Sécurité & conformité

Vos données de prospects, protégées.

Dernière mise à jour : 4 juillet 2026

Sophie traite des conversations avec vos prospects. Nous prenons cette responsabilité au sérieux : hébergement dans l'Union européenne, durées de conservation strictes, effacement outillé et sécurité by design. Voici, concrètement, comment.

1. Qui fait quoi — le cadre RGPD

La répartition des rôles est claire, et elle vous protège autant qu'elle protège vos prospects :

Responsable de traitement

Vous, l'agent

Ce sont vos prospects, votre relation commerciale. Vous décidez des finalités et restez maître de la donnée.

Sous-traitant · Art. 28

Folodia

Nous traitons les données uniquement sur vos instructions, pour faire fonctionner Sophie. Jamais pour notre compte, jamais revendues.

Cette relation est encadrée par un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD, que nous mettons à votre disposition (voir section 7).

2. Où sont vos données

Les données de vos prospects (fiches, historique d'appels, transcriptions) sont stockées dans notre base de données hébergée dans l'Union européenne (région de Francfort, Allemagne), sur une infrastructure managée (Supabase) qui assure le chiffrement des données au repos et en transit.

Certaines briques techniques indispensables au fonctionnement d'un agent vocal (moteur vocal, intelligence artificielle, envoi d'emails) reposent sur des prestataires situés hors UE. Ces transferts sont encadrés (voir sections 5 et 6).

3. Combien de temps — la donnée ne s'accumule pas

Nous appliquons des durées de conservation strictes, exécutées automatiquement, chaque nuit :

Contenu des appels : effacé au bout de 12 mois

Transcription, enregistrement audio, résumé et numéros de téléphone sont purgés automatiquement passé 12 mois — y compris l'enregistrement chez notre prestataire vocal. Seules des statistiques anonymes de l'appel (date, durée) subsistent.

Prospects inactifs : anonymisés au bout de 3 ans

Un prospect sans aucune interaction depuis 3 ans (durée recommandée par la CNIL en prospection) est automatiquement anonymisé puis archivé.

4. Le droit à l'effacement, outillé

Quand un de vos prospects exerce son droit à l'effacement, vous n'êtes pas démuni. Sophie vous donne deux leviers, propagés jusqu'au bout de la chaîne :

  • Anonymisation — la fiche est vidée de toute donnée identifiante (nom, téléphone, email, transcription), tout en préservant vos statistiques agrégées.
  • Suppression définitive — la fiche, ses appels et son historique sont supprimés, avec une confirmation explicite pour éviter tout accident.

Dans les deux cas, l'effacement est propagé jusqu'à l'enregistrement d'appel chez notre prestataire vocal. Pour les autres droits (accès, rectification, portabilité), Folodia vous assiste sur demande.

À noter. Un email déjà envoyé (fiche prospect transmise dans votre boîte) peut subsister chez notre prestataire d'emailing ; ce point est hors du périmètre de l'effacement automatique et documenté comme tel.

5. Nos sous-traitants

Nous nous appuyons sur un nombre restreint de prestataires techniques, chacun pour une fonction précise. Vos données ne sont jamais vendues ni utilisées à des fins publicitaires.

PrestataireRôleDonnées concernéesHébergement
SupabaseBase de données — stockage des fiches, appels, historiqueFiches prospects, transcriptionsUE · Francfort
Retell AIMoteur de l'agent vocal (reconnaissance et synthèse vocale, enregistrement d'appel)Voix, transcription, numérosHors UE · US
AnthropicIntelligence artificielle — analyse des conversations pour créer la ficheTranscription d'appelHors UE · US
ResendEnvoi des emails de notification (fiche prospect vers votre boîte)Fiche prospectHors UE · US

La liste à jour et détaillée des sous-traitants figure dans le DPA. Nous vous informons de tout changement conformément à l'article 28 du RGPD.

6. Transferts hors Union européenne

Les prestataires situés aux États-Unis (moteur vocal, IA, emailing) traitent des données encadrées par des garanties appropriées prévues par le RGPD : clauses contractuelles types de la Commission européenne et, le cas échéant, Data Privacy Framework UE–États-Unis. Le stockage principal de vos fiches, lui, reste dans l'Union européenne.

7. Comment nous sécurisons Sophie

Concrètement, voici les mesures techniques en place :

Accès authentifié et cloisonné

Le tableau de bord est protégé par authentification à jeton (JWT), avec des rôles distincts (agent, agence, administrateur) et une isolation par client : vous ne voyez que vos données.

Appels entrants authentifiés

Chaque échange avec le moteur vocal est vérifié par signature cryptographique (HMAC) avec protection anti-rejeu, pour empêcher toute injection frauduleuse.

Données masquées dans nos journaux

Numéros de téléphone et emails sont masqués dans nos journaux techniques. Toute modification de donnée est tracée dans un journal d'audit.

Secrets protégés, transit chiffré

Aucun identifiant n'est stocké dans notre code ; les communications transitent en HTTPS/TLS. La base applique en complément le Row-Level Security de PostgreSQL.

8. Transparence de l'agent vocal

Dès le début de l'appel, Sophie se présente comme une assistante virtuelle et annonce qu'elle enregistre la conversation pour préparer la demande. Votre prospect sait, dès les premières secondes, qu'il échange avec une intelligence artificielle et que l'appel est enregistré — conformément aux exigences de transparence (CNIL, AI Act) et d'information (RGPD). Sophie ne se fait jamais passer pour un humain.

9. Un DPA à votre disposition & un contact

Pour vos propres obligations de responsable de traitement, nous fournissons un accord de sous-traitance (DPA) prêt à signer, ainsi que les éléments utiles à votre registre des traitements.

Pour toute question relative à la protection des données, écrivez-nous à martin@folodia.com.

Cette page décrit l'état des mesures à date et sera mise à jour à mesure que le service évolue. Elle complète, sans les remplacer, nos mentions légales, notre politique de confidentialité et nos CGU.