Politique de traitement IA
Derniere mise a jour : 12 mai 2026 — Version 1.0
1. Resume executif (pour DSI)
PunchLink utilise des modeles d'intelligence artificielle pour analyser automatiquement certains documents que vous importez (commandes SAP, plannings, cahiers des charges, DOE). Cette page detaille exactement quelles donnees sont traitees, ou, par qui, combien de temps, et comment vous garder le controle.
- RGPD Conforme RGPD (Reglement UE 2016/679)
- SOC 2 Provider IA certifie SOC 2 Type II (Anthropic)
- No-training Vos donnees ne sont JAMAIS utilisees pour entrainer des modeles
- Hebergement EU Option AWS Bedrock Frankfurt disponible pour clients industriels
- Reversible Toute fonctionnalite IA est desactivable par projet
2. Quels documents sont traites par IA ?
Le traitement IA n'est declenche que lorsque vous cliquez explicitement sur un bouton "Analyser avec IA" dans l'application. Aucun document n'est envoye a l'IA sans action utilisateur.
Les types de documents concernes :
- Commandes SAP/ERP — extraction de la reference, du montant, du fournisseur, des phases de paiement
- Plannings de chantier — extraction des taches, dates, dependances
- Cahiers des charges — extraction des lots et articles
- DOE (Dossier d'Ouvrages Executes) — extraction des documents attendus et references reglementaires
Le texte du document (extrait localement par votre navigateur via pdf.js) est envoye au modele IA. Le PDF lui-meme n'est jamais transmis a l'IA, seul son contenu textuel l'est.
3. Quel modele IA est utilise ?
PunchLink utilise actuellement Claude Haiku 4.5 developpe par Anthropic PBC (USA / Europe), avec deux modes d'hebergement possibles selon votre contrat :
| Mode | Provider | Hebergement | Retention donnees | Disponible |
|---|---|---|---|---|
| Standard | Anthropic API | USA / EU mixte (AWS multi-region) | 30 jours max (logs securite) | Par defaut |
| EU strict | AWS Bedrock | EU exclusivement (Frankfurt) | 0 jour (Zero Data Retention) | Sur demande contractuelle |
Pour les clients industriels (Industriel français, Total, EDF, etc.) qui exigent un hebergement strict en Union Europeenne, le mode EU strict est mis a disposition via AWS Bedrock (region eu-central-1, Frankfurt).
4. Vos donnees sont-elles utilisees pour entrainer l'IA ?
Non. Jamais.
Anthropic, l'editeur de Claude, s'engage contractuellement (Commercial Terms of Service) a ne pas utiliser les inputs et outputs des appels API pour entrainer ses modeles, sauf opt-in explicite de l'utilisateur final — opt-in qui n'est jamais active par PunchLink. Reference : anthropic.com/legal/commercial-terms.
De meme, lorsque le mode EU strict (AWS Bedrock) est active, le contrat AWS Customer Agreement stipule explicitement que "AWS does not use your content for any other purpose without your agreement" (article 3.4).
5. Combien de temps les donnees sont-elles conservees ?
Cote Anthropic (mode standard)
Les requetes API et leurs reponses sont conservees jusqu'a 30 jours pour des raisons de securite et de detection d'abus, puis supprimees. Aucune conservation au-dela. Reference : privacy.anthropic.com.
Cote AWS Bedrock (mode EU strict)
Avec la configuration Zero Data Retention activee, AWS Bedrock ne conserve aucune trace des requetes et reponses au-dela du temps de traitement (quelques secondes). Reference : docs.aws.amazon.com/bedrock.
Cote PunchLink
Pour des raisons d'audit et de facturation, PunchLink conserve dans sa base Supabase (hebergement eu-west-1, Irlande) un journal d'utilisation IA limite a : identifiant utilisateur, projet concerne, type de document, nombre de tokens consommes, cout estime, duree d'execution. Le contenu des documents n'est pas conserve. Ces journaux sont supprimes apres 24 mois ou sur demande RGPD.
6. Certifications et conformite
- Anthropic PBC — SOC 2 Type II, GDPR-compliant. DPA disponible sur demande.
- AWS (Bedrock) — ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, PCI DSS, HIPAA, FedRAMP, RGPD (DPA standard).
- Supabase (stockage applicatif) — SOC 2 Type II, HIPAA, hebergement AWS Irlande (eu-west-1).
- L2V SASU (editeur) — SIREN 100 651 868, immatriculee en France, soumise au RGPD.
Sur demande, PunchLink peut signer un Data Processing Agreement (DPA) specifique avec votre entreprise heritant des engagements RGPD d'Anthropic et AWS.
7. Comment desactiver l'IA ?
Plusieurs niveaux de desactivation sont disponibles :
- Au niveau projet — le donneur d'ordre (DO) ou un administrateur peut basculer le flag
ai_enabled = falsedans la configuration projet. Aucun appel IA ne sera fait sur ce projet. - Au niveau plateforme — un super-administrateur L2V peut couper globalement toute fonctionnalite IA via le flag
ai_enabled_globally. - Au niveau action — chaque appel IA necessite un clic explicite sur "🤖 Analyser avec IA". Aucun appel automatique.
8. Droits utilisateurs (RGPD)
Conformement au Reglement UE 2016/679, vous disposez des droits suivants concernant les donnees personnelles traitees par l'IA :
- Droit d'acces — consulter les journaux d'utilisation vous concernant (table
ai_usage) - Droit de rectification — corriger ou contester les resultats IA
- Droit a l'effacement — supprimer les journaux d'utilisation sur demande
- Droit a la portabilite — obtenir un export de vos donnees
- Droit d'opposition — refuser tout traitement IA (cf section 7)
- Droit a une intervention humaine — chaque resultat IA est revisable et modifiable avant validation
Pour exercer ces droits : privacy@punchlink.app. Reponse sous 30 jours maximum.
9. Sous-traitants ultimes (chaine de traitement)
Lorsque vous utilisez une fonctionnalite IA dans PunchLink, la chaine de traitement est la suivante :
- Votre navigateur extrait le texte du document en local via pdf.js (aucune donnee ne sort de votre poste)
- Le texte est envoye en HTTPS chiffre vers Supabase (Irlande, EU)
- Supabase l'envoie en HTTPS chiffre vers Anthropic API (ou AWS Bedrock EU en mode strict)
- Le modele Claude traite le texte et renvoie un JSON structure
- Le JSON est renvoye a Supabase puis a votre navigateur
- Un journal d'utilisation (sans le contenu) est ecrit dans la base PunchLink
Aucun autre tiers n'est implique. Aucune donnee n'est partagee avec des regies publicitaires, des courtiers de donnees, ou des tiers commerciaux.
10. Contact et reclamations
Editeur : L2V SASU — SIREN 100 651 868
Email confidentialite : privacy@punchlink.app
Email DPO : dpo@punchlink.app
En cas de reclamation non resolue par PunchLink, vous pouvez saisir la Commission Nationale de l'Informatique et des Libertes (CNIL) : cnil.fr.
PunchLink — Solution edite par L2V SASU. Tous droits reserves.
Cette politique peut etre mise a jour ; consultez la date en haut de page pour la version en vigueur.