Aller au contenu
Nouveau : connectez Linkly à votre IA préférée et interrogez les résultats et leads de vos salons
Document juridique · v1.0

Politique de confidentialité

Dernière mise à jour 24 mai 2026
Date d'effet 24 mai 2026
Version 1.0
Traduction fournie à titre informatif. La version italienne prévaut en cas de conflit.

La présente Politique de confidentialité décrit les modalités de traitement des données personnelles effectuées via l'application mobile et la plateforme web Linkly (la « Plateforme »), fournies par SORAIA S.R.L., et via le site web linkly.events (le « Site »).

Le présent document est établi au sens du Règlement (UE) 2016/679 (« RGPD »), du décret législatif italien 196/2003 tel que modifié (« Code de la vie privée »), de la décision de l'Autorité italienne de protection des données n° 231/2021 en matière de cookies, et des lignes directrices applicables de l'EDPB.

SORAIA S.R.L. adopte les mesures techniques et organisationnelles appropriées (art. 32 RGPD) afin de garantir que le traitement des données personnelles soit effectué dans le respect des principes de licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité (art. 5 RGPD).

1. Responsable du traitement

Pour les traitements effectués directement par SORAIA S.R.L. en qualité de responsable autonome, le responsable du traitement est :

  • SORAIA S.R.L.
  • Siège social : Via Losana 13, 13900 Biella (BI), Italie
  • TVA : IT02820060024 · REA : BI-319659
  • Email vie privée : privacy@soraia.io
  • Email certifié (PEC) : soraia@mypec.eu

Pour les traitements effectués pour le compte des entreprises clientes qui utilisent Linkly pour la gestion de leurs contacts commerciaux, SORAIA agit en qualité de sous-traitant au sens de l'art. 28 RGPD, conformément au Data Processing Agreement (DPA) signé avec chaque client.

2. Rôles et responsabilités vie privée

2.1 Les entreprises clientes en tant que responsables autonomes

Les entreprises qui utilisent Linkly pour la collecte, la qualification et la gestion des contacts acquis lors de salons, événements et activités de networking B2B agissent en qualité de responsables autonomes du traitement au sens de l'art. 4(7) RGPD.

Les entreprises clientes déterminent en toute autonomie :

  • les finalités et moyens du traitement
  • le contenu et la logique des questions de qualification configurées
  • les critères de profilage commercial
  • les activités de relance, communication et marketing
  • les systèmes tiers destinataires des données (CRM, marketing automation, ERP)
  • la base juridique du traitement des données des prospects collectés (typiquement l'intérêt légitime B2B au sens de l'art. 6(1)(f) RGPD, évalué via LIA, Legitimate Interest Assessment, sous leur propre responsabilité)

Les entreprises clientes sont responsables de l'accomplissement des obligations d'information envers les personnes concernées (arts. 13 et 14 RGPD), y compris la remise ou la mise à disposition d'une notice de confidentialité spécifique au moment de la collecte des données (ex. au stand du salon).

2.2 SORAIA S.R.L., double rôle

a) Sous-traitant (art. 28 RGPD)

Pour le compte des entreprises clientes, limitativement aux activités suivantes :

  • numérisation, acquisition et digitalisation des contacts (cartes de visite, badges, codes QR) via OCR
  • stockage et gestion technique des données
  • enrichissement des données via des sources publiques et des fournisseurs tiers
  • structuration, normalisation et qualification via IA
  • génération de relances commerciales (sur la base des modèles et instructions du client)
  • intégration technique avec le CRM, l'ERP et les systèmes marketing du client
  • reporting post-événement

b) Responsable autonome

Pour les activités nécessaires à :

  • garantir la sécurité de la Plateforme (arts. 32, 33, 34 RGPD)
  • assurer la continuité opérationnelle
  • prévenir les abus et utilisations illicites
  • se conformer aux obligations légales (fiscales, contractuelles, anti-blanchiment)
  • gérer la facturation et la relation contractuelle avec le client (données administratives)

Les relations entre SORAIA et chaque client sont régies par un Data Processing Agreement conforme à l'art. 28 RGPD, partie intégrante du contrat de fourniture.

3. Catégories de données personnelles traitées

3.1 Données techniques et d'utilisation (responsable : SORAIA)

  • adresse IP (anonymisée ou pseudonymisée après 30 jours)
  • logs d'accès et d'activité
  • identifiants de l'appareil (user agent, OS, version de l'app)
  • informations sur le navigateur, système d'exploitation et version de l'application
  • données de session (jetons d'authentification)

3.2 Données des utilisateurs professionnels (responsable : SORAIA pour l'authentification ; responsable : entreprise cliente pour l'usage opérationnel)

  • prénom et nom
  • email professionnel
  • numéro de téléphone professionnel (optionnel)
  • rôle et appartenance à l'équipe
  • identifiants d'authentification (mot de passe chiffré, hash bcrypt)
  • données d'utilisation de la Plateforme
  • permissions et configurations appliquées par l'administrateur du client

3.3 Données des contacts acquis, leads (responsable : entreprise cliente)

Données personnelles de tiers acquises par les entreprises clientes lors d'événements B2B :

  • données d'identification et professionnelles (prénom, nom, rôle)
  • informations d'entreprise (raison sociale, secteur, taille)
  • contacts professionnels (email professionnel, téléphone professionnel)
  • profils publics (ex. URL LinkedIn public)
  • réponses aux questions de qualification configurées par le client
  • notes et évaluations commerciales saisies par les utilisateurs du client
  • source d'acquisition (événement, date, modalité)

Les données peuvent être recueillies via :

  • scan de cartes de visite (OCR)
  • scan de badges d'événement (OCR)
  • lecture de codes QR
  • saisie manuelle
  • formulaires personnalisés configurés par le client

SORAIA ne traite ni catégories particulières de données (art. 9 RGPD) ni données relatives aux condamnations pénales (art. 10 RGPD). Le client s'engage, par le DPA, à ne pas saisir de données de ces catégories dans la Plateforme.

3.4 Données administratives et de facturation (responsable : SORAIA)

  • raison sociale, TVA, code fiscal, adresse du client
  • données du représentant légal ou du référent administratif
  • historique de facturation et paiements

4. Finalités du traitement et bases juridiques

4.1 Fourniture de la Plateforme et gestion contractuelle

Traitement des données des utilisateurs professionnels et administratives nécessaire pour permettre l'utilisation de la Plateforme, la fourniture du service, la gestion du contrat, la facturation et l'assistance technique.

Base juridique : art. 6(1)(b) RGPD (exécution d'un contrat) et art. 6(1)(c) RGPD (obligations légales fiscales et comptables).

4.2 Activités de lead capture, qualification et relance B2B (pour le compte des clients)

Traitement des données des contacts collectés pour les finalités définies par le client responsable :

  • digitalisation et structuration du contact
  • qualification commerciale
  • enrichissement informationnel
  • activation dans le CRM de l'entreprise
  • envoi de relances commerciales

Base juridique (incombant à l'entreprise cliente responsable) : typiquement art. 6(1)(f) RGPD (intérêt légitime au networking professionnel et à la poursuite d'une conversation commerciale B2B initiée en contexte de salon). L'entreprise cliente doit effectuer sa propre mise en balance (LIA) et garantir information et droits aux personnes concernées.

4.3 Sécurité de la Plateforme, prévention des abus, audit

Traitement des données techniques et de logs pour garantir la sécurité informatique, la prévention des fraudes, l'analyse des incidents, les audits internes et le respect des demandes des autorités.

Base juridique : art. 6(1)(f) RGPD (intérêt légitime de SORAIA à la sécurité et à l'intégrité du service) ; art. 6(1)(c) RGPD (obligations légales).

4.4 Réponse aux demandes des personnes concernées et obligations RGPD

Traitement nécessaire pour donner suite aux demandes d'exercice des droits (arts. 15-22 RGPD), gérer les réclamations, mener des AIPD ou consultations avec l'autorité de contrôle.

Base juridique : art. 6(1)(c) RGPD (obligations légales).

5. Technologies d'intelligence artificielle (IA)

5.1 Modalités d'utilisation de l'IA

La Plateforme utilise des technologies d'intelligence artificielle fournies par des fournisseurs tiers (voir section 6) pour les finalités techniques suivantes :

  • Reconnaissance optique (OCR) : lecture et digitalisation de cartes de visite et de badges d'événement
  • Structuration et normalisation : parsing des données extraites en champs structurés
  • Synthèse et classification : catégorisation automatique du contact pour faciliter la qualification
  • Génération de modèles de relance : composition de brouillons d'email personnalisés sur la base des instructions et modèles fournis par le client

5.2 Exclusions explicites

L'utilisation de l'IA sur la Plateforme N'IMPLIQUE PAS :

  • la génération autonome de nouvelles données personnelles non issues de sources déjà disponibles
  • de décisions entièrement automatisées ayant des effets juridiques ou significatifs pour la personne concernée au sens de l'art. 22 RGPD
  • de profilage automatisé à des fins de publicité comportementale
  • l'entraînement des modèles IA des fournisseurs tiers sur les données des clients (voir section 6 pour les spécificités contractuelles)

5.3 Enrichissement des données, modalités opérationnelles

L'enrichissement de données de contact (ex. email professionnel, numéro de téléphone, profil LinkedIn) est effectué via des fournisseurs externes spécialisés et est soumis aux règles suivantes :

  • l'enrichissement est effectué uniquement lorsque ces informations ne sont pas déjà disponibles dans le contact acquis
  • en présence de données déjà fournies (ex. via une carte de visite), aucune requête n'est effectuée auprès de fournisseurs externes pour ces champs
  • le système peut consulter des sources publiquement accessibles (résultats de moteurs de recherche, profils professionnels publics) pour récupérer des informations déjà publiquement disponibles
  • ce processus reproduit des activités de recherche manuelle communément effectuées en contexte professionnel ; il n'implique pas d'accès à des bases de données privées ; il n'utilise pas de techniques de scraping massif non autorisé

6. Destinataires et sous-traitants

Les données personnelles peuvent être traitées par les destinataires suivants, chacun lié par des obligations contractuelles de confidentialité et de protection des données équivalentes à celles assumées par SORAIA :

  • personnel autorisé de SORAIA S.R.L., formé au sens de l'art. 29 RGPD
  • fournisseurs d'infrastructure IT, cloud computing et backend platform
  • fournisseurs de services IA pour l'OCR, la structuration et la génération de texte
  • fournisseurs de services d'enrichissement de données B2B
  • services d'automatisation et d'orchestration de workflows
  • services de recherche sur sources publiques
  • consultants techniques, juridiques et administratifs
  • autorités publiques, lorsque la loi l'exige

Pour chaque catégorie, SORAIA sélectionne des fournisseurs adoptant des mesures de sécurité appropriées et signe avec chacun d'entre eux un Data Processing Agreement conforme à l'art. 28 RGPD. Pour les sous-traitants établis hors UE, SORAIA signe les Clauses Contractuelles Types (CCT) approuvées par la Commission UE (décision d'exécution 2021/914) et, le cas échéant, vérifie l'adhésion au EU-US Data Privacy Framework (DPF).

La liste spécifique et mise à jour des sous-traitants est communiquée aux clients sous contrat et disponible sur demande écrite motivée des DPO des clients par email à privacy@soraia.io.

7. Transferts de données hors UE

Les données personnelles sont traitées principalement sur des infrastructures situées dans l'Espace économique européen (EEE). Lorsque des transferts vers des pays tiers s'avèrent nécessaires, ceux-ci sont effectués dans le respect des arts. 44 et suivants du RGPD.

Outils de transfert utilisés

  • Décision d'adéquation (art. 45 RGPD) : pour les pays reconnus par la Commission UE comme garants d'un niveau de protection adéquat (ex. UK, Suisse, Japon, Corée du Sud)
  • EU-US Data Privacy Framework (décision d'adéquation UE-USA du 10 juillet 2023) : pour les sous-traitants américains adhérant au DPF
  • Clauses Contractuelles Types (CCT) approuvées par la Commission UE par la décision 2021/914 : module 2 (responsable-sous-traitant) ou module 3 (sous-traitant-sous-sous-traitant) selon la relation
  • Mesures supplémentaires techniques et organisationnelles lorsque requises par la jurisprudence Schrems II (ex. chiffrement de bout en bout, pseudonymisation, contrôles contractuels d'accès gouvernemental)

Transfer Impact Assessment (TIA)

Pour chaque transfert hors UE, SORAIA a mené une évaluation d'impact du transfert (TIA) qui considère : la nature des données, le risque d'accès par les autorités du pays tiers, les protections juridiques disponibles aux personnes concernées et les mesures techniques et organisationnelles adoptées.

8. Conservation des données

Les durées de conservation appliquées sont les suivantes :

  • Données des contacts acquis (leads) : pour la durée de la relation contractuelle entre SORAIA et le client responsable. À la cessation du contrat, les données sont mises à disposition pour téléchargement pendant 30 jours, après quoi elles sont supprimées ou anonymisées selon les instructions du client.
  • Données des utilisateurs professionnels : pour la durée du compte, et pour 12 mois supplémentaires après désactivation (pour la gestion des demandes post-cessation).
  • Logs d'accès et données techniques : 12 mois à des fins de sécurité et de prévention des abus (en ligne avec la décision de l'autorité italienne sur les logs d'administrateur système).
  • Données administratives et de facturation : 10 ans à compter de la fin de la relation, conformément à l'art. 2220 du Code civil italien et à la législation fiscale.
  • Communications email et PEC : 5 ans, sous réserve d'exigences spécifiques de conservation probatoire.
  • Données de marketing direct (newsletters, relances commerciales de SORAIA vers prospects) : jusqu'au retrait du consentement ou à l'opposition de la personne concernée ; au maximum 24 mois à compter du dernier contact actif.

Pour les données traitées en tant que sous-traitant, les durées effectives de conservation sont définies par le client responsable dans son registre des traitements et dans les instructions documentées dans le DPA.

9. Droits des personnes concernées

Au sens des articles 15-22 RGPD, les personnes concernées ont le droit :

  • D'accès (art. 15), obtenir confirmation du traitement et copie des données
  • De rectification (art. 16), corriger les données inexactes ou incomplètes
  • D'effacement (art. 17), « droit à l'oubli » dans les cas prévus
  • De limitation (art. 18), suspendre le traitement dans des cas spécifiques
  • À la portabilité (art. 20), recevoir leurs données dans un format structuré et lisible par machine
  • D'opposition (art. 21), s'opposer au traitement fondé sur l'intérêt légitime, en particulier à des fins de marketing
  • De ne pas être soumis à des décisions automatisées ayant des effets significatifs (art. 22) : aucune telle décision n'est prise sur la Plateforme
  • De retirer le consentement à tout moment, sans préjudice de la licéité du traitement antérieur

Comment exercer les droits

Les demandes doivent être envoyées par email à privacy@soraia.io en indiquant :

  • l'identité du demandeur (avec copie d'un document d'identité pour vérification, le cas échéant)
  • le droit que l'on entend exercer
  • les faits et motivations à l'appui, le cas échéant

SORAIA répond dans un délai de 30 jours à compter de la réception de la demande (art. 12 RGPD), extensible à 60 jours en cas de demandes complexes, avec communication motivée.

Lorsque la personne concernée exerce un droit relatif à des données traitées par SORAIA en tant que sous-traitant (ex. leads collectés via Linkly pour le compte d'un client), SORAIA transmet la demande sans délai au client responsable et fournit à ce dernier l'assistance nécessaire (art. 28(3)(e) RGPD).

Réclamation auprès de l'autorité de contrôle

Le droit d'introduire une réclamation auprès de l'autorité italienne de protection des données (garanteprivacy.it) au sens de l'art. 77 RGPD reste sauf, ainsi que celui de s'adresser à une autre autorité de contrôle compétente en fonction du lieu de résidence ou de travail habituel de la personne concernée.

10. Mesures de sécurité

Au sens de l'art. 32 RGPD, SORAIA adopte des mesures techniques et organisationnelles adaptées au risque, parmi lesquelles :

  • Chiffrement des données en transit via TLS 1.2+ avec cipher suites modernes
  • Chiffrement des données au repos sur les bases de données (AES-256)
  • Contrôles d'accès basés sur des identifiants individuels et le principe du moindre privilège
  • Authentification multi-facteurs obligatoire pour les comptes administratifs
  • Hachage des mots de passe avec des algorithmes industry-standard (bcrypt)
  • Séparation logique entre les environnements (développement, staging, production) et entre les données des clients
  • Logging et monitoring des accès administratifs (conservation 12 mois)
  • Sauvegardes automatiques quotidiennes avec procédures de disaster recovery testées
  • Gestion des incidents avec procédure interne prévoyant la notification à l'autorité italienne sous 72 heures (art. 33 RGPD) et aux clients concernés sans délai
  • Révision périodique des accès (revue trimestrielle)
  • Formation du personnel au sens de l'art. 29 RGPD (annuelle)
  • Tests d'intrusion périodiques sur les composants critiques
  • Patch management rapide pour les vulnérabilités connues

Le Site utilise exclusivement des cookies techniques nécessaires au fonctionnement, au sens de l'art. 122 du décret législatif italien 196/2003 (pour lesquels aucun consentement préalable n'est requis).

Pour le détail des cookies utilisés, finalités, durées et gestion, se référer à la Politique cookies dédiée.

12. Traitement de données relatives aux mineurs

La Plateforme Linkly est un outil B2B destiné exclusivement aux utilisateurs professionnels majeurs. SORAIA ne recueille pas sciemment de données de mineurs. Si un client responsable saisissait par erreur des données de mineurs, il est tenu d'en informer immédiatement privacy@soraia.io pour suppression.


Contacts pour la protection des données

Pour toute question relative au traitement des données personnelles, à l'exercice des droits RGPD, ou pour recevoir copie du Data Processing Agreement, veuillez contacter :

Délégué à la Protection des Données (DPO): non désigné. SORAIA S.R.L. n'est pas soumise à l'obligation de désigner un DPO au sens de l'art. 37 RGPD (les exigences du par. 1 lettres b et c ne sont pas réunies). Les demandes des personnes concernées et des DPO des clients sont gérées directement par la fonction vie privée de l'entreprise via les contacts ci-dessus.

Réclamations: sans préjudice du droit de s'adresser directement au responsable du traitement / sous-traitant, les personnes concernées ont le droit d'introduire une réclamation auprès de l'autorité italienne de protection des données (garanteprivacy.it) ou auprès d'une autre autorité de contrôle compétente en fonction de leur lieu de résidence.

Modifications du document

SORAIA S.R.L. se réserve le droit de mettre à jour le présent document pour des raisons réglementaires ou d'évolution du service. Les modifications substantielles seront communiquées aux clients actifs par email et publiées sur cette page avec mise à jour de la date de dernière modification.

Approfondir avec une IA

Les pages Linkly sont optimisées pour être lues correctement par les assistants IA. Ouvrez la conversation dans celui que vous préférez avec le contexte déjà prêt, ou copiez le prompt pour l'utiliser où vous voulez.