Confidentialité · RGPD

Politique de confidentialité

La présente politique décrit la façon dont IT-Room collecte, utilise, conserve et protège vos données à caractère personnel dans le cadre du service BlueBoost, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

Dernière mise à jour : 28/05/2026

Préambule

IT-Room accorde une importance particulière à la protection des données personnelles. La présente politique a pour objet d'informer de manière claire, transparente et complète :

  • les utilisateurs de la plateforme BlueBoost (créateurs de compte, membres d'une équipe Client) ;
  • les internautes visitant le site blueboost.fr ;
  • plus généralement, toute personne dont les données sont traitées par IT-Room dans le cadre du Service.
Données B2B uniquement

BlueBoost est un service destiné aux professionnels. Les traitements opérés portent essentiellement sur des données de comptes professionnels (nom, prénom, e-mail professionnel, identifiants techniques). Le Service n'a pas vocation à traiter des données sensibles au sens de l'article 9 RGPD.

1. Responsable de traitement

Le responsable de traitement est la société IT-Room, dont les coordonnées figurent dans les Mentions légales.

IT-Room a désigné en interne un référent à la protection des données, joignable à l'adresse dpo@blueboost.fr pour toute question relative au traitement de vos données ou à l'exercice de vos droits.

IT-Room intervient en deux qualités, selon les traitements concernés :

  • en qualité de responsable de traitement pour la gestion de son site, la création des comptes, la facturation, le support et la sécurité du Service ;
  • en qualité de sous-traitant au sens de l'article 28 RGPD lorsque le Client utilise le Service pour traiter des données personnelles dont il est lui-même responsable (par exemple, lorsqu'il importe son catalogue contenant des données d'auteurs, fournisseurs ou employés).

2. Données collectées

2.1 Données de compte

  • nom, prénom ;
  • adresse électronique (professionnelle) ;
  • mot de passe (stocké chiffré, jamais en clair) ;
  • nom de la société et de la boutique, URL, plateforme e-commerce ;
  • rôle et permissions au sein du compte ;
  • date d'inscription et de dernière connexion.

2.2 Données techniques

  • adresse IP au moment des connexions ;
  • journaux de connexion (logs d'accès, horodatage, action) ;
  • type de navigateur et système d'exploitation ;
  • identifiants de session.

2.3 Données opérationnelles & API

  • requêtes effectuées sur le Service (prompts, paramètres, modèle IA utilisé) ;
  • contenus générés et historique des opérations ;
  • consommation de crédits ;
  • clés API (Fournisseurs IA, webservice PrestaShop), stockées chiffrées ;
  • tickets de support, échanges associés.

2.4 Données de facturation

  • identité de facturation, adresse, numéro de TVA ;
  • historique des achats de crédits ;
  • à ce jour, le rechargement des crédits est effectué par voie de facturation directe ; aucune coordonnée bancaire n'est collectée ni conservée par IT-Room. En cas d'intégration future d'un prestataire de paiement en ligne, les coordonnées bancaires seront traitées directement par ce prestataire dans le respect de la norme PCI-DSS, sans conservation par IT-Room, et la présente politique sera mise à jour en conséquence.

2.5 Données importées par le Client

Lorsque le Client connecte sa boutique au Service, des données peuvent être importées dans BlueBoost pour les besoins du traitement : références produits, descriptions existantes, images, URL, métadonnées. Ces données peuvent occasionnellement contenir des informations relatives à des personnes identifiables (par exemple, nom d'un fournisseur, signature dans une image). Dans ce cas, le Client agit en qualité de responsable de traitement et IT-Room en qualité de sous-traitant.

3. Finalités & bases légales

FinalitéBase légaleDurée
Gestion du compte & authentificationExécution du contrat (CGV)Durée du compte + 3 ans
Fourniture du Service (génération de contenu, publication)Exécution du contrat (CGV)Durée du compte
Facturation, comptabilitéObligation légale10 ans (art. L.123-22 C. com.)
Support utilisateurExécution du contrat / intérêt légitime3 ans après le dernier contact
Sécurité, prévention de la fraude, journalisationIntérêt légitime / obligation légale12 mois
Amélioration du Service (statistiques agrégées)Intérêt légitimeDonnées agrégées sans durée limite
Communications opérationnelles (mises à jour, sécurité)Exécution du contratDurée du compte
Prospection commerciale par e-mail vers Clients existantsIntérêt légitime (B2B, opt-out)Jusqu'à opposition

BlueBoost n'utilise pas vos données à des fins de publicité ciblée, de profilage commercial ou de revente à des tiers.

4. Destinataires & sous-traitants

Les données sont accessibles, dans la limite stricte du nécessaire :

  • au personnel habilité d'IT-Room (équipe technique, support, facturation), soumis à une obligation de confidentialité ;
  • aux sous-traitants techniques d'IT-Room, listés ci-dessous, encadrés par un contrat de sous-traitance conforme à l'article 28 RGPD ;
  • aux autorités administratives ou judiciaires, sur réquisition légale.

4.1 Sous-traitants techniques

Sous-traitantRôleLocalisation
OVH SASHébergement, infrastructure, relais e-mailFrance (Roubaix)
OpenAI Ireland Ltd.Génération de texte (GPT)Irlande (UE) — calculs : États-Unis
Anthropic PBCGénération de texte (Claude)États-Unis
Google Ireland Ltd.Génération d'images (Gemini / Nano Banana)Irlande (UE) — calculs : États-Unis
Replicate Inc.Modèles de vision (Grounding DINO)États-Unis

À ce jour, BlueBoost ne fait pas appel à un prestataire tiers de paiement en ligne ; le rechargement des crédits est effectué par voie de facturation directe par IT-Room. En cas d'intégration future d'un prestataire de paiement (type Stripe, PayPal), la présente liste sera mise à jour et les Clients en seront informés conformément à la section 12.

5. Traitements liés à l'intelligence artificielle

Lorsque le Client utilise les fonctionnalités d'IA du Service, les contenus envoyés aux modèles (prompt, données produit, images sources) sont transmis aux Fournisseurs IA identifiés à la section 4.1.

5.1 Politique zéro-entraînement

IT-Room sélectionne, dans la mesure du possible, des Fournisseurs IA qui n'entraînent pas leurs modèles sur les données soumises via leur API. À titre indicatif et au jour de la présente politique :

  • OpenAI API : les données soumises via l'API ne sont pas utilisées pour l'entraînement des modèles (politique « API data not used to train » d'OpenAI).
  • Anthropic API : les données soumises via l'API ne sont pas utilisées pour l'entraînement des modèles par défaut.
  • Google Gemini API : les données soumises via l'API en mode « paid tier » ne sont pas utilisées pour l'entraînement.

IT-Room ne peut toutefois pas garantir l'évolution des politiques des Fournisseurs IA. Le Client est invité à ne soumettre au Service que des données dont la transmission à ces prestataires est compatible avec ses propres obligations légales et contractuelles.

5.2 Mode BYOK

Lorsque le Client utilise ses propres clés (BYOK), il est lié directement aux conditions et à la politique de confidentialité du Fournisseur IA concerné, qui agit alors en qualité de sous-traitant du Client (et non d'IT-Room).

6. Transferts hors Union européenne

Certains Fournisseurs IA sont établis aux États-Unis ou peuvent réaliser leurs traitements depuis des serveurs situés hors UE. Ces transferts sont encadrés par :

  • la décision d'adéquation de la Commission européenne du 10 juillet 2023 relative au EU–US Data Privacy Framework, pour les prestataires américains certifiés ;
  • à défaut, des clauses contractuelles types (CCT) adoptées par la Commission européenne, complétées le cas échéant par des mesures supplémentaires techniques et organisationnelles (chiffrement, pseudonymisation, restriction d'accès).

Vous pouvez obtenir copie de ces garanties sur demande à dpo@blueboost.fr.

7. Durées de conservation

Les durées indicatives sont précisées dans le tableau de l'article 3. À l'issue de la durée de conservation :

  • les données sont supprimées ou anonymisées ;
  • certaines données peuvent être conservées en archive intermédiaire pour la durée des prescriptions légales applicables (notamment 5 ans pour la prescription civile de droit commun, 10 ans pour les obligations comptables et fiscales) ;
  • les sauvegardes sont conservées dans une rotation à durée limitée et sont écrasées au terme du cycle.

8. Sécurité

IT-Room met en œuvre les mesures techniques et organisationnelles appropriées au regard de l'état de l'art et des risques, notamment :

  • chiffrement TLS 1.2+ pour les communications ;
  • hachage des mots de passe avec algorithme à coût ajustable ;
  • chiffrement au repos des clés API tierces (BYOK, webservices) ;
  • authentification à deux facteurs (2FA) optionnelle pour les comptes ;
  • cloisonnement des environnements (test / production) ;
  • journaux d'accès, supervision des connexions ;
  • politique de moindre privilège pour le personnel ;
  • sauvegardes chiffrées ;
  • procédure de gestion des incidents et de notification des violations conformément aux articles 33 et 34 RGPD.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous serez informé(e) dans les conditions prévues par le RGPD.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez, dans les conditions et limites prévues par la réglementation, des droits suivants :

  • Droit d'accès à vos données et d'obtention d'une copie ;
  • Droit de rectification des données inexactes ou incomplètes ;
  • Droit à l'effacement (« droit à l'oubli »), sous réserve de nos obligations légales de conservation ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité des données fournies, dans un format structuré et couramment utilisé ;
  • Droit d'opposition, notamment au traitement fondé sur l'intérêt légitime et à la prospection commerciale ;
  • Droit de ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques ou vous affectant de manière significative (BlueBoost ne pratique pas de telles décisions automatisées) ;
  • Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 loi Informatique et Libertés) ;
  • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur ce dernier.

Pour exercer vos droits, contactez dpo@blueboost.fr. Une réponse vous sera apportée dans un délai d'un mois, prolongeable de deux mois en cas de complexité. Une preuve d'identité pourra être demandée en cas de doute raisonnable.

10. Cookies & traceurs

BlueBoost utilise uniquement des cookies strictement nécessaires au fonctionnement du Service, qui ne nécessitent pas votre consentement préalable (article 82 de la loi Informatique et Libertés et lignes directrices CNIL) :

CookieFinalitéDurée
PHPSESSIDMaintien de la session utilisateurSession
REMEMBERMEConnexion automatique (« se souvenir de moi », optionnel)7 jours
bb-themeMémorisation de la préférence de thème (clair/sombre)localStorage, persistant
XSRF / CSRF tokenProtection contre les requêtes intersitesSession

BlueBoost n'utilise pas de cookies de mesure d'audience non exemptés, de publicité, de réseaux sociaux ou de profilage. Aucun consentement n'est requis pour les cookies ci-dessus ; vous pouvez néanmoins les bloquer dans les paramètres de votre navigateur.

11. Mineurs

Le Service est réservé à un usage professionnel par des personnes majeures. IT-Room ne collecte pas sciemment de données relatives à des mineurs. Si vous estimez qu'un mineur a transmis des données via le Service, contactez dpo@blueboost.fr en vue de leur suppression.

12. Modifications de la politique

La présente politique peut être modifiée pour refléter une évolution du Service, des sous-traitants utilisés ou de la réglementation. Toute modification substantielle vous sera notifiée par e-mail ou bannière in-app, dans un délai raisonnable avant son entrée en vigueur. La date de dernière mise à jour figure en tête de document.

13. Contact & droit de réclamation

Pour toute question relative à la présente politique ou à vos données :

  • par e-mail : dpo@blueboost.fr
  • par courrier postal : IT-Room — DPO BlueBoost, 5 Allée Gabert, 59510 HEM, France

Vous disposez par ailleurs du droit d'introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) :

Nous vous invitons toutefois à nous contacter en premier lieu afin que nous puissions répondre à vos préoccupations dans les meilleurs délais.