Analyse d'Impact relative a la Protection des Donnees (AIPD)

Derniere mise a jour : Novembre 2025

Document interne de conformite — Article 35 du RGPD (Reglement UE 2016/679)

1. Contexte et objectif de l'analyse

1.1 Presentation du responsable de traitement

Bidev Consulting
SAS
6 rue d'Armaillé, 75017 PARIS
Contact DPO : dpo@odomeo.fr

1.2 Presentation de l'application

Odomeo est une application web de gestion et de suivi des frais kilometriques professionnels. Elle permet aux utilisateurs (salaries, dirigeants, independants) de saisir leurs deplacements professionnels, calculer les indemnites kilometriques selon le bareme fiscal officiel, et generer des releves PDF.

1.3 Objet de la presente analyse

Cette AIPD porte sur les traitements de donnees personnelles effectues par les fonctionnalites d'intelligence artificielle (IA) integrees a Odomeo, a savoir :

  • Assistant fiscal IA — chatbot base sur Claude (Anthropic) pour repondre aux questions fiscales
  • Saisie intelligente (NLP) — analyse de descriptions de trajets en langage naturel via Claude (Anthropic)
  • Scanner OCR — extraction automatique de donnees depuis des images de justificatifs via Claude Vision (Anthropic)
  • Saisie vocale — reconnaissance vocale via la Web Speech API du navigateur (Google/Apple)

1.4 Necessite de l'AIPD

Cette analyse est realisee au titre de l'article 35 du RGPD car les traitements concernes presentent un risque eleve pour les droits et libertes des personnes concernees, en raison de :

  • L'utilisation de technologies innovantes (intelligence artificielle, reconnaissance vocale)
  • Le transfert de donnees vers des sous-traitants situes aux Etats-Unis (Anthropic PBC)
  • Le traitement de donnees pouvant reveler des habitudes de deplacement professionnel

2. Description detaillee des traitements

2.1 Assistant fiscal IA

FinaliteRepondre aux questions des utilisateurs sur la fiscalite des frais kilometriques
Donnees traiteesTexte de la question posee par l'utilisateur, historique de conversation (10 derniers messages)
Donnees NON transmisesNom, email, adresse, donnees financieres, identifiants de compte
Sous-traitantAnthropic PBC (San Francisco, USA) — modele Claude 3 Haiku
Duree de conservationZero retention cote Anthropic (API policy). Cote Odomeo : duree de la session uniquement
Base legaleConsentement explicite (article 6.1.a RGPD)
Caractere optionnelFonctionnalite entierement optionnelle, desactivee par defaut

2.2 Saisie intelligente (NLP)

FinaliteConvertir des descriptions de trajets en langage naturel en donnees structurees (date, depart, arrivee, distance)
Donnees traiteesDescription textuelle des trajets, noms des lieux enregistres par l'utilisateur (sans adresses completes), noms des trajets recurrents
Donnees NON transmisesAdresses completes, coordonnees GPS, donnees personnelles identifiantes
Sous-traitantAnthropic PBC (San Francisco, USA) — modele Claude 3 Haiku
Duree de conservationZero retention cote Anthropic. Cote Odomeo : les trajets confirmes sont enregistres, la description originale n'est pas conservee
Base legaleConsentement explicite (article 6.1.a RGPD)
Mesures de minimisationSeuls les noms courts des lieux sont envoyes (ex: « Bureau », « Client A »). Post-traitement local avec verification de propriete des lieux

2.3 Scanner OCR

FinaliteExtraire automatiquement les informations (type, date, montant, lieu) a partir d'une image de justificatif (peage, parking, carburant)
Donnees traiteesImage du justificatif encodee en base64
Risques identifiesL'image peut contenir des informations sensibles visibles sur le justificatif (nom, numero de carte partiel, plaque d'immatriculation)
Sous-traitantAnthropic PBC (San Francisco, USA) — modele Claude 3 Haiku (Vision)
Duree de conservationZero retention cote Anthropic. Cote Odomeo : l'image n'est pas stockee sur nos serveurs, seules les donnees extraites sont conservees si l'utilisateur confirme la creation du frais
Base legaleConsentement explicite (article 6.1.a RGPD)
Mesures de minimisationSeule l'image est transmise, sans metadonnees utilisateur. Le prompt d'extraction cible uniquement les champs necessaires (type, date, montant, lieu)

2.4 Saisie vocale (Web Speech API)

FinalitePermettre la dictee vocale des descriptions de trajets
Donnees traiteesFlux audio capture par le microphone de l'appareil
Sous-traitantFournisseur du navigateur : Google (Chrome, Android) ou Apple (Safari, iOS). Le traitement est effectue par le navigateur, pas par Odomeo
Duree de conservationSelon les politiques du fournisseur du navigateur. Odomeo ne stocke que le texte transcrit
Base legaleConsentement explicite (article 6.1.a RGPD) + autorisation d'acces au microphone par le navigateur
ParticulariteOdomeo n'a pas de relation contractuelle directe avec Google/Apple pour ce service. La Web Speech API est une fonctionnalite native du navigateur

3. Necessite et proportionnalite

3.1 Necessite du traitement

Les fonctionnalites IA repondent a des besoins concrets des utilisateurs :

  • Assistant fiscal : acces rapide a l'information fiscale sans necessite de recherche manuelle dans les textes legaux
  • Saisie intelligente : gain de temps significatif pour la saisie de trajets multiples (reduction estimee de 70% du temps de saisie)
  • Scanner OCR : elimination de la saisie manuelle des justificatifs, reduction des erreurs de transcription
  • Saisie vocale : accessibilite amelioree, saisie possible en contexte de mobilite

3.2 Proportionnalite

Les mesures suivantes garantissent la proportionnalite du traitement :

  • Caractere optionnel : aucune fonctionnalite IA n'est requise pour utiliser Odomeo. Toutes les operations sont realisables manuellement
  • Consentement explicite : l'utilisateur doit donner son accord avant toute utilisation, via une modale d'information detaillee
  • Revocabilite : le consentement peut etre retire a tout moment dans les parametres du compte
  • Minimisation : seules les donnees strictement necessaires sont transmises aux sous-traitants
  • Pas de profilage : les donnees ne sont pas utilisees pour creer des profils utilisateur ou prendre des decisions automatisees

3.3 Alternatives envisagees

Alternative Evaluation Decision
Modeles IA auto-heberges Couverture fonctionnelle insuffisante, cout d'infrastructure disproportionne pour une PME Non retenue a ce stade
Sous-traitant europeen (Mistral AI) Qualite de la reconnaissance OCR et NLP en francais inferieure, pas d'API Vision disponible A reevaluer regulierement
OCR local (Tesseract) Taux de reconnaissance insuffisant sur les justificatifs francais, pas d'extraction semantique Non retenue
Pas de fonctionnalites IA Degradation significative de l'experience utilisateur et de la proposition de valeur Non retenue

4. Evaluation des risques

4.1 Matrice des risques

Risque Gravite Probabilite Niveau Mesures d'attenuation
Acces non autorise aux donnees transmises a Anthropic Elevee Faible Modere
  • Chiffrement TLS en transit
  • Politique zero retention d'Anthropic (API)
  • Pas de donnees identifiantes transmises
Fuite de donnees sensibles via les images OCR Moyenne Faible Modere
  • Zero retention des images par Anthropic
  • Images non stockees sur nos serveurs
  • L'utilisateur choisit ce qu'il envoie
Transfert de donnees vers les USA (Anthropic) Moyenne Certaine Modere
  • Clauses Contractuelles Types (CCT) de la Commission europeenne
  • DPA (Data Processing Agreement) avec Anthropic
  • Donnees minimisees et non identifiantes
Utilisation des donnees pour l'entrainement de modeles Elevee Tres faible Faible
  • Engagement contractuel d'Anthropic (API Usage Policy) : les donnees API ne sont pas utilisees pour l'entrainement
  • Zero retention = les donnees ne sont pas conservees
Captation audio par la Web Speech API Moyenne Faible Faible
  • Autorisation explicite du navigateur requise (permission microphone)
  • Mode single-utterance : ecoute coupee entre les phrases
  • Arret immediat au clic ou fermeture du modal
Reponses incorrectes de l'assistant fiscal Faible Moyenne Faible
  • Disclaimer visible : « Informations generales, consultez un expert-comptable »
  • Prompt systeme avec instructions de prudence
  • Pas de prise de decision automatisee
Absence de consentement (utilisation non consentie) Elevee Tres faible Faible
  • Verification technique du consentement avant chaque appel API
  • Consentement stocke en base de donnees avec horodatage
  • Fonctionnalites desactivees par defaut

4.2 Risque residuel global

Apres application des mesures d'attenuation, le risque residuel global est evalue comme acceptable. Les principaux facteurs sont :

  • Les donnees transmises sont minimisees et non directement identifiantes
  • La politique zero retention d'Anthropic elimine le risque de conservation non souhaitee
  • Le consentement explicite et revocable garantit le controle de l'utilisateur
  • Les fonctionnalites IA sont entierement optionnelles

5. Mesures de protection mises en oeuvre

5.1 Mesures organisationnelles

  • Consentement explicite : modale d'information detaillee avant la premiere utilisation de toute fonctionnalite IA
  • Revocabilite : toggle dans les parametres du compte (onglet « IA ») pour retirer le consentement a tout moment
  • Information : politique de confidentialite detaillee (section 3 dediee aux fonctionnalites IA)
  • Documentation : la presente AIPD, tenue a jour et accessible
  • Suivi contractuel : verification reguliere des engagements d'Anthropic (DPA, API Usage Policy)

5.2 Mesures techniques

  • Verification du consentement : chaque endpoint API IA verifie le champ ai_consent_given avant tout traitement. Une reponse 403 est retournee en cas d'absence de consentement
  • Minimisation des donnees :
    • Assistant fiscal : seul le texte de la question est transmis, sans identifiants utilisateur
    • NLP : seuls les noms courts des lieux sont envoyes, pas les adresses completes
    • OCR : seule l'image est transmise, sans metadonnees utilisateur
  • Chiffrement : toutes les communications avec Anthropic sont chiffrees en TLS 1.2+
  • Pas de stockage intermediaire : les donnees en transit ne sont pas enregistrees dans des logs ou fichiers temporaires
  • Post-traitement local : le service NLP effectue une verification de propriete des lieux cote serveur (les lieux retournes par l'IA sont valides contre les lieux de l'utilisateur)
  • Horodatage du consentement : la date et l'heure du consentement sont enregistrees en base de donnees

5.3 Garanties du sous-traitant (Anthropic PBC)

  • Zero data retention : les requetes API ne sont pas conservees par Anthropic (API Usage Policy)
  • Pas d'entrainement : les donnees API ne sont pas utilisees pour entrainer ou ameliorer les modeles
  • Certifications : SOC 2 Type II, conformite CCPA
  • Clauses contractuelles : DPA incluant les Clauses Contractuelles Types de la Commission europeenne pour les transferts hors UE

6. Exercice des droits des personnes concernees

Droit Modalites d'exercice
Droit d'acces (art. 15) Export complet des donnees personnelles disponible dans les parametres du compte (formats JSON et CSV)
Droit de rectification (art. 16) Modification des donnees directement dans l'interface ou sur demande au DPO
Droit a l'effacement (art. 17) Suppression du compte et de toutes les donnees associees dans les parametres. Les donnees transmises a Anthropic n'etant pas conservees, aucune suppression aupres du sous-traitant n'est necessaire
Droit d'opposition (art. 21) Desactivation des fonctionnalites IA via le toggle de consentement dans les parametres
Droit au retrait du consentement (art. 7.3) Retrait a tout moment via les parametres (onglet « IA ») sans affecter les donnees deja enregistrees dans Odomeo
Droit a la portabilite (art. 20) Export des donnees en format structure (JSON, CSV)
Droit de reclamation Reclamation aupres de la CNIL : www.cnil.fr/fr/plaintes

Contact DPO : dpo@odomeo.fr
Delai de reponse : 30 jours maximum conformement a l'article 12.3 du RGPD.

7. Plan de revision

Cette analyse d'impact sera revisee :

  • Au minimum une fois par an
  • En cas de changement de sous-traitant IA ou de modele utilise
  • En cas de modification significative des traitements (nouveaux types de donnees, nouvelles fonctionnalites IA)
  • En cas de changement de la reglementation applicable (RGPD, AI Act, adequacy decisions)
  • A la demande de la CNIL ou en cas de controle

7.1 Historique des revisions

Date Version Modifications
Mars 2026 1.0 Version initiale — Analyse couvrant les 4 fonctionnalites IA (assistant fiscal, NLP, OCR, saisie vocale)

8. Conclusion

Les traitements de donnees personnelles effectues par les fonctionnalites IA de Odomeo presentent un risque residuel acceptable apres mise en oeuvre des mesures d'attenuation decrites ci-dessus.

Les facteurs cles de cette conclusion sont :

  • Le caractere entierement optionnel des fonctionnalites IA
  • Le consentement explicite et revocable de l'utilisateur avant toute utilisation
  • La minimisation effective des donnees transmises aux sous-traitants
  • La politique de zero retention d'Anthropic pour les requetes API
  • Les garanties contractuelles (DPA, CCT) encadrant les transferts vers les Etats-Unis
  • La possibilite pour l'utilisateur de retirer son consentement a tout moment

Le responsable de traitement considere que les mesures mises en oeuvre sont suffisantes pour garantir un niveau de protection adequat des donnees personnelles, conformement aux exigences du RGPD.