Mentions légales,
CGU & Politique RGPD

FretPilot — [À compléter : raison sociale]
Forme juridique : [À compléter — SAS / SARL / Entreprise individuelle]
Siège social : [À compléter — adresse postale complète]
RCS / Immatriculation : [À compléter]
N° SIREN : [À compléter]
N° TVA intracommunautaire : [À compléter]
Directeur de la publication : [À compléter — nom du représentant légal]
Contact : kouss.m@hotmail.fr

Plateforme hébergée par Emergent Labs sur infrastructure Kubernetes managée.
Contact infrastructure : support@emergent.sh

L'ensemble du contenu, des algorithmes, des interfaces, du code source, des marques et noms commerciaux affichés sur la plateforme sont la propriété exclusive de l'éditeur FretPilot. Toute reproduction, redistribution ou utilisation non autorisée est strictement interdite et passible de poursuites au titre du Code de la propriété intellectuelle (art. L.335-2 et suivants).

Les données métier (grilles tarifaires, fichiers de performance, exports) importées ou produites par un client demeurent la propriété exclusive dudit client. L'éditeur n'acquiert aucun droit sur ces données.

FretPilot est une plateforme SaaS B2B destinée aux entreprises exerçant des fonctions de pilotage transport (chef de projet transport, acheteur, supply chain). Elle propose des modules d'analyse tarifaire (comparateur), de mesure de performance transporteurs, de génération de revues annuelles, de simulation d'économies et un assistant IA. L'usage est strictement professionnel.

L'accès à la plateforme est soumis à la création d'un compte nominatif par un administrateur du client (l'entreprise souscriptrice). Chaque utilisateur est responsable de la confidentialité de ses identifiants. Toute action effectuée depuis un compte est réputée effectuée par son titulaire.

Les comptes sont strictement nominatifs et ne peuvent être partagés. L'éditeur se réserve le droit de suspendre tout compte en cas de soupçon d'usage abusif, frauduleux ou contraire aux présentes CGU.

L'utilisateur s'engage à :

• n'importer dans l'outil que des données dont son entreprise est légitimement détentrice ou autorisée à traiter ;
• ne pas tenter de contourner les contrôles d'accès, l'authentification ou les rôles (Administrateur / Utilisateur) ;
• ne pas diffuser à des tiers non autorisés les extractions (Excel, PDF) ou captures issues de l'outil sans accord préalable ;
• ne pas effectuer de rétro-ingénierie, copie, désassemblage ou tentative d'extraction du code source ;
• signaler sans délai à l'éditeur toute vulnérabilité ou comportement anormal constaté.

L'éditeur met en œuvre des moyens raisonnables pour assurer la disponibilité de la plateforme dans le respect des engagements définis dans le contrat client (SLA — Service Level Agreement) lorsque celui-ci en prévoit un. À défaut de SLA contractuel, la plateforme est fournie en mode « best effort » sans garantie de disponibilité.

Une interruption planifiée pour maintenance peut survenir ; l'éditeur s'efforce d'en informer les clients par e-mail ou via la plateforme dans la mesure du possible.

Les analyses, recommandations et calculs produits par la plateforme — y compris ceux générés par l'assistant IA — constituent des aides à la décision. Toute décision opérationnelle, contractuelle ou financière prise par le client sur la base de ces résultats reste sous sa seule responsabilité et doit faire l'objet de contrôles humains adaptés.

La responsabilité de l'éditeur ne saurait être engagée pour tout dommage indirect (perte d'exploitation, perte de chance, préjudice commercial) résultant de l'usage de la plateforme.

Les présentes CGU peuvent être modifiées à tout moment. Les utilisateurs seront informés des modifications substantielles par e-mail ou notification dans l'application au moins 30 jours avant leur entrée en vigueur.

• Comptes utilisateurs : adresse e-mail professionnelle, mot de passe haché (bcrypt), rôle (Admin / Utilisateur), date de création, dernière connexion.
• Sessions : jeton JWT en cookie HttpOnly + SameSite=None, adresse IP de connexion (logs anti brute-force), horodatage des tentatives de connexion.
• Données métier importées par le client : grilles tarifaires, fichiers Excel de performance livraison, identifiants Sales Order, départements, périodes — considérées comme des données professionnelles du client.
• Interactions IA : prompts saisis par l'utilisateur et réponses générées par l'assistant Claude.
• Logs applicatifs et techniques : traces d'erreur, statistiques d'usage (anonymes ou pseudonymisées).

Les données sont traitées dans le seul but de fournir les fonctionnalités contractuelles de la plateforme. Aucune donnée client n'est utilisée à des fins commerciales, revendue ou cédée à un tiers non listé en section 3.5.

• Exécution d'un contrat : fourniture de la plateforme (art. 6.1.b RGPD).
• Obligation légale : conservation des logs de sécurité (LCEN, art. 6 II).
• Intérêt légitime : prévention de la fraude, sécurité du système (art. 6.1.f RGPD).

• Comptes utilisateurs : durée du contrat client + 12 mois après désactivation, puis anonymisation.
• Données métier importées : durée du contrat client. En cas de résiliation, restitution sur demande puis suppression définitive dans un délai de 30 jours.
• Logs de sécurité (tentatives d'authentification, IP) : 6 mois maximum (conforme aux recommandations CNIL).
• Historique de chat IA : durée du compte ; suppression possible à tout moment depuis l'interface utilisateur.
• Sauvegardes : conservées sur l'infrastructure de l'hébergeur ; voir section 4 et DPA signé avec l'éditeur pour le détail.

Pour assurer le service, l'éditeur fait appel aux sous-traitants suivants, contractuellement engagés au respect du RGPD :

• Emergent Labs — hébergement applicatif et base de données MongoDB.
• Anthropic (Claude) — fourniture du moteur IA pour l'assistant, via passerelle Emergent. Les prompts transmis ne sont pas utilisés à des fins d'entraînement.

Toute évolution de la liste des sous-traitants fera l'objet d'une notification au client préalable, conformément au DPA.

Si tout ou partie des données est susceptible d'être traitée hors Union Européenne (par exemple, traitement IA chez Anthropic aux États-Unis), les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) ou par tout mécanisme équivalent.

Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition sur les données vous concernant.

Les demandes liées aux données métier (importées par votre employeur) doivent être adressées en priorité au DPO de votre entreprise cliente, qui est responsable du traitement. Pour les données strictement liées à votre compte utilisateur (e-mail, logs de connexion), vous pouvez contacter l'éditeur :

kouss.m@hotmail.fr

En cas de différend, vous pouvez introduire une réclamation auprès de la CNIL — www.cnil.fr.

• Communication chiffrée HTTPS / TLS 1.2+ (certificats automatiquement renouvelés).
• Mots de passe stockés avec hachage bcrypt (sel unique par utilisateur, coût élevé).
• Authentification par JSON Web Token (JWT, algorithme HS256) en cookie HttpOnly + SameSite=None + Secure.
• Protection contre les attaques par force brute : verrouillage temporaire d'un compte après plusieurs tentatives échouées, journalisation des tentatives.
• Contrôle d'accès basé sur les rôles (RBAC : Administrateur / Utilisateur).
• Isolation applicative par conteneur (orchestration Kubernetes).
• Chiffrement au repos de la base de données (assuré par l'hébergeur).
• Sauvegardes régulières (politique détaillée dans le DPA).

• Accès au code source et aux environnements restreint aux personnes habilitées.
• Revue de code et tests automatisés avant chaque mise en production.
• Engagement de confidentialité des collaborateurs et sous-traitants.
• Procédure de notification en cas de violation de données (sous 72h conformément à l'art. 33 RGPD).

Toute vulnérabilité, comportement suspect ou faille présumée doit être signalée sans délai àkouss.m@hotmail.fr. L'éditeur s'engage à accuser réception sous 48h ouvrées.