Confidentialité

Politique de Confidentialité

Dernière mise à jour : 28 mai 2026

La présente Politique de Confidentialité décrit la manière dont Meridiem SRL collecte, utilise et protège les données personnelles dans le cadre du service Speyy, en conformité avec le Règlement (UE) 2016/679 (« GDPR ») et la Loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

1. Responsable du traitement

Meridiem SRL
Rue du Baloir 20, 4300 Waremme, Belgique
BCE BE 1003.910.507
Représentant : Maxime Schifflers, CEO
Contact : maxime@meridiem.be — +32 472 07 81 37

Pour toute question relative au traitement de vos données ou à l'exercice de vos droits, vous pouvez contacter directement Maxime Schifflers à l'adresse ci-dessus.

2. Quelles données sont collectées

2.1 Données fournies par l'Utilisateur

  • Compte / authentification (via Supabase) : nom, prénom, adresse email, numéro de téléphone, rôle professionnel.
  • Configuration : identifiants techniques de la machine virtuelle, paramètres d'usage, langue préférée, fuseau horaire.
  • Contenus Utilisateur introduits dans Speyy : instructions, conversations, fichiers uploadés, mémoire personnalisée, documents générés, contacts manipulés.

2.2 Données provenant des outils connectés

Lorsque l'Utilisateur connecte un outil tiers (Microsoft Outlook, Gmail, Google Calendar, HubSpot, etc.) via Composio, Speyy accède aux données du compte tiers selon les autorisations OAuth explicitement données par l'Utilisateur. Ces données sont traitées uniquement pour exécuter les tâches demandées.

2.3 Données techniques

  • Logs d'utilisation : journaux de fonctionnement de la machine virtuelle, dates et nature des actions effectuées par l'agent.
  • Logs d'authentification : connexions à l'interface, IP, navigateur.

3. Finalités du traitement

Les données sont traitées pour :

  • (a) fournir, maintenir et améliorer le Service Speyy ;
  • (b) authentifier les Utilisateurs et sécuriser leur compte ;
  • (c) permettre à l'agent IA d'exécuter les tâches demandées (envoi d'emails après confirmation, gestion d'agenda, recherche d'information, etc.) ;
  • (d) assurer la traçabilité et l'auditabilité des actions de l'agent ;
  • (e) respecter les obligations légales applicables ;
  • (f) communiquer avec l'Utilisateur (support, incident, évolutions du Service).

4. Bases légales

Conformément à l'article 6 du GDPR, les traitements reposent sur :

  • l'exécution du Service demandé par l'Utilisateur (article 6.1.b) — pour l'usage opérationnel de Speyy ;
  • l'intérêt légitime de Meridiem (article 6.1.f) — pour la sécurité, l'amélioration du Service et la prévention de la fraude ;
  • le consentement explicite de l'Utilisateur (article 6.1.a) — pour la connexion à des outils tiers via OAuth ;
  • les obligations légales (article 6.1.c) — lorsque la conservation ou la communication des données est imposée par la loi.

5. Sous-traitants et destinataires

Speyy s'appuie sur les sous-traitants suivants. Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

Sous-traitantRôleLocalisationGaranties
Microsoft AzureInfrastructure, hébergement de la VM dédiée, modèles IA (Azure OpenAI)EuropeISO 27001, SOC 2, GDPR. Garantie contractuelle Microsoft d'absence d'entraînement des modèles IA sur les données clients.
ComposioConnectivité OAuth aux outils tiersEuropeSOC 2, ISO 27001:2022. Coffre-fort chiffré pour les tokens.
SupabaseAuthentification de l'interface de configurationEurope (France)Conforme GDPR.
CloudflareTunnellisation sécurisée des communicationsEU routingSOC 2, ISO 27001.

Le détail des garanties est précisé dans le Speyy Security & Guardrails Overview, disponible sur demande.

Les outils tiers connectés par l'Utilisateur (Microsoft 365, Google Workspace, HubSpot, etc.) opèrent sous leurs propres politiques de confidentialité. L'Utilisateur reste responsable de l'usage de ces outils et de leur conformité avec ses propres obligations.

6. Stockage et localisation des données

  • L'intégralité des Contenus Utilisateur, des conversations et de la mémoire est stockée exclusivement sur la machine virtuelle dédiée à l'Utilisateur, hébergée chez Microsoft Azure en Europe.
  • Aucune donnée métier ou conversationnelle n'est stockée chez Supabase, Composio, ou un autre sous-traitant. Supabase ne stocke que les données strictement nécessaires à l'authentification de l'interface (nom, email, téléphone, rôle, identifiants techniques).
  • Les données sont chiffrées au repos et en transit sur l'ensemble des couches (VM Azure, coffre-fort Composio, Supabase).

7. Durée de conservation

  • Contenus Utilisateur sur la VM : conservés tant que le Service est utilisé. À la résiliation du Service, la VM est définitivement supprimée à la demande de l'Utilisateur, ou par défaut au plus tard 60 jours après la résiliation.
  • Données de compte (Supabase) : conservées tant que le compte est actif, puis supprimées dans un délai maximal de 6 mois après la résiliation.
  • Logs techniques : conservés pour une durée maximale de 12 mois à des fins d'audit, de sécurité et de respect des obligations légales.

8. Sécurité

Meridiem SRL met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

  • Isolation des données par machine virtuelle dédiée — aucune infrastructure partagée entre clients.
  • Chiffrement au repos et en transit.
  • Tunnels Cloudflare sécurisés, sans IP publique exposée.
  • Authentification stricte pour l'interface de configuration.
  • Coffre-fort chiffré Composio pour les tokens OAuth (jamais en clair dans Meridiem).
  • Auditabilité complète des actions de l'agent via mémoire interne, logs VM et logs OAuth des outils connectés.
  • Accès opérationnel restreint à un seul compte administrateur, exclusivement détenu par Maxime Schifflers (CEO), tracé et limité aux finalités d'exploitation et de support.

9. Vos droits

Conformément aux articles 15 à 22 du GDPR, l'Utilisateur dispose à tout moment des droits suivants :

  • Droit d'accès : obtenir confirmation que ses données sont traitées et en recevoir une copie.
  • Droit de rectification : demander la correction de données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression des données dans les cas prévus par la loi.
  • Droit à la limitation du traitement.
  • Droit à la portabilité : recevoir ses données dans un format structuré, lisible par machine, et les transmettre à un autre responsable de traitement.
  • Droit d'opposition au traitement fondé sur l'intérêt légitime.
  • Droit de retirer son consentement à tout moment, sans remettre en cause la licéité du traitement antérieur.
  • Droit de ne pas faire l'objet d'une décision automatisée produisant des effets juridiques le concernant. Speyy se présente comme un assistant à la productivité fondé sur la confirmation humaine pour les actions sensibles, et non comme un système de prise de décision automatisée au sens de l'article 22 du GDPR.

L'exercice de ces droits se fait par simple email à maxime@meridiem.be. Une réponse vous parviendra dans un délai maximal d'un mois.

En cas de désaccord persistant, vous avez le droit d'introduire une réclamation auprès de l'Autorité de protection des données belge :

Autorité de protection des données
Rue de la Presse 35, 1000 Bruxelles
contact@apd-gba.be — +32 2 274 48 00
www.autoriteprotectiondonnees.be

10. Transferts hors de l'Espace économique européen

L'ensemble des données est stocké en Europe. Aucun transfert systématique vers un pays hors EEE n'est effectué.

Si Microsoft (en tant que société américaine) accède de manière exceptionnelle à des données hébergées en Europe, ce traitement est encadré par les Clauses Contractuelles Types de la Commission européenne et par la certification Microsoft au cadre de protection des données UE–US (« EU–US Data Privacy Framework »).

11. Cookies

Le site institutionnel de Speyy utilise des cookies strictement nécessaires à son fonctionnement (session, sécurité, préférences linguistiques). Les cookies de mesure d'audience ou de traçage marketing, lorsqu'ils existent, sont soumis au consentement préalable de l'Utilisateur via une bannière dédiée.

12. Modifications

La présente Politique de Confidentialité peut être modifiée pour refléter les évolutions du Service, de la législation, ou des sous-traitants. La version applicable est celle en vigueur à la date d'utilisation du Service. L'Utilisateur sera informé des modifications substantielles par email ou via l'interface.

13. Contact

Pour toute question relative à la présente Politique de Confidentialité ou à l'exercice de vos droits :

Maxime Schifflers — CEO, Meridiem SRL
maxime@meridiem.be — +32 472 07 81 37
Rue du Baloir 20, 4300 Waremme, Belgique

Retour à l'accueil