Stodeo SASU (« Stodeo », « nous ») accorde une importance fondamentale à la protection de vos données personnelles. La présente Politique décrit la manière dont nous collectons, utilisons et protégeons vos données dans le cadre de l'utilisation du Service Voaxys (voaxys.com, voaxys.fr).
Cette Politique est conforme au Règlement (UE) 2016/679 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée, ainsi qu'aux recommandations de la CNIL.
1. Identité du responsable de traitement
Stodeo SASU
- Siège social : 12 Rue Gambetta, 42500 Le Chambon-Feugerolles, France
- RCS : Saint Étienne 844 709 675
- N° TVA intracommunautaire : FR60 844 709 675
- Représentant légal : Boualem SEFSAF, Président
- Contact protection des données :
privacy@voaxys.fr
Stodeo n'a pas désigné de Délégué à la Protection des Données (DPO) au sens des articles 37 et suivants du RGPD. Un référent protection des données joignable à l'adresse ci-dessus est en charge des demandes des personnes concernées et des questions relatives à la conformité.
Note : Pour les données personnelles que vous traitez vous-même via Voaxys (par exemple, les données de vos propres clients ou des Appelants de vos Agents IA), Stodeo agit comme sous-traitant au sens de l'article 28 RGPD. Cette relation est régie par notre Accord de Traitement de Données (DPA). La présente Politique concerne uniquement les traitements pour lesquels Stodeo est responsable.
2. Données que nous collectons
2.1 Données fournies directement
| Catégorie | Exemples |
|---|---|
| Identification | Nom, prénom, raison sociale, adresse e-mail, numéro de téléphone |
| Compte | Identifiants, mot de passe (haché), préférences, langue |
| Facturation | Adresse de facturation, n° TVA, historique de factures, IBAN (via prestataire) |
| Communication | Messages support, retours produits |
2.2 Données collectées automatiquement
| Catégorie | Exemples |
|---|---|
| Techniques | Adresse IP, identifiants d'appareil, navigateur, OS, version |
| Usage | Pages visitées, fonctionnalités utilisées, durée de session, journaux d'API |
| Diagnostics | Erreurs techniques, performances, traces |
| Cookies | Voir Politique Cookies |
2.3 Données traitées dans le cadre des Agents IA
Lorsque vous configurez et exploitez des Agents IA via Voaxys, des données peuvent transiter ou être stockées :
- audio des conversations (entrant/sortant) ;
- transcriptions textuelles ;
- métadonnées d'appels (numéros, durées, horodatages) ;
- contenu des SMS associés ;
- prompts et configurations.
Pour ces données, vous êtes le responsable de traitement et Stodeo est sous-traitant. Voir le DPA.
2.4 Données sensibles
Voaxys n'est pas conçu pour le traitement de catégories particulières de données au sens de l'article 9 RGPD (santé, biométrie, opinions politiques, etc.) sauf accord spécifique préalable. Si votre cas d'usage implique de telles données, contactez privacy@voaxys.fr avant toute utilisation.
Voix et biométrie : un fichier audio brut n'est pas, en soi, une donnée biométrique au sens de l'article 4.14 RGPD ; seule l'empreinte vocale (voiceprint) extraite à des fins d'identification unique d'une personne physique l'est. Stodeo n'extrait pas, ne stocke pas et ne compare pas d'empreintes vocales. Les fichiers audio sont traités exclusivement à des fins de transcription (STT) et de synthèse vocale (TTS) dans le cadre de la fourniture du Service. Les fonctionnalités d'identification biométrique éventuellement disponibles chez certains Sous-Processeurs ne sont pas activées par Stodeo. Si un Client souhaite mettre en œuvre une identification biométrique via le Service, il devient responsable du traitement de catégories particulières de données (art. 9 RGPD) et doit contacter
privacy@voaxys.frpréalablement.
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) | Données concernées |
|---|---|---|
| Fournir le Service souscrit | Exécution du contrat (b) | Compte, usage, facturation |
| Facturer et recouvrer | Exécution du contrat + obligation légale (b, c) | Facturation, identité |
| Sécuriser la plateforme | Intérêt légitime (f) | Logs, IP, événements |
| Améliorer le Service | Intérêt légitime (f) | Données d'usage agrégées/anonymisées |
| Support utilisateur | Exécution du contrat (b) | Communications, identité |
| Communication commerciale (Clients) | Intérêt légitime (f) avec opt-out | Identité, e-mail |
| Communication commerciale (Prospects) | Consentement (a) | Identité, e-mail |
| Respecter nos obligations comptables et fiscales | Obligation légale (c) | Facturation |
| Lutter contre la fraude et les abus | Intérêt légitime (f) | Logs, comportement |
| Répondre à des demandes des autorités | Obligation légale (c) | Selon demande |
4. Destinataires
Vos données sont accessibles, dans la stricte limite du nécessaire, à :
- nos équipes habilitées (technique, commerciale, support, finance) ;
- nos sous-traitants techniques listés au § 5 ;
- les autorités administratives ou judiciaires compétentes, sur demande légalement fondée.
Nous ne vendons pas, ni ne louons vos données personnelles à des tiers.
5. Sous-traitants et transferts hors UE
Voaxys s'appuie sur un ensemble de Sous-Processeurs pour fournir le Service. La liste exhaustive et à jour est publiée à : https://voaxys.com/legal/subprocessors.
5.1 Liste indicative au 6 mai 2026
⚠️ Cette liste est indicative : la liste de référence, exhaustive et versionnée, est publiée à
https://voaxys.com/legal/subprocessors. En cas de divergence, la page publique fait foi.
| Sous-Processeur | Finalité | Localisation des traitements | Cadre de transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement d'infrastructure | Allemagne / Finlande (UE) | UE — pas de transfert |
| Supabase | Base de données managée | UE (région à confirmer) | UE / CCT si nécessaire |
| Twilio Inc. | Téléphonie, numéros, SMS | UE / États-Unis | DPF + CCT |
| Deepgram Inc. | Speech-to-Text (transcription) | États-Unis | DPF + CCT |
| Groq Inc. | Inférence LLM | États-Unis | CCT |
| ElevenLabs Inc. | Synthèse vocale (TTS) | États-Unis | DPF + CCT |
| LiveKit Inc. | Infrastructure WebRTC | Selon configuration | CCT |
| Stancer / Lyra Network | Traitement des paiements | UE | UE — pas de transfert |
| Pennylane | Facturation et comptabilité | France (UE) | UE — pas de transfert |
5.3 Modèles tiers en mode « Bring Your Own Key » (BYOK)
Sur les plans Voaxys qui le permettent, le Client peut connecter au Service ses propres clés API auprès d'éditeurs tiers d'intelligence artificielle, notamment :
| Éditeur | Catégorie | Pays |
|---|---|---|
| Anthropic | LLM | États-Unis |
| OpenAI | LLM | États-Unis |
| Google (Gemini) | LLM | États-Unis |
| Cartesia | Synthèse vocale (TTS) | États-Unis |
| Gladia | Transcription (STT) | France / UE |
| Speechmatics | Transcription (STT) | Royaume-Uni |
Statut juridique BYOK : lorsque le Client active un modèle via sa propre clé API, l'éditeur tiers concerné agit comme sous-processeur ultérieur du Client au sens de l'article 28 RGPD, et non de Stodeo. Le Client a une relation contractuelle directe avec l'éditeur (acceptation des conditions d'utilisation et du DPA fournisseur). Stodeo n'a pas de visibilité sur le contenu de ces appels au-delà de ce qui est strictement nécessaire pour acheminer la requête, et ne contractualise pas avec l'éditeur pour le compte du Client.
Il appartient au Client de vérifier la conformité de l'éditeur retenu à ses propres obligations (RGPD, AI Act, transferts hors UE, options Zero Data Retention) avant d'activer le mode BYOK.
DPF = EU-US Data Privacy Framework — CCT = Clauses Contractuelles Types de la Commission européenne
5.2 Garanties pour les transferts hors UE/EEE
Lorsque des données sont transférées en dehors de l'Espace économique européen, Stodeo met en œuvre les garanties appropriées prévues aux articles 45 à 49 du RGPD, en priorité :
- décision d'adéquation (lorsque disponible, ex. EU-US Data Privacy Framework — DPF) ;
- Clauses Contractuelles Types (CCT) de la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021), modules 2 ou 3 selon la relation ;
- mesures supplémentaires : chiffrement en transit et au repos, pseudonymisation, restrictions d'accès, options « Zero Data Retention » lorsque disponibles chez le Sous-Processeur.
En cas d'invalidation ou de suspension du DPF, les transferts concernés basculent automatiquement sur les CCT, qui sont conclues à titre subsidiaire avec chaque Sous-Processeur américain.
Une copie des garanties peut être obtenue sur demande à privacy@voaxys.fr.
6. Durées de conservation
| Donnée | Durée de conservation |
|---|---|
| Compte actif | Pendant la durée de la relation contractuelle |
| Données après résiliation | 30 jours (export possible), puis suppression |
| Enregistrements audio des appels | 30 jours glissants par défaut (configurable par le Client, option de stockage étendu disponible) |
| Transcriptions textuelles | 90 jours glissants par défaut (configurable) |
| Factures et documents comptables | 10 ans (art. L.123-22 C. com.) |
| Logs techniques de sécurité | 12 mois (justifié par les besoins d'investigation post-incident et la traçabilité AI Act) |
| Données de prospection (prospects) | 3 ans à compter du dernier contact |
| Données commerciales clients (post-contrat) | Durée de la relation + 2 ans, hors obligations comptables |
| Preuves de consentement (où applicable) | 5 ans à compter du dernier acte recueilli |
| Cookies | Voir Politique Cookies |
| Données sur opposition / retrait de consentement | Suppression sous 30 jours, sauf obligation légale contraire |
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez :
- Droit d'accès : obtenir confirmation et copie de vos données ;
- Droit de rectification : corriger des données inexactes ;
- Droit à l'effacement (« droit à l'oubli ») ;
- Droit à la limitation du traitement ;
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine ;
- Droit d'opposition au traitement, notamment à des fins de prospection ;
- Droit de définir des directives post-mortem sur le sort de vos données ;
- Droit de retirer votre consentement à tout moment lorsque le traitement repose sur cette base légale.
7.1 Comment exercer vos droits
- Par e-mail :
privacy@voaxys.fr - Par courrier : Stodeo SASU — Référent données personnelles — 12 Rue Gambetta, 42500 Le Chambon-Feugerolles
- Depuis votre Compte : section Confidentialité
Nous pouvons vous demander de justifier votre identité afin de prévenir les usurpations.
Nous répondons dans un délai d'un (1) mois, prolongeable de deux mois en cas de complexité.
7.2 Réclamation auprès de la CNIL
Vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
https://www.cnil.fr/fr/plaintes
8. Sécurité
Stodeo met en œuvre des mesures techniques et organisationnelles appropriées :
- chiffrement TLS pour toutes les communications ;
- chiffrement au repos des données sensibles ;
- gestion des secrets via KMS (Infisical) ;
- cloisonnement multi-tenant ;
- contrôle d'accès basé sur les rôles, principe du moindre privilège ;
- authentification renforcée pour les administrateurs ;
- journalisation des accès ;
- sauvegardes régulières et tests de restauration ;
- procédure de gestion des incidents avec notification dans les 72 heures à la CNIL en cas de violation, conformément à l'article 33 RGPD.
9. Cookies et traceurs
Voir notre Politique Cookies dédiée.
10. Profilage et décisions automatisées
Voaxys n'effectue pas de décision entièrement automatisée produisant des effets juridiques significatifs sur les personnes au sens de l'article 22 RGPD, dans le cadre des traitements pour lesquels Stodeo est responsable.
Les Agents IA configurés par les Clients peuvent en revanche comporter une dimension décisionnelle automatisée à l'égard des personnes interagissant avec eux (Appelants) : scoring d'éligibilité, orientation, décision commerciale, etc. Il appartient au Client, en sa qualité de responsable de traitement de ces interactions, d'évaluer si l'article 22 RGPD s'applique à son cas d'usage et, le cas échéant, de prévoir les garanties appropriées : information transparente des Appelants, droit d'obtenir une intervention humaine, droit d'exprimer un point de vue et de contester la décision. Stodeo met à disposition les outils techniques permettant ces garanties (escalade vers un opérateur humain, log des décisions) mais ne peut être tenu responsable de leur non-utilisation par le Client.
11. Mineurs
Le Service Voaxys est strictement destiné à un usage professionnel (B2B) et n'est pas accessible aux personnes mineures en qualité de Clients. Stodeo ne collecte pas intentionnellement de données concernant des mineurs dans le cadre des traitements pour lesquels il est responsable.
S'agissant des Appelants interagissant avec les Agents IA configurés par les Clients, Stodeo n'a pas de moyen de vérifier leur âge. Il appartient au Client de s'assurer que ses cas d'usage ne ciblent pas spécifiquement des mineurs et, le cas échéant, de mettre en œuvre les garanties requises (consentement parental, art. 8 RGPD).
Si vous estimez qu'un mineur nous a transmis des données, contactez immédiatement privacy@voaxys.fr.
12. Modifications de la Politique
La présente Politique peut être modifiée pour refléter les évolutions du Service ou de la réglementation. Toute modification substantielle vous sera notifiée par e-mail ou via votre Compte au moins trente (30) jours avant sa prise d'effet.
13. Contact
Pour toute question relative à la présente Politique :
Référent protection des données
- E-mail :
privacy@voaxys.fr - Courrier : Stodeo SASU — Référent données personnelles — 12 Rue Gambetta, 42500 Le Chambon-Feugerolles, France