--- title: "Analyse d'impact relative à la protection des données (AIPD)" description: "Dernière mise à jour : 30 mai 2026" canonical_url: "https://getminds.ai/legal/fr/dsfa" last_updated: "2026-06-24T15:42:37.761Z" --- # Analyse d'impact relative à la protection des données (AIPD) **Dernière mise à jour : 30 mai 2026** La présente AIPD, réalisée conformément à l'article 35 du RGPD, évalue les risques en matière de protection des données de la plateforme Minds exploitée par Art of X UG (haftungsbeschränkt). ## 1. Description du traitement Minds permet de créer et utiliser des personas IA synthétiques ("Minds"; auparavant "Sparks") pour panels simulés, recherche, workflows créatifs, voix/messagerie, API/MCP et intégrations optionnelles.

Catégorie	Détails
Personnes concernées	Employés du Responsable, utilisateurs invités, personnes saisies et personnes mentionnées dans contenus, événements, messages, appels ou sources publiques
Types de données	Contact, identifiants, usage, contenus, prompts/sorties, embeddings, tokens API/OAuth, métadonnées calendrier/participants, SMS/WhatsApp/voix, techniques, paiement
Lieux	UE primaire (DE, SE), États-Unis et autres pays tiers sous DPF/SCCs, Royaume-Uni pour certains services voix
Conservation	Durée contractuelle + 30 jours sauf conservation spécifique, retrait de consentement, obligation légale ou audit/sécurité
Finalité	Services IA, simulations client, intégrations, sources, messagerie/voix, sécurité et support. Pas d'entraînement de modèles généraux sans opt-in exprès.
Technologie	APIs LLM, voix, recherche/sources, Google Calendar, Twilio, DigitalOcean Frankfurt, Supabase Stockholm, Cloudflare, TLS 1.2+, AES-256.

## 2. Nécessité et proportionnalité - **Base légale** : art. 6(1)(b) RGPD (contrat), art. 28 RGPD (sous-traitant), art. 6(1)(a) (consentement pour l'analytique) - **Limitation des finalités** : traitement uniquement selon le DPA. Pas d'entraînement de modèles, de marketing ou de partage non autorisé. - **Minimisation des données** : UUID plutôt que noms, analytique agrégée, suppression automatique - **Limitation de la conservation** : suppression sous 30 jours après la fin du contrat, rétention des sauvegardes de 30 jours ## 3. Évaluation des risques

Risque	Probabilité	Gravité	Résiduel	Mesure
Accès non autorisé	Faible	Élevée	Faible	MFA, RBAC, AES-256, RLS, tokens limités et révocables
Violation de données	Faible	Élevée	Faible	TLS 1.2+, sauvegardes chiffrées, Cloudflare, processus incident, notification 48h
Entraînement IA non autorisé	Très faible	Élevée	Très faible	No-training par défaut, opt-in, contrats, ZDR/no-retention si disponible
Fuite inter-locataires	Très faible	Critique	Très faible	RLS, contrôles tenant, tests automatisés
Accès gouvernemental	Faible	Moyenne	Faible	Infra UE, DPF/SCCs, revue transferts, transparence
Abus voix/apparence/voix clonée	Faible	Élevée	Moyenne	Consentement, règles d'usage, logs, retrait/suspension
Abus tokens Calendar/OAuth	Faible	Élevée	Faible	Permissions limitées, tokens chiffrés, déconnexion, nettoyage webhooks, audit
Extraction publique illicite/sensible	Moyenne	Moyenne	Moyenne	Garanties utilisateur, interdictions, logging, minimisation, suppression
Lacune transparence/provenance IA avant art. 50	Moyenne	Moyenne	Moyenne	Labels visibles, métadonnées, préparation au 2 août 2026
Perte de disponibilité	Faible	Moyenne	Faible	Sauvegardes quotidiennes, PITR, RPO 24h, RTO 8h

## 4. Mesures - **Techniques** : TLS 1.2+, AES-256, MFA, RBAC, Row-Level Security, infrastructure UE, Langfuse (UE) - **Organisationnelles** : DPO externe (Prof. Dr. Norman Uhlmann), NDA, formations, réponse aux incidents sous 48h - **Contractuelles** : DPA avec tous les sous-traitants, garanties ZDR, CCT, préavis de 14 jours pour changements, transparence FISA ## 5. Consultation **DPO** : Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal, Allemagne. [privacy@getminds.ai](mailto:privacy@getminds.ai) **Art. 36** : consultation préalable non requise (risque résiduel non « élevé »). **Révision** : annuellement, lors de changements importants, ou à la demande de l'autorité de contrôle. --- **Art of X UG (haftungsbeschränkt)** | Köpenicker Straße 145, 10997 Berlin | [privacy@getminds.ai](mailto:privacy@getminds.ai)