ALCHMIST LLC
Politique de confidentialité
Dernière mise à jour : 9 juin 2026 — Version 1.3
ALCHMIST LLC (ci-après « ALCHMIST », « nous ») attache une importance particulière à la protection de vos données à caractère personnel. La présente politique explique, de manière claire et accessible (article 12 du Règlement (UE) 2016/679, ci-après « RGPD »), quelles données nous traitons, pourquoi, sur quelle base juridique, avec qui nous les partageons, combien de temps nous les conservons, et quels sont vos droits.
Cette politique couvre l'ensemble des activités d'ALCHMIST LLC, présentes et futures, parmi lesquelles, à titre d'illustration :
- Velox — solution SaaS d'automatisation de la performance commerciale pour réseaux de franchise B2B ;
- Quitos — autre produit logiciel d'ALCHMIST ;
- les développements sur mesure (« builds custom ») et automatisations réalisés pour des clients ;
- l'exploitation de son ou ses sites web ;
- et tout produit ou service futur d'ALCHMIST.
Elle est rédigée par catégories de traitement, afin de rester valable quelle que soit l'activité concernée. Lorsque c'est utile, nous citons un produit à titre d'exemple.
1. Qui est responsable de vos données ?
1.1 L'éditeur — ALCHMIST LLC
| Élément | Valeur |
|---|---|
| Raison sociale | ALCHMIST LLC |
| Forme juridique | Limited Liability Company de droit du Delaware (États-Unis) |
| Numéro d'identification (EIN) | 98-1899976 |
| Siège social | 8 The Green, Dover, DE 19901, États-Unis d'Amérique |
| Point de contact (Manager) | Michael Chemla |
| michael.chemla@alchmist.pro |
ALCHMIST est établie hors de l'Union européenne mais traite des données de personnes situées dans l'Union (notamment en France). Le RGPD s'applique donc à ces traitements en vertu de son article 3, §2.
1.2 Représentant dans l'Union européenne (article 27 RGPD)
Conformément à l'article 27 du RGPD, ALCHMIST LLC a désigné Prighter Group et ses partenaires locaux comme son représentant dans l'Union européenne au titre de la protection des données, avec la France pour localisation principale (autorité de contrôle chef de file : la CNIL). Le représentant est votre point de contact, ainsi que celui des autorités de contrôle, pour l'ensemble du territoire de l'Union européenne.
Prighter met à votre disposition un moyen simple d'exercer vos droits relatifs à la protection de vos données (par exemple une demande d'accès ou d'effacement). Pour nous contacter via notre représentant, ou pour exercer vos droits, vous pouvez utiliser le portail dédié : app.prighter.com/portal/13750581435. Vous pouvez également vous adresser directement à ALCHMIST (section 1.1) pour toute question relative au traitement de vos données (voir aussi section 8).
propulsé par Prighter
1.3 Délégué à la protection des données (DPO)
ALCHMIST n'a pas désigné de délégué à la protection des données (DPO), les conditions de désignation obligatoire de l'article 37, §1 du RGPD n'étant pas réunies (ALCHMIST n'est pas une autorité publique ; son activité de base ne consiste pas en un suivi régulier et systématique à grande échelle ; elle ne traite pas à grande échelle de données sensibles).
Le point de contact pour toute question de protection des données est donc directement Michael Chemla, Manager d'ALCHMIST — michael.chemla@alchmist.pro, ou le représentant UE (section 1.2).
2. Notre double casquette : responsable de traitement OU sous-traitant
Selon le contexte, ALCHMIST agit dans deux rôles juridiques distincts. Bien comprendre lequel s'applique vous indique vers qui vous tourner pour exercer vos droits.
2.1 (A) ALCHMIST agit comme RESPONSABLE DE TRAITEMENT — ses activités propres
Pour ses propres activités, ALCHMIST détermine elle-même les finalités et les moyens du traitement. Elle est alors responsable de traitement. C'est le cas pour :
- les visiteurs de ses sites web (velox.app, alchmist.pro, et autres) : navigation, cookies et mesure d'audience ;
- le formulaire de contact / demande de démonstration ;
- la prospection commerciale B2B menée par ALCHMIST en son nom propre (par exemple pour présenter ses produits à des entreprises) ;
- la gestion de la relation client et des comptes (contractants directs d'ALCHMIST) ;
- la facturation, la comptabilité et les obligations fiscales ;
- la gestion des fournisseurs et prestataires.
Pour ces traitements, la présente politique s'applique en totalité et ALCHMIST est votre interlocuteur direct.
2.2 (B) ALCHMIST agit comme SOUS-TRAITANT — l'exploitation de Velox et des builds pour le compte de clients
Lorsqu'ALCHMIST exploite Velox (ou réalise un développement sur mesure) pour le compte d'un client, c'est le client qui est responsable de traitement : c'est lui qui détermine les finalités et les moyens, et qui décide quelles données sont traitées. ALCHMIST agit alors comme sous-traitant au sens de l'article 28 du RGPD, uniquement sur instruction documentée du client.
Exemple (Velox) : le responsable de traitement est le client d'ALCHMIST — par exemple la tête d'un réseau de franchise B2B et, en cascade, chacun de ses franchisés pour ses propres prospects et clients. ALCHMIST n'envoie aucun message en son nom propre dans ce cadre : elle exécute, pour le compte du client, des relances de devis, des alertes de stock ou de la prospection encadrée.
Si vous êtes une personne concernée par un traitement opéré par ALCHMIST pour le compte d'un client (par exemple un prospect ou un client d'une entreprise utilisatrice de Velox) :
- le responsable de traitement est le client d'ALCHMIST (la société cliente), dont les coordonnées figurent en pied de chaque communication que vous recevez ;
- adressez vos demandes d'exercice de droits à ce responsable en priorité. ALCHMIST, en tant que sous-traitant, est tenue de lui transmettre votre demande et de l'assister, mais ne peut pas y répondre seule sans son instruction ;
- les conditions de ce traitement sont définies dans un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD, et la liste des sous-traitants ultérieurs est tenue à jour (voir sections 5 et 6).
3. Finalités et bases légales (rôle « responsable de traitement »)
Le tableau ci-dessous concerne les traitements pour lesquels ALCHMIST est responsable (section 2.1). Chaque finalité repose sur une base légale précise, conformément à l'article 6 du RGPD.
| Finalité | Base légale (art. 6 RGPD) | Précision |
|---|---|---|
| Mesure d'audience et cookies non essentiels sur nos sites | Consentement (art. 6.1.a + art. 82 LIL) | Recueilli via bannière. Les cookies strictement nécessaires au fonctionnement du site sont exemptés de consentement. Voir section 10. |
| Cookies/traceurs strictement nécessaires au fonctionnement et à la sécurité du site | Intérêt légitime (art. 6.1.f) | Exemptés de consentement (doctrine CNIL). |
| Formulaire de contact / demande de démonstration | Mesures précontractuelles (art. 6.1.b) à votre demande | Données utilisées pour vous répondre et préparer une éventuelle relation commerciale. |
| Prospection commerciale B2B par ALCHMIST en son nom propre | Intérêt légitime (art. 6.1.f) + art. L.34-5 du CPCE (régime B2B) | Démarchage de professionnels sur des sujets en lien avec leur activité, avec faculté d'opposition (opt-out) dans chaque message. Aucune donnée sensible. |
| Gestion de la relation client et des comptes (contractants directs) | Exécution du contrat (art. 6.1.b) | Création de compte, support, suivi de la prestation. |
| Facturation, comptabilité et obligations fiscales | Obligation légale (art. 6.1.c) | Conservation selon les durées légales applicables (voir section 7). |
| Gestion des fournisseurs et prestataires | Exécution du contrat (art. 6.1.b) et intérêt légitime (art. 6.1.f) | Suivi des relations contractuelles avec nos partenaires. |
| Sécurité des systèmes, prévention de la fraude et des abus | Intérêt légitime (art. 6.1.f) | Journalisation technique, détection d'incidents. |
À propos des traitements opérés pour le compte de clients (rôle sous-traitant, section 2.2) : les finalités et bases légales sont déterminées par le client responsable de traitement. À titre informatif, pour Velox, les bases légales par module (relance de devis, prospection encadrée, alertes de stock, veille, etc.) sont l'intérêt légitime (art. 6.1.f) combiné à l'exemption B2B de l'article L.34-5 du CPCE, avec faculté d'opposition systématique. Le détail figure dans le registre des traitements et les analyses d'intérêt légitime (LIA) tenus par ALCHMIST, et dans la politique de confidentialité publiée par le client responsable.
4. Quelles données traitons-nous ?
Selon le contexte, nous traitons les catégories de données suivantes :
- Données d'identification professionnelle : nom, prénom, fonction, raison sociale, adresse professionnelle ;
- Coordonnées professionnelles : email professionnel, numéro de téléphone / mobile professionnel ;
- Données d'entreprise : SIRET, code NAF, siège social, dirigeant (issues de sources publiques telles que SIRENE/INSEE) ;
- Contenu et métadonnées de communication : contenu des emails, SMS ou messages échangés, statuts de livraison, dates, ouvertures/clics, horodatage d'opposition (opt-out) ;
- Données de navigation : adresse IP, identifiants de cookies, pages consultées, mesure d'audience (selon votre consentement) ;
- Données de gestion : éléments de facturation, données contractuelles, correspondances.
Aucune donnée sensible. ALCHMIST ne traite aucune catégorie particulière de données au sens de l'article 9 du RGPD (santé, opinions, données biométriques, etc.), ni de données relatives à des condamnations ou infractions (article 10). Nous ne prenons aucune décision entièrement automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative (article 22).
5. Avec qui partageons-nous vos données ? (destinataires et sous-traitants)
5.1 Destinataires
- Personnel habilité d'ALCHMIST, dans la limite du strict nécessaire (principe du moindre privilège, accès restreint, revue régulière) ;
- Clients responsables de traitement d'ALCHMIST, lorsque le traitement est opéré pour leur compte (rôle sous-traitant) ;
- Autorités publiques ou judiciaires, uniquement sur réquisition ou demande légalement contraignante.
Nous ne vendons jamais vos données.
5.2 Sous-traitants ultérieurs
Pour fournir ses services, ALCHMIST a recours à des prestataires techniques (sous-traitants ultérieurs), chacun encadré par un contrat conforme à l'article 28 du RGPD. Tableau synthétique :
| Sous-traitant | Pays d'hébergement | Rôle | Transfert hors UE |
|---|---|---|---|
| N8N Cloud (n8n GmbH) | Union européenne | Orchestration des workflows, journalisation | Non (intra-UE) |
| Brevo (Sendinblue SAS) | France | Envoi d'emails et de SMS, gestion des listes | Non (intra-UE) |
| Anthropic, PBC (Claude API) | États-Unis | Génération assistée de contenu de messages et de rapports | Oui — voir section 6 |
| Meta Platforms Ireland Ltd (WhatsApp Cloud API) | Irlande | Envoi/réception de messages WhatsApp | Non (intra-UE pour les flux UE) |
| Meta Platforms Inc. (WhatsApp Cloud API — secours) | États-Unis | Même usage (infrastructure de secours) | Oui — voir section 6 |
| Aircall SAS | France | Provisionnement du numéro WhatsApp Business dédié (lorsqu'un canal WhatsApp est actif) | Non (intra-UE) |
| Dropcontact SAS | France | Enrichissement de contacts B2B à partir de sources publiques | Non (intra-UE) |
| Pappers SAS | France | Données publiques du registre du commerce (SIRENE/INSEE) | Non (intra-UE) |
| Google LLC (Google Sheets) | États-Unis | Journalisation et supervision des exécutions de workflows (suivi des erreurs, observabilité) | Oui — voir section 6 |
| Calendly LLC | États-Unis | Prise de rendez-vous en ligne (réservation d'un échange), chargée uniquement à votre demande (au clic) | Oui — voir section 6 |
Le CRM du client (par exemple Odoo, hébergé dans l'Union européenne) n'est pas un sous-traitant ultérieur d'ALCHMIST : il est opéré directement par le client responsable de traitement, ALCHMIST s'y interfaçant uniquement sur instruction de ce dernier.
La liste complète et à jour des sous-traitants ultérieurs (avec leur version et la date de dernière mise à jour) est tenue à disposition et communiquée sur demande à l'adresse de contact (section 8). Pour les clients d'ALCHMIST, elle constitue une annexe contractuelle (« Subprocessor List ») soumise à une procédure de notification préalable de tout changement.
6. Transferts de données hors de l'Union européenne
La majorité de nos sous-traitants sont établis dans l'Union européenne ou l'Espace économique européen (Brevo, Aircall, Dropcontact, Pappers en France ; N8N dans l'Union européenne ; Meta Ireland en Irlande) : ces traitements ne donnent lieu à aucun transfert hors UE.
Certains transferts vers les États-Unis existent et sont strictement encadrés :
- Anthropic, PBC (États-Unis) — le transfert repose sur les Clauses Contractuelles Types de la Commission européenne (Décision (UE) 2021/914), Module 3 (sous-traitant à sous-traitant), mécanisme de transfert régissant. Anthropic n'est PAS certifiée au titre du Data Privacy Framework (DPF) UE–États-Unis : le transfert repose donc sur les Clauses Contractuelles Types seules, complétées par des mesures supplémentaires (chiffrement en transit, mode « zéro rétention » activé sur l'API, minimisation : seules les variables strictement nécessaires sont transmises, jamais l'intégralité de vos données). Une analyse d'impact des transferts (Transfer Impact Assessment, post-arrêt Schrems II, CJUE C-311/18) est tenue à jour.
- Meta Platforms Inc. (États-Unis) — utilisée uniquement comme infrastructure de secours des flux WhatsApp. Le transfert repose sur les Clauses Contractuelles Types (2021/914), Module 3, comme mécanisme régissant. Meta Platforms Inc. est par ailleurs auto-certifiée au Data Privacy Framework, ce qui constitue une garantie complémentaire (jamais invoquée seule).
- Google LLC (États-Unis) — à deux titres distincts : (i) la mesure d'audience de nos sites web (Google Analytics 4), pour laquelle ALCHMIST agit en qualité de responsable de traitement (détail en section 10) ; et (ii) la journalisation et la supervision des exécutions de workflows (suivi des erreurs, observabilité) via Google Sheets, pour laquelle Google intervient comme sous-traitant ultérieur (voir section 5.2). Dans les deux cas, Google LLC est auto-certifiée au Data Privacy Framework, complété par les Clauses Contractuelles Types (Décision (UE) 2021/914).
- Calendly LLC (États-Unis) — utilisée pour la prise de rendez-vous en ligne, uniquement lorsque vous cliquez pour réserver un échange (aucun chargement ni transfert avant cette action de votre part). Le transfert repose sur les Clauses Contractuelles Types (Décision (UE) 2021/914) comme mécanisme régissant ; le statut DPF de Calendly est revérifié à chaque revue annuelle.
Le statut DPF d'Anthropic (absent), de Meta (présent), de Google (présent) et de Calendly est revérifié à chaque revue annuelle contre la liste publique officielle, et avant chaque nouvelle mise en service concernée.
Vous pouvez obtenir une copie des garanties applicables (Clauses Contractuelles Types) en nous écrivant (section 8).
7. Combien de temps conservons-nous vos données ?
| Catégorie de données | Durée de conservation |
|---|---|
| Données de prospects | 3 ans à compter du dernier contact émanant du prospect (doctrine CNIL — prospection commerciale ; art. 5.1.e RGPD) |
| Données de clients (relation contractuelle) | Durée de la relation contractuelle, puis archivage selon les durées de prescription et obligations légales applicables |
| Logs d'exécution technique (workflows N8N) | 13 mois |
| Logs d'envoi (emails/SMS via Brevo) | Selon la politique du prestataire (12 mois par défaut) ; jusqu'à 13 mois pour les logs techniques Velox côté client |
| Sauvegardes techniques | Hebdomadaires (rétention selon la politique de l'hébergeur) |
| Listes d'opposition (opt-out / désinscription) | Conservées le temps nécessaire au respect de votre droit d'opposition (afin de ne plus vous contacter) |
| Données de facturation et comptables | Durée légale de conservation comptable et fiscale applicable |
| Données agrégées et anonymisées (statistiques) | Sans limite — il ne s'agit plus de données personnelles |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
8. Vos droits et comment les exercer
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :
- Droit d'accès (art. 15) — savoir quelles données nous traitons et en obtenir copie ;
- Droit de rectification (art. 16) — corriger des données inexactes ;
- Droit à l'effacement (art. 17) — demander la suppression de vos données, sous réserve de nos obligations légales (par exemple comptables) ;
- Droit à la limitation du traitement (art. 18) ;
- Droit d'opposition (art. 21) — vous opposer à tout moment à un traitement fondé sur l'intérêt légitime, notamment à la prospection commerciale (un lien de désinscription / la réponse STOP figurent dans chaque message) ;
- Droit à la portabilité (art. 20) ;
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement (cookies, par exemple), sans que cela remette en cause la licéité des traitements antérieurs.
Comment exercer vos droits
- Si ALCHMIST est responsable de traitement (section 2.1) : écrivez à michael.chemla@alchmist.pro, ou contactez notre représentant UE (section 1.2).
- Si le traitement est opéré pour le compte d'un client (section 2.2 — par exemple vous êtes prospect d'une entreprise utilisatrice de Velox) : adressez votre demande au responsable de traitement (le client), dont les coordonnées figurent au pied de chaque message. ALCHMIST transmettra et assistera ce responsable, mais ne peut traiter seule la demande.
Voie privilégiée (traitements dont ALCHMIST est responsable) : pour soumettre une demande relative à vos données (accès, effacement, etc.) de manière simple et sécurisée, utilisez le Trust Center de notre représentant UE Prighter : app.prighter.com/portal/13750581435.
Délai de réponse : nous (ou le responsable concerné) répondons dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, auquel cas vous en serez informé dans le premier mois (art. 12.3 RGPD).
Nous pourrons vous demander de justifier votre identité afin d'éviter toute divulgation à un tiers.
9. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. Pour les personnes situées en France, l'autorité compétente est la CNIL :
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
Téléphone : +33 (0)1 53 73 22 22
Site : www.cnil.fr/fr/plaintes
Vous pouvez également saisir l'autorité de contrôle de votre lieu de résidence ou de travail dans l'Union européenne.
10. Cookies et traceurs
Nos sites peuvent déposer des cookies et traceurs. Nous distinguons deux catégories :
- les cookies strictement nécessaires au fonctionnement et à la sécurité du site, qui ne requièrent pas votre consentement ;
- les cookies non essentiels (mesure d'audience, statistiques), déposés uniquement après recueil de votre consentement.
Mesure d'audience — Google Analytics 4 (GA4)
Nous utilisons Google Analytics 4 (GA4), fourni par Google LLC (États-Unis), pour mesurer la fréquentation de nos sites (pages consultées, provenance du trafic, statistiques d'usage) et améliorer nos services.
- Cookies non essentiels — consentement préalable obligatoire. Conformément à la doctrine de la CNIL, GA4 dépose des cookies et traceurs non essentiels. Ils ne sont déclenchés qu'après votre acceptation via le bandeau de consentement (CMP) affiché lors de votre premier accès. Tant que vous n'avez pas consenti, aucun cookie GA4 n'est déposé et aucune mesure n'est effectuée.
- Retrait du consentement. Vous pouvez retirer votre consentement à tout moment, aussi facilement que vous l'avez donné, via le lien « Gérer les cookies » présent en pied de page. Le retrait n'affecte pas la licéité de la mesure effectuée avant celui-ci.
- Base légale : votre consentement (art. 6.1.a du RGPD + art. 82 de la loi Informatique et Libertés). Vous pouvez vous y opposer en refusant ou en retirant votre consentement (voir ci-dessus et section 8).
- Données traitées : adresse IP, identifiants de cookies, données de navigation (pages vues, durée, source de trafic, type d'appareil et de navigateur), aux seules fins de statistiques de fréquentation. Aucune donnée sensible. Aucune décision automatisée vous concernant.
- Durée de conservation des données GA4 : 14 mois, puis suppression ou agrégation.
- Transfert hors UE : l'usage de GA4 implique un transfert de données vers Google LLC (États-Unis). Ce transfert est encadré par l'auto-certification de Google LLC au Data Privacy Framework (DPF) UE–États-Unis, complétée par les Clauses Contractuelles Types de la Commission européenne (Décision (UE) 2021/914) à titre de garantie additionnelle. Le statut DPF de Google est revérifié à chaque revue annuelle contre la liste publique officielle.
Périmètre — deux rôles distincts de Google, à ne pas confondre. Au titre de GA4 (mesure d'audience), Google LLC est un destinataire d'un traitement dont ALCHMIST est responsable (activité propre des sites web, section 2.1) : à ce titre, GA4 ne relève pas de la chaîne de sous-traitance Velox. Par ailleurs, lorsque Google Sheets est utilisé pour la journalisation et la supervision des exécutions de workflows (suivi des erreurs, observabilité), Google agit alors comme sous-traitant ultérieur et figure à ce seul titre dans la Subprocessor List (section 5.2). Ces deux rôles sont juridiquement séparés.
Distinction importante sur les transferts vers les États-Unis. Le statut au regard du Data Privacy Framework diffère selon le destinataire et ne doit pas être confondu : Google LLC est auto-certifiée DPF (mesure d'audience du site — DPF complété par les Clauses Contractuelles Types), tandis qu'Anthropic n'est PAS certifiée DPF (génération de contenu Velox — Clauses Contractuelles Types seules, complétées de mesures supplémentaires ; voir section 6).
11. Sécurité de vos données
ALCHMIST met en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD) pour protéger vos données, notamment :
- Chiffrement des communications en transit (HTTPS / TLS, HSTS) ; chiffrement au repos selon les capacités de nos hébergeurs et fournisseurs ;
- Gestion des secrets hors du code source (variables d'environnement protégées, aucun identifiant en clair dans les workflows ou les prompts) ;
- Accès restreint selon le principe du moindre privilège ; authentification multifacteur (MFA) sur les comptes d'administration ; revue régulière des accès ;
- Sauvegardes régulières (hebdomadaires) assurées par notre hébergeur ;
- Journalisation et gestion des incidents (notification, post-mortem) ;
- Minimisation des données dès la conception, sans aucune donnée sensible.
12. Hébergement de nos sites
Nos sites web sont hébergés par :
Hébergement assuré au sein de l'Union européenne.
L'hébergement est ainsi assuré au sein de l'Union européenne, sans transfert hors de l'Union au titre de l'hébergement du site.
13. Modification de la présente politique
Nous pouvons modifier cette politique pour refléter l'évolution de nos activités ou de la réglementation. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle affectant vos droits, nous vous en informerons par un moyen approprié.
Date d'entrée en vigueur de la présente version (1.3) : 9 juin 2026.
ALCHMIST LLC — EIN 98-1899976 — 8 The Green, Dover, DE 19901, USA · Contact : michael.chemla@alchmist.pro · Représentant UE (art. 27 RGPD) : Prighter Group, localisation principale France (autorité chef de file : CNIL) — portail de contact.