consentement explicite

22. DURÉES DE CONSERVATION DES DONNÉES

Tableau récapitulatif des durées de conservation

Au-delà de ces durées, vos données personnelles sont supprimées ou anonymisées de manière irréversible.

23. MODIFICATION DE LA PRÉSENTE POLITIQUE

Nous pouvons modifier à tout moment la présente Politique, afin notamment de nous conformer à toutes évolutions réglementaires, jurisprudentielles, éditoriales ou techniques.

Ces modifications s'appliqueront à la date d'entrée en vigueur de la version modifiée. Vous êtes donc invité(e) à consulter régulièrement la dernière version de cette Politique.

Néanmoins, nous vous tiendrons informé(e) de toute modification significative de la présente Politique de confidentialité par email ou via un message sur la Plateforme.

24. CONTACT

Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter :

Email DPO : rgpd@saaba.fr
Email général : contact@saaba.fr
Téléphone : 09 52 89 58 11
Courrier postal : G2 CARE (SAABA), 61 rue du Rouet, 13008 Marseille, France, à l'attention du DPO.

25. LOI APPLICABLE

La présente Politique est régie par la loi française et notamment :

La Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »)
Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (« RGPD »)
L'article L.1111-8 du Code de la santé publique relatif à l'hébergement de données de santé (HDS)

Date d'entrée en vigueur : 11 janvier 2026