Politique de Protection des Données Personnelles

VASA – SAS ACTISOLUTIONS

Version mise à jour : mars 2026 – Remplace la version du 10 juin 2022

Préambule

VASA est la marque commerciale exploitée par la SAS ACTISOLUTIONS, société par actions simplifiée dont le siège social est situé 4 rue Gustave Eiffel, 10430 Rosières-près-Troyes, accessible sur le site vasa.fr. Dans l'ensemble de ce document, les termes « VASA » et « SAS ACTISOLUTIONS » désignent la même entité juridique.

VASA développe une plateforme SaaS alimentée par l'intelligence artificielle destinée aux experts-comptables, dans leur mission d'analyse, d'audit et de mise en conformité des contrats de protection sociale (complémentaire santé, prévoyance, épargne retraite) des entreprises clientes.

Dans ce cadre, VASA est susceptible d'intervenir en qualité de responsable de traitement pour les données relatives à ses propres prospects, clients et collaborateurs, et en qualité de sous-traitant (au sens de l'art. 28 RGPD) pour les données traitées pour le compte des cabinets d'expertise-comptable partenaires.

En cas de difficultés liées à la gestion de vos données personnelles, vous pouvez également contacter la CNIL : www.cnil.fr

1. Responsable de traitement et Délégué à la Protection des Données (DPO)

1.1 Responsable de traitement

SAS ACTISOLUTIONS (marque VASA)
4 rue Gustave Eiffel, 10430 Rosières-près-Troyes
Site : https://vasa.fr

1.2 Délégué à la Protection des Données (DPO)

SAS SKEPSIS – 67 RUE DU RANELAGH, 75016 PARIS
Contact DPO : dpo@vasa.fr

2. Finalités et bases légales des traitements

VASA traite vos données personnelles dans le cadre des activités suivantes, sur les bases légales indiquées :

2.1 Gestion de la relation prospect / client (cabinets d'expertise-comptable)

• Finalité : répondre aux demandes de contact, établir et suivre la relation commerciale, émettre des devis et factures.
• Base légale : intérêt légitime (art. 6.1.f RGPD) et exécution du contrat (art. 6.1.b RGPD).

2.2 Analyse par IA de documents de protection sociale

• Finalité : collecter, analyser et auditer les contrats de protection sociale (mutuelle, prévoyance) des entreprises clientes des cabinets partenaires, et générer des rapports de conformité personnalisés.
• Base légale (en qualité de sous-traitant) : exécution du contrat de sous-traitance conclu avec le cabinet d'expertise-comptable responsable de traitement (art. 6.1.b + art. 28 RGPD).
• Données sensibles : les documents analysés peuvent contenir des données de santé (art. 9 RGPD) relatives aux salariés des entreprises clientes. VASA met en œuvre des mesures spécifiques de sécurité pour ces données.

VASA traite uniquement les données strictement nécessaires à la mission d'audit. Les données de santé ne sont jamais utilisées à des fins commerciales ou cédées à des tiers.

2.3 Prospection commerciale

• Finalité : proposer les offres et services VASA à des prospects professionnels (cabinets d'expertise-comptable).
• Base légale : intérêt légitime (art. 6.1.f RGPD). Vous pouvez vous opposer à tout moment.

2.4 Gestion des candidatures

• Finalité : permettre aux candidats de postuler aux offres d'emploi VASA.
• Base légale : intérêt légitime (art. 6.1.f RGPD).

2.5 Obligations légales et contentieux

• Finalité : gestion des réclamations, contentieux, demandes d'exercice de droits.
• Base légale : obligation légale (art. 6.1.c RGPD).

3. Catégories de données personnelles traitées

Selon les finalités, VASA est susceptible de traiter les catégories de données suivantes :

3.1 Données relatives aux contacts professionnels (prospects / clients)

• Identité : nom, prénom, fonction, raison sociale du cabinet
• Coordonnées professionnelles : adresse email, téléphone, adresse postale
• Données de navigation et de connexion à la plateforme

3.2 Données traitées dans le cadre du service d'audit (rôle de sous-traitant)

• Documents contractuels de protection sociale des entreprises clientes
• Données relatives aux salariés couverts : identité, catégorie professionnelle, garanties souscrites – susceptibles de contenir des données de santé
• Décisions Unilatérales de l'Employeur (DUE) et avenants

3.3 Données relatives aux candidats

• CV, lettre de motivation, lien profil public (LinkedIn, etc.)

Merci de ne jamais transmettre de données sensibles (origine ethnique, convictions religieuses, données biométriques, etc.) via les formulaires de contact ou la zone de message libre.

4. Cookies, traceurs et outils tiers

4.1 Cookies utilisés sur vasa.fr

Lors de votre navigation sur vasa.fr, des cookies sont déposés. Vous en êtes informé et pouvez les accepter, refuser ou paramétrer via la bannière de gestion des cookies.

Cookies fonctionnels (exempts de consentement) : nécessaires au fonctionnement du site et à la sécurité des sessions.

Cookies analytiques (soumis à consentement) : VASA utilise un outil d'analyse d'audience hébergé sur wa.vasa.fr pour mesurer la fréquentation du site.

Cookies de CRM et marketing (soumis à consentement) : VASA utilise HubSpot (HubSpot Inc., éditeur américain) pour la gestion des formulaires de contact et du suivi commercial. Ce cookie peut entraîner un transfert de données vers les États-Unis (voir section 6).

Pour gérer vos préférences de cookies selon votre navigateur :

• Google Chrome
• Mozilla Firefox
• Microsoft Edge
• Safari

4.2 Agent conversationnel (Chatbot)

Le site vasa.fr intègre un chatbot permettant de répondre aux questions des visiteurs. Les échanges sont traités sur la base de l'intérêt légitime de VASA (art. 6.1.f RGPD) afin d'améliorer la qualité du service et d'assurer une réponse aux demandes. Vous disposez d'un droit d'opposition à ce traitement.

4.3 Réseaux sociaux

Le site intègre des liens vers LinkedIn. Si vous cliquez sur ces éléments, des données peuvent être transmises au réseau social concerné. VASA n'a pas de contrôle sur ces traitements tiers.

5. Destinataires des données personnelles

Vos données personnelles sont traitées par les services internes habilités de VASA (direction, commercial, technique, administratif) et peuvent être transmises aux catégories de destinataires suivantes :

• Sous-traitants techniques : prestataires hébergeant la plateforme et assurant la maintenance informatique, liés à VASA par des contrats de sous-traitance conformes à l'art. 28 RGPD.
• HubSpot Inc. : gestionnaire CRM et formulaires de contact (voir section 6 pour les transferts hors UE).
• Autorités compétentes : en cas d'obligation légale, réquisition judiciaire ou défense d'un droit en justice.

VASA s'engage formellement à ne jamais vendre ou céder vos données personnelles à des tiers à des fins commerciales.

6. Transferts de données hors Union Européenne

Certains outils utilisés par VASA impliquent des transferts de données vers des pays tiers, notamment les États-Unis :

• HubSpot Inc. (USA) : les données collectées via les formulaires sont traitées aux États-Unis. HubSpot est certifié Data Privacy Framework UE–États-Unis, constituant une garantie adéquate au sens de l'art. 46 RGPD.

Les données traitées dans le cadre du service d'audit (contrats de protection sociale) sont hébergées sur des infrastructures situées dans l'Union Européenne.

7. Durées de conservation des données

Les durées ci-dessous s'appliquent en base active. Passé ce délai, les données sont archivées avec accès restreint pour respecter les obligations légales, puis définitivement supprimées.

• Données contractuelles (clients) : durée du contrat + 5 ans (prescription civile de droit commun).
• Données de prospection : 3 ans à compter du dernier contact, sauf opposition antérieure.
• Données de candidature : 2 ans à compter du dernier contact avec le candidat.
• Données d'audit (sous-traitance) : conservées conformément aux instructions du cabinet d'expertise-comptable responsable de traitement ; supprimées ou retournées à l'issue de la mission selon les termes du DPA.
• Données de navigation et cookies : 13 mois maximum à compter du dépôt (recommandation CNIL).
• Données comptables et fiscales : 10 ans (obligation légale).

8. Sécurité des données

VASA met en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque des traitements, notamment :

• Chiffrement des données en transit (TLS) et au repos
• Contrôle d'accès strict basé sur les rôles (RBAC)
• Journalisation et surveillance des accès à la plateforme
• Procédure de gestion des violations de données (notification CNIL sous 72h conformément à l'art. 33 RGPD)
• Mesures renforcées pour les données de santé (cloisonnement, pseudonymisation)

Analyse d'Impact (AIPD) : conformément à l'art. 35 RGPD, VASA a engagé une analyse d'impact relative à la protection des données portant sur le traitement automatisé par IA de documents susceptibles de contenir des données de santé.

9. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès (art. 15) : obtenir confirmation du traitement et une copie de vos données.
• Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) : obtenir la suppression de vos données dans les cas prévus par la réglementation.
• Droit à la limitation (art. 18) : suspendre un traitement le temps d'une vérification.
• Droit d'opposition (art. 21) : vous opposer à tout traitement fondé sur l'intérêt légitime ou à la prospection commerciale.
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
• Droit de retirer votre consentement : pour les traitements fondés sur votre consentement, vous pouvez le retirer à tout moment sans que cela remette en cause la licéité du traitement antérieur.
• Droit de définir des directives post-mortem : prévoir le sort de vos données après votre décès.
• Droit d'introduire une réclamation (art. 77) : CNIL – www.cnil.fr

10. Comment exercer vos droits ?

Pour exercer l'un de ces droits ou pour toute question relative à la protection de vos données, vous pouvez contacter VASA :

• Par courrier : SAS ACTISOLUTIONS, 4 rue Gustave Eiffel, 10430 Rosières-près-Troyes
• Par email : dpo@vasa.fr

Votre demande doit être accompagnée d'une copie de votre pièce d'identité si elle concerne un droit d'accès, de rectification ou d'effacement. Nous nous engageons à vous répondre dans un délai d'un mois (éventuellement prolongé de deux mois pour les demandes complexes).

Opposition à la prospection téléphonique : www.bloctel.gouv.fr

11. Mise à jour de la présente politique

La présente politique peut être modifiée à tout moment pour tenir compte des évolutions légales, réglementaires ou des nouvelles fonctionnalités de la plateforme VASA. La version en vigueur est toujours accessible sur vasa.fr/policy.

Précédente version : 10 juin 2022. Présente version : mars 2026.