Politique de confidentialité
Dernière mise à jour : 2026-04-08
1. Introduction
La présente politique de confidentialité décrit comment CURUBA SARL (« nous », « notre », « Nexom ») collecte, utilise, stocke et protège vos données personnelles lorsque vous utilisez la plateforme Nexom.ai et visitez notre site web.
Nous nous engageons à protéger votre vie privée conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), à la Loi Informatique et Libertés (Loi n°78-17 modifiée), à la Directive ePrivacy (2002/58/CE) et au Règlement européen sur l’Intelligence Artificielle (Règlement UE 2024/1689).
2. Responsable de traitement
CURUBA SARL
18 rue Voltaire, 78640 Neauphle-le-Château, France
Capital social : 2 500 €
RCS : 519 818 785 R.C.S. Versailles
Contact : privacy@nexom.ai
CURUBA SARL est responsable de traitement au sens de l’article 4(7) du RGPD pour les données collectées via le site web nexom.ai et la plateforme Nexom. Pour les données que vous saisissez dans la plateforme (notes, contacts, messages), CURUBA agit en tant que sous-traitant (processeur) pour le compte de votre organisation.
3. Données collectées
Nous collectons les catégories de données suivantes :
3.1 Données d’identité et de compte
Nom, prénom, adresse email, mot de passe (haché), photo de profil, intitulé de poste, paramètres et préférences de compte.
3.2 Contenu utilisateur
Notes, documents, fichiers, base de connaissances, tâches, projets, contacts stockés, espaces de travail et toutes les données que vous créez ou importez dans la plateforme.
3.3 Données de communication
Messages instantanés, contenu des emails connectés, enregistrements et transcriptions de visioconférences (si activés par vous), pièces jointes.
3.4 Données techniques
Adresse IP, identifiant d’appareil, type de navigateur, système d’exploitation, horodatages de connexion, données de performance et journaux de sécurité.
3.5 Données de facturation
Informations de paiement (traitées par Stripe — nous ne stockons pas vos numéros de carte), historique des factures, détails d’abonnement.
3.6 Données d’utilisation
Fonctionnalités utilisées, interactions avec la plateforme, statistiques agrégées d’utilisation via Umami (analytique respectueuse de la vie privée, sans cookies).
4. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) | Durée de conservation |
|---|---|---|
| Fourniture du service (notes, tâches, messagerie, visio) | Exécution du contrat (Art. 6(1)(b)) | Durée du contrat + 30 jours |
| Création et gestion de compte | Exécution du contrat (Art. 6(1)(b)) | Durée du contrat |
| Fonctionnalités IA (résumés, suggestions, analyse) | Exécution du contrat (Art. 6(1)(b)) | Durée de la session de traitement |
| Facturation | Obligation légale (Art. 6(1)(c)) | 10 ans (droit commercial) |
| Sécurité et prévention des fraudes | Intérêt légitime (Art. 6(1)(f)) | 1 an pour les journaux |
| Amélioration de la plateforme et analyses | Intérêt légitime (Art. 6(1)(f)) | Données agrégées uniquement |
| Communications marketing | Consentement (Art. 6(1)(a)) | Jusqu’au retrait du consentement |
| Conformité légale | Obligation légale (Art. 6(1)(c)) | Selon l’obligation applicable |
5. Fonctionnalités d’intelligence artificielle
Nexom intègre des fonctionnalités alimentées par l’intelligence artificielle (résumés, suggestions, analyse approfondie, applications IA). Les interactions avec l’IA se font soit dans les conversations (assistant IA), soit par le biais d’agents autonomes qui exécutent des tâches à votre demande. Voici comment nous traitons vos données dans ce contexte :
- Fournisseurs d’IA utilisés : Mistral AI (France/UE), OpenAI (USA), Google (USA), Anthropic (USA). Vous pouvez désactiver tout fournisseur depuis vos paramètres.
- Données transmises : Lorsque vous utilisez une fonctionnalité IA, le contenu pertinent (note, message, document) est envoyé au fournisseur sélectionné pour traitement. Seul le contenu nécessaire est transmis.
- Pas d’entraînement sur vos données : Vos données ne sont jamais utilisées pour entraîner ou améliorer des modèles d’IA. Nos contrats API avec chaque fournisseur l’interdisent explicitement.
- Transparence : Conformément à l’article 50 du Règlement UE sur l’IA, vous êtes informé(e) lorsque vous interagissez avec un système d’IA. Les fonctionnalités IA sont clairement identifiées dans l’interface.
- Agents autonomes : Certaines fonctionnalités utilisent des agents IA autonomes qui traitent vos données pour exécuter des tâches (résumés d’emails, identification de tâches, etc.). Ces agents peuvent être désactivés au niveau de l’organisation et au niveau de l’utilisateur dans les préférences.
- Limitation : Les résultats générés par l’IA peuvent être inexacts ou incomplets. Ils ne constituent pas un conseil professionnel et doivent être vérifiés par l’utilisateur.
- Opt-out : Vous pouvez désactiver les fonctionnalités IA, les agents autonomes, ou choisir spécifiquement quels fournisseurs sont autorisés, au niveau de l’organisation et de l’utilisateur.
6. Visioconférence et messagerie
6.1 Messagerie instantanée
Les messages échangés via Nexom sont stockés sur nos serveurs pour fournir le service. Les administrateurs de votre organisation n’ont accès qu’aux groupes de conversation dont ils sont expressément membres.
6.2 Visioconférence
Les appels vidéo et audio sont traités en temps réel et ne sont pas enregistrés sur la plateforme. Les métadonnées (participants, durée, horodatages) sont conservées.
6.3 Intégration email
Lorsque vous connectez votre boîte email, Nexom accède à vos messages pour fournir les fonctionnalités de résumé IA et de gestion des tâches. Vos emails sont chiffrés en transit (TLS).
7. Cookies et traceurs
Notre site web utilise un nombre minimal de cookies :
- Cookies strictement nécessaires : Session, authentification, CSRF, préférence de langue. Aucun consentement requis.
- Analytique : Nous utilisons Umami, une solution d’analyse respectueuse de la vie privée qui ne dépose aucun cookie et n’effectue aucun suivi inter-sites.
Nous n’utilisons pas de cookies publicitaires ni de traceurs tiers à des fins marketing.
8. Partage des données et sous-traitants
Nous ne vendons jamais vos données personnelles. Nous partageons vos données uniquement avec les catégories de sous-traitants suivantes, dans le cadre de contrats conformes à l’article 28 du RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVHcloud | Hébergement des données et infrastructure | France (Roubaix) |
| Stripe | Traitement des paiements | UE / USA (certifié DPF) |
| Mistral AI | Traitement IA (désactivable) | France / UE |
| OpenAI | Traitement IA (désactivable) | USA (CCT) |
| Traitement IA (désactivable) | USA (certifié DPF) | |
| Anthropic | Traitement IA (désactivable) | USA (CCT) |
Nous vous informerons au moins 30 jours avant l’ajout de tout nouveau sous-traitant.
9. Transferts internationaux de données
Vos données sont hébergées chez OVHcloud à Roubaix, France, entièrement sous juridiction européenne.
Lorsque vous utilisez des fournisseurs d’IA non européens (OpenAI, Google, Anthropic), les données nécessaires au traitement sont transférées vers les États-Unis sous la protection des Clauses Contractuelles Types (CCT) conformes à la décision d’exécution UE 2021/914, et le cas échéant du cadre EU-US Data Privacy Framework (DPF) lorsque le fournisseur y est certifié.
Vous pouvez éviter tout transfert hors UE en sélectionnant uniquement Mistral AI comme fournisseur dans vos paramètres.
10. Durées de conservation
| Catégorie de données | Durée |
|---|---|
| Données de compte | Durée du contrat, puis suppression sous 30 jours |
| Contenu utilisateur (notes, tâches, contacts) | Durée du contrat + 30 jours pour l’export |
| Messages et communications | Durée du contrat + 30 jours |
| Métadonnées de visioconférence | Durée du contrat + 30 jours |
| Données de facturation | 10 ans (obligation légale) |
| Journaux de sécurité | 1 an |
| Prospects marketing | 3 ans à compter du dernier contact |
11. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d’accès (Art. 15) : Obtenir une copie de vos données personnelles.
- Droit de rectification (Art. 16) : Corriger des données inexactes.
- Droit à l’effacement (Art. 17) : Demander la suppression de vos données.
- Droit à la limitation (Art. 18) : Restreindre le traitement de vos données.
- Droit à la portabilité (Art. 20) : Recevoir vos données dans un format structuré et lisible par machine.
- Droit d’opposition (Art. 21) : Vous opposer au traitement fondé sur l’intérêt légitime.
- Droit de ne pas faire l’objet d’une décision automatisée (Art. 22) : Inclut le profilage.
- Droit de retirer votre consentement (Art. 7(3)) : À tout moment, sans affecter la légalité du traitement antérieur.
Pour exercer vos droits, contactez-nous à privacy@nexom.ai. Nous répondons sous 1 mois (extensible de 2 mois pour les demandes complexes, conformément à l’article 12(3) du RGPD).
Réclamation : Vous avez le droit d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) : www.cnil.fr
12. Public visé
Nexom est un service exclusivement destiné aux professionnels (B2B). Le Service n’est pas destiné aux consommateurs ni aux mineurs.
13. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :
- Chiffrement des données en transit (TLS 1.2+)
- Contrôles d’accès stricts et authentification renforcée
- Hébergement sécurisé chez OVHcloud (certifié ISO 27001)
- Sauvegardes régulières et plan de reprise d’activité
- Surveillance et détection d’intrusions
14. Notification de violations de données
En cas de violation de données personnelles, nous nous engageons à :
- Notifier la CNIL dans les 72 heures suivant la découverte de la violation (Art. 33 RGPD).
- Vous informer sans délai injustifié si la violation présente un risque élevé pour vos droits et libertés (Art. 34 RGPD), par email et notification dans l’application.
- Documenter toutes les violations, leurs effets et les mesures correctives prises.
15. Directives post-mortem
Conformément à l’article 85 de la Loi Informatique et Libertés, vous pouvez définir des directives générales ou spécifiques relatives à la conservation, l’effacement et la communication de vos données personnelles après votre décès.
En l’absence de directives, les héritiers peuvent exercer les droits nécessaires à la clôture du compte et à l’accès aux données. Pour définir vos directives, contactez privacy@nexom.ai.
16. Modifications de cette politique
Nous pouvons modifier cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par email ou via une notification dans la plateforme au moins 30 jours avant l’entrée en vigueur. Les versions précédentes restent disponibles sur demande.
17. Contact
Pour toute question relative à cette politique de confidentialité ou à la protection de vos données, contactez-nous :
CURUBA SARL
18 rue Voltaire, 78640 Neauphle-le-Château, France
Email : privacy@nexom.ai