Mentions Légales

Mentions légales & Politique de confidentialité

Dernière mise à jour : Février 2026

Mentions légales

Éditeur du site

Ce site est édité par :

MANUFACTURE FRANÇAISE D'OSINT SARL au capital de [MONTANT] € SIREN : 925 183 550 RCS : [VILLE] Siège social : [ADRESSE] Représentant légal : Yoan BLANC Contact : [EMAIL]@indaga.fr

Directeur de la publication

Yoan BLANC

Hébergement

Le site et les données sont hébergés sur un serveur situé en France par :

HOSTINGER INTERNATIONAL LTD, dont le siège social se situe 61 Lordou Vironos Street, 6023 Larnaca, Chypre, joignable par le moyen suivant : https://www.hostinger.fr/contact

Les données sont hébergées exclusivement au sein de l'Union européenne.

Politique de confidentialité

Responsable du traitement

La MANUFACTURE FRANÇAISE D'OSINT, représentée par Yoan BLANC, est responsable du traitement des données personnelles collectées via la plateforme Indaga.

Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service. Ces données se répartissent en deux catégories distinctes selon leur niveau de protection :

Données en clair (accessibles à l'équipe technique)

Données d'identification de l'utilisateur :

Nom, prénom, adresse email
Nom d'entreprise, fonction (facultatif)
Identifiants de connexion

Métadonnées d'utilisation :

Nombre d'investigations lancées (compteur de consommation)
Dates et heures de connexion
Pack de crédits actif et crédits consommés

Données techniques :

Adresse IP (sécurité et journalisation)
Type de navigateur et système d'exploitation
Journaux d'accès (logs)

Ces données sont nécessaires à l'authentification, à la facturation et à la sécurité de la plateforme.

Données chiffrées (inaccessibles, y compris à l'équipe technique)

Le contenu de vos investigations est intégralement chiffré par un système d'enveloppe KEK/DEK (voir section Chiffrement et sécurité). Ni l'éditeur, ni l'hébergeur, ni l'équipe technique ne peuvent accéder au contenu de vos investigations. Cela inclut :

Entités recherchées (numéros SIREN/SIRET, noms)
Paramètres et périmètre des investigations
Rapports d'analyse générés
Résultats agrégés depuis les sources publiques
Synthèses produites par intelligence artificielle
Entités placées en surveillance (monitoring)
Documents exportés

Seul l'utilisateur authentifié, via sa clé dérivée, peut déclencher le déchiffrement de ses propres données.

Base légale des traitements

Traitement	Base légale
Gestion du compte utilisateur	Exécution du contrat (art. 6.1.b RGPD)
Facturation et suivi commercial	Obligation légale (art. 6.1.c RGPD)
Investigations et rapports	Exécution du contrat (art. 6.1.b RGPD)
Sécurité et journalisation	Intérêt légitime (art. 6.1.f RGPD)
Amélioration du service	Intérêt légitime (art. 6.1.f RGPD)

Utilisation des données

Données en clair — utilisées exclusivement pour :

Authentification : permettre l'accès sécurisé à votre compte
Facturation : gérer vos achats de crédits, comptabiliser les investigations consommées
Sécurité : protéger la plateforme contre les accès non autorisés, les abus et les intrusions
Support : traiter vos demandes d'assistance

Données chiffrées — exploitées uniquement côté client, après déchiffrement par l'utilisateur authentifié :

Exécution des investigations : interroger les sources de données publiques et générer les rapports d'analyse
Monitoring : assurer la surveillance des entités sélectionnées et notifier les changements détectés

⚠️ Le déchiffrement des données d'investigation s'effectue en mémoire, à la volée, lors de la session authentifiée de l'utilisateur. Les données déchiffrées ne sont jamais écrites en clair sur le disque.

Vos données ne sont jamais vendues, louées ou transmises à des tiers à des fins commerciales ou publicitaires.

Intelligence artificielle

Cette plateforme intègre des fonctionnalités d'intelligence artificielle via l'API Claude d'Anthropic.

Fonctionnalités concernées

Analyse financière : l'IA analyse les comptes annuels, bilans et documents financiers extraits des sources publiques pour produire une synthèse structurée (ratios, tendances, alertes)
Détection d'anomalies : l'IA identifie des incohérences potentielles entre les différentes sources de données (adresses divergentes, variations d'effectifs atypiques, signaux de risque)
Synthèse d'investigation : l'IA génère un rapport consolidé à partir de l'ensemble des données collectées, incluant une évaluation des risques et des recommandations
Analyse de documents : l'IA extrait et interprète les informations pertinentes des statuts, PV d'assemblée générale et autres actes déposés

Données transmises à Anthropic

Dans le cadre du traitement par intelligence artificielle, les données suivantes sont transmises à l'API Claude d'Anthropic :

Texte extrait des documents publics (comptes annuels, statuts, actes)
Données structurées agrégées depuis les sources publiques (identité, dirigeants, données financières)
Métadonnées de contexte nécessaires à l'analyse

Garanties relatives à l'IA

Aucune rétention : les données transmises à Anthropic sont traitées en temps réel et ne sont pas conservées au-delà de la durée de traitement de la requête
Aucun entraînement : vos données ne sont jamais utilisées pour entraîner ou améliorer les modèles d'intelligence artificielle (utilisation via API avec suppression sous 30 jours, pas d'utilisation pour le training — cf. Politique de données d'Anthropic)
Conformité : Anthropic est certifié SOC 2 Type II et conforme au RGPD
Données publiques : les données transmises à l'IA sont, dans leur immense majorité, des données déjà publiquement accessibles (registres officiels, publications légales)

Pour plus d'informations : Centre de confidentialité Anthropic

Transparence et intervention humaine

Conformément au Règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act) :

Les analyses produites par l'IA constituent des outils d'aide à la décision. Elles ne se substituent en aucun cas à l'expertise humaine et au jugement professionnel de l'utilisateur.
L'IA peut produire des résultats inexacts ou incomplets. Les rapports générés doivent être vérifiés par l'utilisateur avant toute exploitation.
Aucune décision juridique, financière ou commerciale ne doit être prise sur la seule base d'un rapport automatisé sans validation humaine.
Le recours à l'intelligence artificielle est clairement signalé dans chaque rapport par une mention explicite identifiant les sections générées ou assistées par IA.
La plateforme Indaga n'est pas un système d'IA à haut risque au sens de l'annexe III du Règlement. Elle ne procède à aucun scoring social, aucune évaluation de solvabilité, et aucune prise de décision automatisée produisant des effets juridiques à l'égard des personnes concernées par les investigations.

Sources de données

Indaga agrège exclusivement des données issues de sources publiques officielles :

INSEE (répertoire Sirene)
INPI (Registre National des Entreprises, marques, brevets)
BODACC (publications légales)
API Recherche Entreprises (labels, certifications)
MAJIC (données foncières des personnes morales)
DVF (transactions immobilières)
DECP (marchés publics)
RNA (registre des associations)
Listes de sanctions (Trésor, UE, ONU)
Autres sources open data gouvernementales

Les seules données non publiques traitées sont les données de compte utilisateur et les métadonnées d'utilisation du service.

Les données relatives aux bénéficiaires effectifs sont soumises à des restrictions d'accès conformément à l'article L.561-2 du Code monétaire et financier et à la jurisprudence de la CJUE (arrêt WM/Sovim, novembre 2022).

Chiffrement et sécurité des investigations

Architecture de sécurité

Les données d'investigation sont protégées par un système de chiffrement par enveloppe (envelope encryption) à deux niveaux :

DEK (Data Encryption Key) : chaque investigation est chiffrée avec sa propre clé unique en AES-256-GCM. Cette clé est générée à la volée et n'est jamais stockée en clair.
KEK (Key Encryption Key) : les DEK sont elles-mêmes chiffrées par une clé maître dérivée du compte utilisateur. Seul l'utilisateur authentifié peut déclencher le déchiffrement de ses propres investigations.
Conséquence : même en cas de compromission de la base de données, les données d'investigation restent inexploitables sans la clé maître. L'administrateur de la plateforme n'a pas accès au contenu des investigations.
Isolation des données : les investigations de chaque utilisateur sont cloisonnées et inaccessibles aux autres utilisateurs, y compris les autres abonnés et l'équipe technique.
Chiffrement des mots de passe : algorithme bcrypt avec salage
Protection des communications : HTTPS/TLS obligatoire sur l'ensemble de la plateforme

Mesures de sécurité

Protection CSRF sur tous les formulaires
Limitation des tentatives de connexion (rate limiting)
Journalisation des accès et des actions sensibles
Mises à jour de sécurité régulières
Sauvegardes chiffrées quotidiennes

Conservation des données

Type de données	Durée de conservation
Données de compte	Durée de vie du compte + 12 mois après suppression
Investigations et rapports	Durée de vie du compte (supprimables par l'utilisateur à tout moment)
Données de facturation	10 ans (obligation légale comptable)
Journaux de connexion	12 mois (obligation légale LCEN)
Données transmises à Anthropic	30 jours maximum (politique Anthropic API)
Entités en monitoring	Jusqu'à désactivation par l'utilisateur

Cookies

Ce site utilise uniquement des cookies techniques strictement nécessaires au fonctionnement :

Cookie de session : authentification de l'utilisateur
Token CSRF : sécurité des formulaires
Préférences d'interface : thème, langue (stockage local)

Aucun cookie publicitaire, analytique ou de tracking n'est utilisé.

Aucun consentement n'est requis pour ces cookies techniques conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL.

Transferts de données hors UE

Les données d'investigation et de compte sont hébergées exclusivement au sein de l'Union européenne.

Les seuls transferts hors UE concernent les appels à l'API Claude d'Anthropic (serveurs aux États-Unis). Ces transferts sont encadrés par :

Les clauses contractuelles types (SCC) de la Commission européenne
Les engagements de conformité RGPD d'Anthropic
Le traitement en temps réel sans stockage permanent

Vos droits

Conformément au Règlement général sur la protection des données (RGPD), vous disposez des droits suivants :

Accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
Rectification : corriger des données inexactes ou incomplètes
Suppression : demander l'effacement de vos données personnelles
Limitation : demander la suspension du traitement dans certains cas
Portabilité : recevoir vos données dans un format structuré et couramment utilisé
Opposition : vous opposer au traitement fondé sur l'intérêt légitime

Pour exercer vos droits : dpo@indaga.fr

Délai de réponse : 30 jours à compter de la réception de la demande.

En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr

Crédits et facturation

Fonctionnement des crédits

La plateforme Indaga fonctionne sur un système de packs de crédits prépayés (sans abonnement récurrent). Chaque action avancée (analyse financière, analyse de réputation, génération de rapport, etc.) consomme un nombre défini de crédits, consultable dans la grille tarifaire.

Validité des crédits

Les crédits achetés sont valables 12 mois à compter de la date d'achat. Passé ce délai, les crédits non utilisés sont automatiquement annulés.

Prolongation automatique : tout nouvel achat de crédits repousse la date d'expiration de l'ensemble du solde (crédits existants et nouveaux) à 12 mois à compter de la date du nouvel achat. Il n'y a pas d'expiration séparée par lot de crédits.

Conditions générales

Les crédits ne sont ni remboursables, ni échangeables, ni transférables à un autre compte.
Un rappel est envoyé par email avant l'expiration des crédits.
Les comptes institutionnels (adresses .gouv.fr) peuvent bénéficier de crédits attribués via code d'invitation, soumis aux mêmes conditions de validité.
Le détail des consommations est consultable à tout moment depuis l'espace « Mon compte ».

Conditions relatives aux investigations

Responsabilité de l'utilisateur

L'utilisateur s'engage à utiliser la plateforme Indaga dans le respect de la législation en vigueur, et notamment :

À ne pas utiliser les résultats d'investigation à des fins de harcèlement, de surveillance illicite ou de discrimination
À vérifier que son usage est conforme au cadre légal applicable à son activité professionnelle
À ne pas contourner les limitations techniques ou contractuelles de la plateforme

Limitation de responsabilité

Indaga agrège des données issues de sources publiques officielles. La MANUFACTURE FRANÇAISE D'OSINT ne garantit ni l'exhaustivité, ni l'exactitude absolue des informations restituées, celles-ci dépendant de la qualité et de la disponibilité des sources en amont.
Les analyses générées par intelligence artificielle sont fournies à titre indicatif. Elles ne constituent en aucun cas un avis juridique, financier ou comptable.
L'utilisateur est seul responsable de l'usage qu'il fait des informations obtenues via la plateforme.

Conformité réglementaire

Cette plateforme est conçue dans le respect de :

Règlement (UE) 2016/679 — Règlement général sur la protection des données (RGPD)
Règlement (UE) 2024/1689 — Règlement sur l'intelligence artificielle (AI Act)
Loi n° 78-17 du 6 janvier 1978 — Loi Informatique et Libertés
Loi n° 2004-575 du 21 juin 2004 — Loi pour la confiance dans l'économie numérique (LCEN)
Article L.561-2 du Code monétaire et financier — Obligations relatives aux bénéficiaires effectifs

Pour toute question relative aux présentes mentions légales ou à la politique de confidentialité, contactez-nous à l'adresse : contact@indaga.fr

Dernière mise à jour : 09/03/2026