PilotCrew logoPilotCrew
★Vue d’ensembleCAgent vocalRRédac · contenuBBuzz · socialCCompta · financeAAssist · supportÉÉtoile · réputationPProspecto · salesDDevisco · devis▶Visite guidée (2 min)
🟢 En direct
📞 Tester Capi au téléphone
Appel gratuit, Capi vous répond en français en 2 sonneries.
+33 1 89 31 63 23 →
Guides PME7 secteurs · ROI · setupBlogInsights & actualitésBonnes pratiquesPlaybooks IA pour PMECas d’usageBibliothèque de scénariosAvis clientsTrustpilot · témoignagesÀ propos · FondateurCurtys ACCIPE · parcoursAgencesMarque blanche · reventeIntégrationsCal.com · Stripe · Slack…Visite guidée2 min · capi en démo
📘 Guide
EU AI Act : ce que les PME doivent préparer
Gratuit · 12 pages · échéance août 2026.
Lire le guide →
Centre d’assistanceHub support · FAQ · contactDocumentationAPI · setup · intégrationsChangelogNouveautés produitStatut systèmeDisponibilité en directCentre de confianceEU AI Act · RGPD · sécuCommunautéÉchanges & entraide
🟢 24/7
Une question ? Capi répond
Téléphone, chat, e-mail — la voix officielle PilotCrew.
Contacter le support →
🍽️ RestaurantRésa + avis + menus🔧 ArtisanDevis + SEO local + tournées🩺 MédecinRDV 24/7 + rappels SMS🛒 E-commerceFiches + posts + support💇 BeautéInsta + fidélisation💼 FreelanceLinkedIn + devis + factu🏠 ImmobilierAnnonces multi-portail + voice qualif
TarifsComparatifs
Appeler CapiConnexionEssai gratuit
Menu
FonctionnalitésComment ça marcheIntégrationsTarifsComparatifs

Agents IA

Agent vocal · CapiAgent contenu · RédacAgent social · BuzzAgent finance · ComptaAgent support · AssistAgent réputation · ÉtoileAgent prospection · ProspectoAgent devis · Devisco

Ressources

Visite guidée (2 min)BlogBonnes pratiquesCas d’usageAvis clientsAgences (marque blanche)

Assistance

Centre d’assistanceDocumentationChangelogStatut systèmeCentre de confianceEU AI ActCommunauté
ConnexionEssai gratuit
  1. Accueil
  2. /Conformité
  3. /Registre RGPD PilotCrew

Registre des activités de traitement — PilotCrew

Le présent registre est publié au titre de l'article 30 du Règlement (UE) 2016/679 (RGPD) par KEY FOR AI SAS(éditeur de PilotCrew), SIRET 994 487 775 00011. Il inventorie les traitements de données personnelles que la plateforme effectue pour le compte de ses clients (en qualité de sous-traitant au sens de l'article 28) et ceux qu'elle effectue pour son propre compte (en qualité de responsable de traitement).

📋 Document opposable
Dernière mise à jour : 2026-05-23. Toute modification matérielle de ce registre fait l'objet d'un versioning git public et d'une notification aux clients sous 30 jours. Pour la version PDF signée ou pour exercer vos droits (accès, rectification, effacement, portabilité, opposition), écrivez à dpo@pilotcrew.io.

Coordonnées du responsable et du DPO

  • Responsable du traitement: KEY FOR AI SAS, siège social en France, SIRET 994 487 775 00011.
  • Délégué à la protection des données (DPO) : dpo@pilotcrew.io.
  • Représentant client : chaque tenant client PilotCrew est seul responsable de ses propres traitements ; PilotCrew agit en sous-traitant pour son compte ([DPA Article 28](/legal/dpa)).

Traitements inventoriés

Pour chaque traitement, les 8 mentions obligatoires de l'article 30 §1 RGPD : finalité, base légale, personnes concernées, catégories de données, destinataires, transferts hors UE, durée de conservation, mesures de sécurité.

Agent vocal Capi — appels entrants et sortants

Finalité
Réception et traitement des appels téléphoniques entrants vers le numéro PilotCrew (et appels sortants B2B de prospection autorisés), qualification, prise de RDV, génération d'un résumé écrit.
Base légale
Intérêt légitime du client PilotCrew (Art. 6.1.f RGPD) pour la qualification commerciale ; consentement (Art. 6.1.a) lorsque l'appel relève d'un démarchage B2C.
Personnes concernées
Personnes appelant ou appelées par le numéro PilotCrew du client.
Catégories de données
  • Numéro de téléphone
  • Contenu de l'appel (audio + transcription textuelle)
  • Nom, email, société (si fournis pendant l'appel via tool capture_lead)
  • Horodatage et durée de l'appel
  • Résumé structuré généré par l'IA
Destinataires
Équipe interne du client PilotCrew ; sous-traitants (VAPI pour l'orchestration vocale, OpenAI/Anthropic/ElevenLabs pour la génération, Telnyx pour le transport PSTN, Supabase pour la persistance).
Transferts hors UE
Aucun transfert structurel hors UE. Les appels transitent par Telnyx (carrier multi-zones, sélection EU possible) ; les LLM appelés sont hébergés selon leur configuration EU/US — un mode EU-only peut être activé par tenant.
Durée de conservation
Audio : 30 jours par défaut (configurable par tenant, max 12 mois). Transcription + résumé : 12 mois. Lead capturé : conservation contractuelle B2B (3 ans après dernier contact).
Mesures de sécurité
  • TLS 1.3 sur tous les transports
  • Authentification par signature Ed25519 sur les webhooks Telnyx
  • Authentification par shared secret timing-safe sur les webhooks VAPI
  • RLS Supabase par tenant_id
  • Pas de stockage de carte bancaire (Stripe tokenization)

Agent contenu Rédac — génération SEO, blog, social, email

Finalité
Génération de contenus rédactionnels (articles, posts sociaux, emails, newsletters) à partir d'un brief fourni par le client.
Base légale
Exécution du contrat (Art. 6.1.b RGPD) — la génération est commandée par le client.
Personnes concernées
Aucune donnée personnelle obligatoire en entrée. Si le brief mentionne des personnes (témoignage client, étude de cas), elles deviennent personnes concernées.
Catégories de données
  • Texte du brief
  • Texte généré
  • Métadonnées (titre, type, plateforme cible)
Destinataires
Équipe interne du client ; sous-traitants LLM (OpenAI, Anthropic, xAI, Google selon le routage agent).
Transferts hors UE
Possible selon le LLM routé. Le client peut limiter au sous-ensemble EU-only via les paramètres tenant.
Durée de conservation
Contenus persistés tant que le tenant est actif ; suppression sous 30 jours après résiliation.
Mesures de sécurité
  • Quality_score IA + statut de revue obligatoire avant publication
  • RLS Supabase par tenant_id
  • Chiffrement at-rest Supabase

Agent social Buzz — publication LinkedIn / (Instagram + Facebook en cours)

Finalité
Publication automatique de contenus sur les réseaux sociaux du client (LinkedIn aujourd'hui ; Instagram Business et Facebook Pages en cours de livraison).
Base légale
Exécution du contrat (Art. 6.1.b RGPD) ; consentement OAuth explicite du client pour chaque réseau connecté.
Personnes concernées
Le client (titulaire des comptes) ; les personnes mentionnées dans les publications éventuellement.
Catégories de données
  • Tokens OAuth chiffrés
  • Contenu publié
  • Métriques de performance (impressions, engagement)
Destinataires
LinkedIn API, Meta Graph API (Instagram + Facebook).
Transferts hors UE
LinkedIn (Microsoft, USA — Standard Contractual Clauses). Meta (USA — SCC + Data Privacy Framework).
Durée de conservation
Tokens : durée du contrat. Contenus : tant que le tenant est actif.
Mesures de sécurité
  • Tokens chiffrés via lib/crypto avant insert
  • Rotation OAuth sur expiration du refresh_token
  • RLS Supabase

Agent support Assist — chatbot embarqué

Finalité
Réponse automatisée aux questions des visiteurs du site web du client via widget intégré.
Base légale
Intérêt légitime du client (Art. 6.1.f) pour le support client ; information du visiteur via bandeau cookies + politique de confidentialité.
Personnes concernées
Visiteurs des sites web ayant intégré le widget.
Catégories de données
  • Contenu de la conversation
  • Adresse IP (anonymisée par troncature avant persistance)
  • User-agent (anonymisé)
  • Email du visiteur si fourni
Destinataires
Équipe interne du client ; LLM via PilotCrew.
Transferts hors UE
Selon LLM routé, configurable EU-only.
Durée de conservation
90 jours pour conversations anonymes, 12 mois si lead identifié.
Mesures de sécurité
  • Token chatbot par tenant (race-safe via RPC atomique, migration 062)
  • IP truncation (RFC 7239) avant persistance
  • CSP strict sur le widget

Agent réputation Étoile — collecte et réponse aux avis

Finalité
Synchronisation des avis Google Business Profile et Trustpilot, génération et publication de réponses.
Base légale
Exécution du contrat (Art. 6.1.b) + consentement OAuth du client.
Personnes concernées
Auteurs des avis (déjà publics sur les plateformes sources).
Catégories de données
  • Nom affiché public
  • Texte de l'avis
  • Note
  • Date
Destinataires
Google MyBusiness API, Trustpilot Business Units API.
Transferts hors UE
Google (USA — DPF). Trustpilot (Danemark, UE).
Durée de conservation
Conservés tant que l'avis est public sur la plateforme source.
Mesures de sécurité
  • Clé API Trustpilot chiffrée
  • OAuth Google rotation refresh_token

Agent prospection Prospecto — séquences multicanal B2B

Finalité
Prospection commerciale B2B : ciblage ICP, enrichissement, séquences email + LinkedIn (+ voix sortante en cours).
Base légale
Intérêt légitime (Art. 6.1.f) — prospection B2B ; conformité Bloctel et Code de la consommation Art. L. 223-1 pour tout volet B2C.
Personnes concernées
Contacts professionnels (B2B).
Catégories de données
  • Nom complet, fonction, société
  • Email professionnel
  • URL LinkedIn
  • Téléphone professionnel (le cas échéant)
  • Historique des messages envoyés/reçus
Destinataires
Apollo.io (enrichissement), Resend (email transactionnel), LinkedIn (séquences).
Transferts hors UE
Apollo (USA — SCC). LinkedIn (USA — SCC + DPF). Resend (UE/USA selon région).
Durée de conservation
3 ans après dernier contact (durée légale prospection B2B France).
Mesures de sécurité
  • RLS Supabase par tenant_id avec gate admin sur /dashboard/crm
  • Vérification opposition Bloctel pré-appel pour le volet vocal sortant B2C
  • Quality-judge IA gating sur les messages avant envoi

Agent comptabilité — factures, TVA, export FEC

Finalité
Génération de factures, gestion TVA, relances impayés, export FEC vers cabinet comptable (Pennylane, Cegid, Sage par import FEC standard).
Base légale
Exécution du contrat (Art. 6.1.b) ; obligation légale comptable (Art. 6.1.c).
Personnes concernées
Clients du client PilotCrew.
Catégories de données
  • Raison sociale
  • SIRET
  • Adresse de facturation
  • Numéro TVA
  • Montants
Destinataires
Cabinet comptable du client via FEC ; Pennylane (si OAuth connecté).
Transferts hors UE
Aucun — données strictement européennes.
Durée de conservation
10 ans (durée légale conservation des pièces comptables, Code de commerce L. 123-22).
Mesures de sécurité
  • RLS Supabase
  • Chiffrement at-rest
  • Audit_logs sur chaque mutation facture

Agent devis Devisco — génération, envoi, signature

Finalité
Génération de devis à partir d'un brief, envoi au prospect, suivi du cycle (envoyé, accepté, refusé, expiré), déclenchement facturation Stripe à signature.
Base légale
Exécution du contrat (Art. 6.1.b).
Personnes concernées
Prospects et clients du client PilotCrew.
Catégories de données
  • Nom client
  • Email
  • Montants TTC
  • Taux TVA
  • Détail prestations
Destinataires
Stripe (paiement) ; cabinet comptable via FEC.
Transferts hors UE
Stripe (USA — DPF + SCC).
Durée de conservation
10 ans pour les devis acceptés (cohérence avec conservation facture).
Mesures de sécurité
  • RLS Supabase
  • Audit_logs
  • Idempotency keys sur les webhooks Stripe

Authentification et gestion de compte

Finalité
Identification, authentification et gestion du cycle de vie du compte utilisateur PilotCrew.
Base légale
Exécution du contrat (Art. 6.1.b).
Personnes concernées
Utilisateurs PilotCrew (administrateurs et collaborateurs du tenant).
Catégories de données
  • Email
  • Nom complet
  • Hash du mot de passe (lorsque pas d'OAuth)
  • IP de connexion
  • User-agent
Destinataires
Supabase Auth (Frankfurt) ; fournisseurs OAuth si utilisés (Google).
Transferts hors UE
Aucun pour Supabase. Google (DPF) si OAuth Google.
Durée de conservation
Durée du contrat + 30 jours de grâce (cf. /api/settings/gdpr-delete) ; logs IP 12 mois.
Mesures de sécurité
  • Hash bcrypt côté Supabase
  • MFA optionnel
  • Rate limiting

Facturation et abonnements PilotCrew

Finalité
Gestion de l'abonnement client à PilotCrew, prélèvement Stripe, émission des factures.
Base légale
Exécution du contrat (Art. 6.1.b) ; obligation légale comptable (Art. 6.1.c).
Personnes concernées
Représentants légaux et facturation du client.
Catégories de données
  • Raison sociale
  • SIRET/TVA
  • Adresse
  • Email
  • Tokens de carte (jamais le PAN)
Destinataires
Stripe.
Transferts hors UE
Stripe (USA — DPF + SCC).
Durée de conservation
10 ans (Code de commerce L. 123-22).
Mesures de sécurité
  • PCI DSS via tokenization Stripe
  • Audit_logs sur chaque transaction

Sous-traitants ultérieurs (Art. 28 §2 RGPD)

La liste suivante est tenue à jour. Toute addition d'un sous-traitant ultérieur fait l'objet d'une notification préalable aux clients qui peuvent s'y opposer dans un délai de 14 jours, conformément à la clause sous-traitance ultérieure du DPA.

Sous-traitantServiceLocalisationCadre juridique transfert
SupabaseHébergement BDD PostgreSQL + AuthFrankfurt (UE)Localisation UE
VercelHébergement Next.js (functions + static)Paris/Francfort (UE)Localisation UE
Anthropic (Claude)LLM génération texteUSASCC + DPA
OpenAILLM texte + Realtime voiceUSASCC + DPA
Google (Gemini, MyBusiness)LLM + API avisUSADPF + SCC
xAI (Grok)LLM alternatifUSASCC
ElevenLabsSynthèse vocale (TTS) FRUSASCC + DPA
VAPIOrchestration agent vocalUSASCC + DPA
TelnyxPSTN + SIP + SMSUSA (PoP EU disponibles)SCC + DPA
ResendEmail transactionnelUSA/UEDPA + SCC
StripePaiement + abonnementsUSA/IEDPF + SCC + PCI DSS
Apollo.ioEnrichissement contacts B2BUSASCC
TrustpilotAPI avis (lecture)Danemark (UE)Localisation UE
LangfuseObservabilité promptsUELocalisation UE
SentrySuivi erreurs runtimeUSASCC + DPA

SCC = Clauses Contractuelles Types (UE). DPF = EU-US Data Privacy Framework. DPA = Data Processing Agreement signé.

Droits des personnes concernées

Conformément aux articles 12 à 22 RGPD, toute personne dont les données sont traitées peut exercer ses droits d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition par email à dpo@pilotcrew.io. Un utilisateur connecté peut également déclencher l'effacement automatisé (30 jours de grâce) depuis ses paramètres compte (endpoint /api/settings/gdpr-delete).

En cas de litige, la CNILest l'autorité de contrôle compétente pour PilotCrew.

Documents connexes

  • Accord de sous-traitance (DPA Article 28 RGPD)
  • AIPD agent vocal Capi (méthodologie CNIL)
  • Guide pédagogique : adapter le registre RGPD à l'IA
  • EU AI Act — engagements PilotCrew
  • Politique de confidentialité

Besoin d’aide pour être conforme avant le 2 août 2026 ?

On déploie votre lab IA — agents gouvernés (Art. 14), traçables (Art. 12) et transparents (Art. 50) — dans votre environnement Azure / Azure DevOps.

Découvrir l’accompagnement Lab IA →

Pour aller plus loin

  • AIPD agent vocal Capi (methode CNIL)
  • Adapter le registre RGPD a l IA (methode)
  • DPIA agent conversationnel
  • Liste sous-traitants UE
  • DPA accord traitement Article 28

Recevez les nouveautés PilotCrew

Une lettre par mois, sans spam. Roadmap produit, retours clients, playbooks éprouvés. Désinscription en un clic.

Produit

  • Vue d’ensemble
  • Fonctionnalités
  • Tarifs
  • Intégrations
  • Comparatifs
  • Changelog

Agents IA

  • Agent vocal
  • Agent contenu
  • Agent social
  • Agent support
  • Agent réputation
  • Agent finance
  • Agent prospection
  • Agent devis
  • Cas d’usage par métier

Ressources

  • Visite guidée (2 min)
  • Centre d’aide
  • Blog
  • Cas d’usage
  • Bonnes pratiques
  • Avis clients
  • Presse
  • À propos · Fondateur

Légal & confiance

  • Centre de confiance
  • EU AI Act Ready
  • Guides conformité
  • Accompagnement Lab IA
  • CGV
  • Confidentialité
  • DPA (RGPD art. 28)
  • Sous-traitants
  • Divulgation responsable
  • CAIQ-Lite (questionnaire sécurité)
  • Accessibilité (RGAA)
  • Mentions légales
  • Agences (marque blanche)

Demander des informations ou planifier une démo

Démarrer 14 jours gratuitsNous contacter+33 1 89 31 63 23
PilotCrew logoPilotCrew·Votre équipe IA pour PME. 8 agents. Zéro friction.
🇪🇺 EU AI Act compliant

© 2026 KEY FOR AI SAS · PilotCrew · SIRET 994 487 775 00011