Vos données de prospects, protégées.
Dernière mise à jour : 4 juillet 2026
Sophie traite des conversations avec vos prospects. Nous prenons cette responsabilité au sérieux : hébergement dans l'Union européenne, durées de conservation strictes, effacement outillé et sécurité by design. Voici, concrètement, comment.
1. Qui fait quoi — le cadre RGPD
La répartition des rôles est claire, et elle vous protège autant qu'elle protège vos prospects :
Vous, l'agent
Ce sont vos prospects, votre relation commerciale. Vous décidez des finalités et restez maître de la donnée.
Folodia
Nous traitons les données uniquement sur vos instructions, pour faire fonctionner Sophie. Jamais pour notre compte, jamais revendues.
Cette relation est encadrée par un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD, que nous mettons à votre disposition (voir section 7).
2. Où sont vos données
Les données de vos prospects (fiches, historique d'appels, transcriptions) sont stockées dans notre base de données hébergée dans l'Union européenne (région de Francfort, Allemagne), sur une infrastructure managée (Supabase) qui assure le chiffrement des données au repos et en transit.
Certaines briques techniques indispensables au fonctionnement d'un agent vocal (moteur vocal, intelligence artificielle, envoi d'emails) reposent sur des prestataires situés hors UE. Ces transferts sont encadrés (voir sections 5 et 6).
3. Combien de temps — la donnée ne s'accumule pas
Nous appliquons des durées de conservation strictes, exécutées automatiquement, chaque nuit :
Transcription, enregistrement audio, résumé et numéros de téléphone sont purgés automatiquement passé 12 mois — y compris l'enregistrement chez notre prestataire vocal. Seules des statistiques anonymes de l'appel (date, durée) subsistent.
Un prospect sans aucune interaction depuis 3 ans (durée recommandée par la CNIL en prospection) est automatiquement anonymisé puis archivé.
4. Le droit à l'effacement, outillé
Quand un de vos prospects exerce son droit à l'effacement, vous n'êtes pas démuni. Sophie vous donne deux leviers, propagés jusqu'au bout de la chaîne :
- Anonymisation — la fiche est vidée de toute donnée identifiante (nom, téléphone, email, transcription), tout en préservant vos statistiques agrégées.
- Suppression définitive — la fiche, ses appels et son historique sont supprimés, avec une confirmation explicite pour éviter tout accident.
Dans les deux cas, l'effacement est propagé jusqu'à l'enregistrement d'appel chez notre prestataire vocal. Pour les autres droits (accès, rectification, portabilité), Folodia vous assiste sur demande.
5. Nos sous-traitants
Nous nous appuyons sur un nombre restreint de prestataires techniques, chacun pour une fonction précise. Vos données ne sont jamais vendues ni utilisées à des fins publicitaires.
| Prestataire | Rôle | Données concernées | Hébergement |
|---|---|---|---|
| Supabase | Base de données — stockage des fiches, appels, historique | Fiches prospects, transcriptions | UE · Francfort |
| Retell AI | Moteur de l'agent vocal (reconnaissance et synthèse vocale, enregistrement d'appel) | Voix, transcription, numéros | Hors UE · US |
| Anthropic | Intelligence artificielle — analyse des conversations pour créer la fiche | Transcription d'appel | Hors UE · US |
| Resend | Envoi des emails de notification (fiche prospect vers votre boîte) | Fiche prospect | Hors UE · US |
La liste à jour et détaillée des sous-traitants figure dans le DPA. Nous vous informons de tout changement conformément à l'article 28 du RGPD.
6. Transferts hors Union européenne
Les prestataires situés aux États-Unis (moteur vocal, IA, emailing) traitent des données encadrées par des garanties appropriées prévues par le RGPD : clauses contractuelles types de la Commission européenne et, le cas échéant, Data Privacy Framework UE–États-Unis. Le stockage principal de vos fiches, lui, reste dans l'Union européenne.
7. Comment nous sécurisons Sophie
Concrètement, voici les mesures techniques en place :
Le tableau de bord est protégé par authentification à jeton (JWT), avec des rôles distincts (agent, agence, administrateur) et une isolation par client : vous ne voyez que vos données.
Chaque échange avec le moteur vocal est vérifié par signature cryptographique (HMAC) avec protection anti-rejeu, pour empêcher toute injection frauduleuse.
Numéros de téléphone et emails sont masqués dans nos journaux techniques. Toute modification de donnée est tracée dans un journal d'audit.
Aucun identifiant n'est stocké dans notre code ; les communications transitent en HTTPS/TLS. La base applique en complément le Row-Level Security de PostgreSQL.
8. Transparence de l'agent vocal
Dès le début de l'appel, Sophie se présente comme une assistante virtuelle et annonce qu'elle enregistre la conversation pour préparer la demande. Votre prospect sait, dès les premières secondes, qu'il échange avec une intelligence artificielle et que l'appel est enregistré — conformément aux exigences de transparence (CNIL, AI Act) et d'information (RGPD). Sophie ne se fait jamais passer pour un humain.
9. Un DPA à votre disposition & un contact
Pour vos propres obligations de responsable de traitement, nous fournissons un accord de sous-traitance (DPA) prêt à signer, ainsi que les éléments utiles à votre registre des traitements.
Pour toute question relative à la protection des données, écrivez-nous à martin@folodia.com.