CONDITIONS GÉNÉRALES DE SERVICE ET D'UTILISATION (B2B)

GINI : Assistant IA MyTraffic

Version 2.0 – Date : 15/06/2026

1. Mentions légales

MYTRAFFIC SAS

12 rue Vivienne (Lot 3), 75002 Paris, France

SIRET: RCS 843 293 840

Email support : support@mytraffic.fr

2. Préambule : MyTraffic et le Service

MyTraffic développe des solutions d'analyse et de cartographie pour les professionnels, donnant accès à des indicateurs et analyses relatifs notamment à la fréquentation, aux environnements commerciaux, à la dynamique des zones et à l'aide à la décision pour la stratégie d'implantation.

GINI est un service d'IA conversationnel intégré à l'écosystème MyTraffic. Les Utilisateurs autorisés soumettent des Prompts et reçoivent des Résultats (réponses, recommandations, résumés, tableaux).

Les Résultats sont destinés uniquement à des fins d'aide à la décision et ne constituent pas un conseil professionnel ni une garantie de performance.

3. Définitions

Aux fins des présentes Conditions Générales de Service et d'Utilisation ("CGSU"), les termes commençant par une majuscule ont les significations suivantes :

"Utilisateur autorisé": toute personne autorisée par le Client à accéder au Service via un compte.

"Compte": un compte permettant l'accès au Service, créé pour le Client et/ou ses Utilisateurs autorisés.

"Période de facturation": une période mensuelle ou annuelle selon l'offre souscrite, telle qu'indiquée lors de la souscription via l'Interface de Service et/ou le Bon de commande / Devis.

"Client": toute personne physique ou morale agissant à titre professionnel ayant souscrit au Service.

"Documents Client": tout fichier, document ou donnée téléversé par le Client ou un Utilisateur autorisé dans GINI (notamment des PDF, feuilles de calcul ou documents similaires), le cas échéant.

"Contenu Client": l'ensemble des Prompts, Documents Client et contenus fournis par le Client dans le cadre du Service.

"Crédits": une unité de consommation du Service, constituant un Quota au sens des présentes. Les Crédits s'appliquent uniquement aux offres expressément désignées comme plafonnées en usage, telles que spécifiées dans le plan tarifaire applicable et/ou l'Interface de Service. Les plans illimités ne fonctionnent pas sur un modèle de consommation basé sur les Crédits.

"Périmètre Géographique": la liste et le nombre de pays dans lesquels le Client est autorisé à utiliser le Service, tels que spécifiés dans le Bon de commande / Devis ou, pour les offres en libre-service, tels que sélectionnés par le Client lors de la souscription via l'Interface de Service. Le Périmètre Géographique constitue un paramètre contractuel de l'offre souscrite. MyTraffic ne restreint pas techniquement l'accès aux pays au-delà du Périmètre Géographique contractuel au niveau de la plateforme ; le respect du Périmètre Géographique contractuel relève de la seule responsabilité du Client et peut être vérifié par MyTraffic lors du renouvellement

"DPA": l'Accord de traitement des données conclu entre les Parties le cas échéant (Article 28 RGPD).

"Données MyTraffic": ensembles de données, analyses, indicateurs, méthodologies, modèles, contenus et éléments fournis par MyTraffic indépendamment du Contenu Client.

"Organisation": l'entité contractuelle "Client" rattachée à un Compte, au sein de laquelle les Utilisateurs autorisés, Seats et Quotas sont gérés.

"Résultat": tout contenu généré par GINI en réponse à un Prompt et/ou sur la base d'un Document Client (notamment des recommandations, résumés, tableaux, analyses).

"Bon de commande / Devis": tout document contractuel ou support équivalent (notamment souscription en ligne, plan tarifaire, interface d'administration ou conditions particulières acceptées électroniquement) précisant, selon l'offre applicable, le périmètre du Service, la durée, les fonctionnalités, les quotas d'usage, le prix et, le cas échéant, les conditions d'accès à l'API.

"Restructuration des offres": toute modification par MyTraffic de la répartition des fonctionnalités, modules ou options entre les plans tarifaires, niveaux ou packages disponibles, incluant notamment la réaffectation d'une fonctionnalité vers un niveau supérieur, la conversion d'une fonctionnalité incluse en option payante, ou le regroupement ou la dissociation de fonctionnalités. La Restructuration des offres n'inclut pas les modifications de Quotas (volumes d'usage), régis par les dispositions relatives aux Crédits et Quotas des présentes.

"Prompt / Requête": toute instruction, question ou demande soumise à GINI par un Utilisateur autorisé.

"Quotas": limites d'utilisation applicables au Service selon l'offre souscrite (par exemple le nombre de requêtes, le volume de traitement, les crédits, les documents, les Utilisateurs autorisés, le nombre de pays, ou tout autre indicateur d'usage spécifié dans le Bon de commande / Devis, le plan tarifaire et/ou l'Interface de Service).

"Service": l'application web MyTraffic accessible via un navigateur ; l'accès API n'est disponible que s'il est expressément prévu dans le Bon de commande / Devis.

"Interface de Service": l'interface applicative (notamment les tableaux de bord et écrans de gestion) permettant au Client de visualiser ou gérer, selon l'offre souscrite, les fonctionnalités, quotas, Utilisateurs autorisés et paramètres du Service.

"Seat": un droit d'accès nominatif permettant à une (1) personne physique, Utilisateur autorisé, d'accéder au Service pour le compte du Client.

"Fournisseurs d'IA tiers" ou "Fournisseurs LLM" : prestataires tiers impliqués dans l'exploitation de tout ou partie du Service, agissant en qualité de sous-traitants au sens de l'Article 28 RGPD. Ils comprennent : (i) les fournisseurs de couche d'agrégation ou de routage (notamment AWS Bedrock (Amazon Web Services), qui agrège l'accès aux modèles de fournisseurs en aval via la région eu-west-1 (Irlande)) ; et (ii) les fournisseurs de modèles en aval dont les modèles sont accessibles via cette couche d'agrégation (par exemple Anthropic, OpenAI, Mistral, Google et tout autre fournisseur figurant dans la documentation du Trust Center applicable). La liste des sous-traitants actifs peut évoluer et est mise à disposition du Client via le Trust Center ou une documentation équivalente.

"Résumé du Trust Center": un résumé informatif des mesures de sécurité, de confidentialité et organisationnelles figurant à l'Annexe 4, fourni à titre de transparence.

4. Documents contractuels – Ordre de priorité

Les documents contractuels régissant le Service sont, par ordre de priorité décroissant :

  1. le Bon de commande / Devis et, le cas échéant, toute condition particulière acceptée par les Parties ;
  2. le DPA (Accord de traitement des données, Article 28 RGPD), lorsque MyTraffic traite des données personnelles pour le compte du Client, et tout avenant y afférent ;
  3. les Conditions d'évaluation / d'essai, le cas échéant ;
  4. les présentes CGSU et leurs annexes (notamment la PUA (Politique d'utilisation acceptable définie à l'Annexe 2), le Protocole de gestion des incidents de sécurité (Annexe 3), le Protocole de sécurité IA (Annexe 4) et le Résumé du Trust Center) ;
  5. le plan tarifaire, l'Interface de Service et toute documentation ou information de référence mise à disposition par MyTraffic.

5. Objet : Périmètre du Service

5.1 Les présentes CGSU définissent les conditions d'accès et d'utilisation de GINI, ainsi que les droits et obligations des Parties, notamment en matière de données, sécurité, conformité et responsabilité.

5.2 Le périmètre fonctionnel, les modules activés, les quotas, le nombre d'Utilisateurs autorisés et, le cas échéant, l'accès API sont définis dans le Bon de commande, ou à défaut, dans le plan tarifaire applicable et/ou l'Interface de Service. Les fonctionnalités, modules et options disponibles pour le Client à tout moment sont ceux inclus dans l'offre souscrite telle que définie dans le plan tarifaire, l'Interface de Service et/ou le Bon de commande / Devis en vigueur. Le Client reconnaît que le périmètre fonctionnel de chaque plan tarifaire peut évoluer, notamment par Restructuration des offres telle que définie dans la section Définitions, conformément aux conditions prévues dans la section Restructuration des offres des présentes. Sauf accord écrit exprès de MyTraffic, aucune fonctionnalité non incluse dans l'offre souscrite (y compris les fonctionnalités "Enterprise") ne peut être mise à disposition du Client, à titre gratuit ou promotionnel.

Le Client reconnaît que l'exploitation du Service implique la transmission de Prompts, de l'historique des conversations et, le cas échéant, de Documents Client aux Fournisseurs d'IA tiers agissant en qualité de sous-traitants, notamment via une couche d'agrégation de modèles d'IA. Ces transmissions peuvent impliquer des fournisseurs situés en dehors de l'Espace économique européen, auquel cas des mécanismes de transfert appropriés (notamment les Clauses contractuelles types) s'appliquent. MyTraffic met en œuvre des mesures techniques pour minimiser les données personnelles exposées lors de ces transmissions, notamment des configurations de Rétention zéro des données (ZDR) lorsqu'elles sont disponibles et applicables.

5.3 Offres en ligne, essai et usage variable (Essai / Freemium / À l'usage). Lorsque le Client souscrit au Service via une offre en ligne, d'essai, gratuite ("freemium") ou à l'usage, les fonctionnalités disponibles, les Quotas, les limites techniques et les restrictions applicables (notamment les limites de débit, les volumes, le nombre de documents et/ou la priorisation) sont ceux (i) du plan tarifaire souscrit et/ou (ii) affichés dans l'Interface de Service au moment de l'utilisation.

1. En cas de dépassement de Quotas ou d'utilisation anormale (notamment des volumes inhabituellement élevés de données traitées ou de tokens LLM générés), MyTraffic peut appliquer des limitations, suspendre temporairement certaines fonctionnalités ou inviter le Client à mettre à niveau son offre.

2. Les Quotas et indicateurs d'usage peuvent être raisonnablement ajustés afin de :

  1. prévenir les abus ;
  2. protéger la sécurité, les performances ou l'intégrité du Service ;
  3. tenir compte des évolutions techniques ou réglementaires ; ou
  4. refléter des variations substantielles de coûts liées à des prestataires tiers essentiels au fonctionnement du Service, notamment les fournisseurs de modèles d'IA.

De tels ajustements des Quotas (tels que définis aux présentes, c'est-à-dire les volumes d'usage, les limites de débit et les seuils de traitement) ne doivent pas entraîner une réduction substantielle des volumes d'utilisation du Client dans le cadre d'un Bon de commande en cours, sauf accord des Parties ou mise en œuvre par MyTraffic de mesures alternatives raisonnables (telles qu'un ajustement de prix, un changement de modèle ou une modification du périmètre d'usage). Pour éviter tout doute, la répartition des fonctionnalités et modules entre les plans tarifaires est régie exclusivement par la section Restructuration des offres des présentes et n'est pas soumise aux limitations prévues dans la section Crédits des présentes.

5.3.3 Crédits

Volumes. Pour les plans à usage plafonné, le Service comprend un nombre fixe de Crédits par Période de facturation, tel que spécifié dans le plan tarifaire applicable et/ou l'Interface de Service. Un (1) Crédit est consommé par conversation ou workflow initié. Des Crédits supplémentaires peuvent être consommés lorsque le volume de données traité dans une même conversation dépasse le seuil défini dans l'Interface de Service. Les Crédits non utilisés à la fin d'une Période de facturation ne sont pas reportés et sont réinitialisés au renouvellement.

Offres mensuelles. Certaines offres mensuelles peuvent être limitées à un nombre spécifique de Seats et de Quotas spécifiques, tels qu'affichés dans l'Interface de Service lors de la souscription. Ces offres peuvent ne pas permettre l'achat de Seats ou d'options supplémentaires, sauf si le Client passe à une offre éligible.

Usage raisonnable. Afin de prévenir les abus et de protéger les performances du Service, une limite d'usage raisonnable est appliquée au niveau de l'Organisation, notamment : (i) un plafond moyen de deux millions (2 000 000) de tokens LLM générés par conversation ; et (ii) un seuil global pour le nombre de conversations et/ou de workflows initiés sur une période donnée. Les limites d'usage raisonnable susmentionnées s'appliquent à tous les plans, y compris les plans illimités, en tant que mesures anti-abus et non en tant que restrictions de Quotas

Au-delà de ces mesures de protection, MyTraffic se réserve le droit de limiter temporairement le Service, de bloquer temporairement le Compte, de suspendre l'accès ou d'inviter le Client à mettre à niveau son offre, conformément aux présentes CGSU.

Pas d'achat de Crédits à la demande. Sauf disposition contraire dans le Bon de commande / Devis, le Client ne peut pas acheter des Crédits (ou un quota de conversations/workflows) de manière autonome. Tout besoin d'usage supplémentaire nécessite une mise à niveau de l'offre (changement de package et/ou ajout de Seats) selon les conditions disponibles dans l'Interface de Service et/ou auprès des équipes commerciales de MyTraffic.

5.4 Le Contenu Client peut contenir des informations sensibles

Le Client reconnaît et accepte que, selon l'utilisation qu'il en fait, le Contenu Client fourni au Service (Inputs, documents téléversés, textes, tableaux) peut contenir : (i) des informations confidentielles et/ou des secrets commerciaux du Client ou de tiers ; et/ou (ii) des données personnelles.

Le Client reste seul responsable de la sélection des informations qu'il transmet via le Service, conformément aux présentes CGSU, à la PUA (Annexe 2) et, le cas échéant, au DPA.

5.5 Téléversement de fichiers

Le Service permet au Client et à ses Utilisateurs autorisés de téléverser des fichiers et documents (notamment des PDF, feuilles de calcul ou documents similaires) afin d'en permettre l'analyse, le résumé ou le traitement par GINI dans le cadre des fonctionnalités du Service.

  1. Conservation des données dans le Service. Les durées de conservation suivantes s'appliquent aux données traitées dans le cadre du Service :
    1. Prompts et historique des conversations : conservés pendant la durée de la session active et pour une période n'excédant pas douze (12) mois par la suite, sous réserve d'une purge automatique en cours d'implémentation ; telle qu'indiquée dans l'Interface de Service et/ou le DPA applicable ;
    2. Documents téléversés (Documents Client) : conservés uniquement pendant la durée de la session de traitement ; la suppression immédiate après traitement est mise en œuvre dans la mesure du possible sur le plan technique ;
    3. Métadonnées techniques (horodatages, identifiants de modèle, comptages de tokens) : conservées pour une période n'excédant pas quatre-vingt-dix (90) jours à des fins de sécurité et de traçabilité.
    4. Données transmises aux Fournisseurs d'IA tiers : MyTraffic met en place des garanties contractuelles avec chaque fournisseur recevant du Contenu Client, notamment des Accords de traitement des données intégrant les Clauses contractuelles types (CCT 2021 Module 2) en vertu de l'Article 28 RGPD. La configuration Rétention zéro des données (ZDR) est mise en œuvre lorsqu'elle est disponible et applicable en tant que mesure technique supplémentaire. MyTraffic ne garantit pas que le ZDR est activé chez tous les fournisseurs en permanence ; les garanties contractuelles constituent le mécanisme de conformité principal.

Le Client peut demander la suppression accélérée de ses données en contactant MyTraffic à l'adresse support@mytraffic.fr, sous réserve des exigences légales de conservation applicables.

5.6 Restructuration des offres

  1. Droit de restructuration. MyTraffic se réserve le droit de modifier, à tout moment, la répartition des fonctionnalités, modules et options entre ses plans tarifaires, niveaux et packages ("Restructuration des offres"), notamment par : (i) la réaffectation d'une fonctionnalité d'un plan tarifaire vers un plan de niveau supérieur ; (ii) la conversion d'une fonctionnalité incluse en option ou module complémentaire facturé séparément ; (iii) le regroupement ou la dissociation de fonctionnalités entre les offres ; ou (iv) la création de nouveaux niveaux ou catégories de fonctionnalités ; ou (v) la modification des pays disponibles dans un plan tarifaire ou niveau donné, notamment l'ajout ou la suppression de pays d'un Géo-package.
  2. Application aux Clients existants. La Restructuration des offres s'applique comme suit : (a) pour les souscriptions régies par un Bon de commande avec une période d'engagement fixe : à la fin de la période d'engagement en cours, lors du renouvellement ; (b) pour les souscriptions mois par mois ou sans Bon de commande : à la prochaine Période de facturation suivant l'expiration du délai de préavis prévu dans la section Conditions financières des présentes ; (c) pour les nouvelles souscriptions : immédiatement.
  3. Impact sur l'accès. Dans le cas où une fonctionnalité précédemment incluse dans l'offre souscrite du Client est réaffectée vers un plan de niveau supérieur ou convertie en option payante à la suite d'une Restructuration des offres, l'accès du Client à cette fonctionnalité est maintenu jusqu'à la fin de la Période de facturation ou de la période d'engagement applicable. Par la suite, le maintien de l'accès nécessitera que le Client passe au plan applicable ou souscrive à l'option concernée au tarif alors en vigueur.
  4. Absence de droit acquis. Le Client reconnaît que l'inclusion d'une fonctionnalité dans un plan tarifaire donné au moment de la souscription ne crée pas de droit acquis (droit acquis) à l'inclusion perpétuelle de cette fonctionnalité dans ce plan. La répartition des fonctionnalités entre les plans est déterminée par MyTraffic à sa discrétion raisonnable, sous réserve des mécanismes de notification et de transition prévus aux présentes.
  5. Bonne foi. MyTraffic s'engage à exercer ses droits de Restructuration des offres de bonne foi et ne doit pas utiliser la Restructuration des offres à la seule ou principale fin de contourner ses obligations dans le cadre d'un Bon de commande en cours.

5.7 Restructuration des offres — Notification et acceptation

  1. Notification. En cas de Restructuration des offres, MyTraffic notifie le Client au moins quarante-cinq (45) jours avant la date d'entrée en vigueur de cette modification. La notification est fournie via l'Interface de Service et/ou par e-mail au contact contractuel désigné par le Client.
  2. Contenu de la notification. La notification comprend : (i) une description des fonctionnalités affectées par la Restructuration des offres ; (ii) la date d'entrée en vigueur de la modification ; (iii) la mise à niveau ou l'option requise pour maintenir l'accès aux fonctionnalités concernées ; et (iv) le tarif applicable pour cette mise à niveau ou option.
  3. Acceptation réputée. Pour autant que la Restructuration des offres ne constitue pas une modification substantielle des droits du Client dans le cadre d'un Bon de commande en cours, si le Client ne s'y oppose pas par écrit dans un délai de quinze (15) jours calendaires à compter de la notification, la Restructuration des offres est réputée acceptée par le Client. La poursuite de l'utilisation du Service par le Client après la date d'entrée en vigueur de la Restructuration des offres vaut acceptation de la nouvelle répartition des fonctionnalités.
  4. Droit d'opposition et de résiliation. Si le Client s'oppose par écrit dans le délai de quinze (15) jours et qu'aucun accord n'est trouvé entre les Parties dans un délai supplémentaire de quinze (15) jours calendaires, le Client peut résilier la souscription concernée à la fin de la Période de facturation ou de la période d'engagement en cours, sans pénalité et sans frais de résiliation anticipée. Ce droit de résiliation constitue le seul et unique recours du Client en ce qui concerne la Restructuration des offres.
  5. Période de transition. Pendant la période comprise entre la notification et la date d'entrée en vigueur de la Restructuration des offres, le Client conserve l'accès aux fonctionnalités concernées dans les conditions existantes de sa souscription. Aucun accès ne peut être supprimé avant l'expiration de la Période de facturation ou de la période d'engagement applicable.

6. Accès au Service ; Comptes et identifiants

6.1 Le Service est accessible via un identifiant et un mot de passe personnels (ou tout autre mécanisme d'authentification proposé). Le Client est responsable de la gestion des droits d'accès et du maintien de la confidentialité des identifiants.

Toute utilisation non autorisée doit être signalée à MyTraffic sans délai.

Les limites d'usage, Quotas et fonctionnalités applicables au Service peuvent être définis ou précisés dans le Bon de commande, le plan tarifaire souscrit et/ou l'Interface de Service. En cas de dépassement de ces limites, MyTraffic peut appliquer des limitations, des suspensions temporaires ou proposer une mise à niveau de l'offre.

6.2 Seats (Utilisateurs autorisés)

Le nombre de Seats inclus dans l'offre correspond au nombre maximum d'Utilisateurs autorisés pouvant accéder au Service simultanément ou activement au sein de l'Organisation.

Le nombre de Seats applicable, les prix, les modalités de facturation, les Quotas et les limites d'usage (notamment les Seats et les Crédits) sont ceux indiqués dans le plan tarifaire, l'Interface de Service et/ou le Bon de commande / Devis.

Le partage d'identifiants entre plusieurs personnes est interdit. En cas de dépassement du nombre de Seats, MyTraffic peut limiter l'accès, suspendre certaines fonctionnalités et/ou inviter le Client à mettre à niveau son offre.

6.3 Conditions financières :

L'accès au Service est subordonné au paiement du plan ou de l'offre sélectionné par le Client.

Les prix, les modalités de facturation, les Quotas applicables et les limites d'usage sont ceux indiqués, selon l'offre, dans le Bon de commande / Devis, le plan tarifaire et/ou l'Interface de Service au moment de la souscription ou de l'utilisation.

Sauf indication contraire, les prix sont exprimés hors taxes, lesquelles seront facturées en sus conformément à la réglementation applicable.

L'accès au Service est conditionné au paiement de toutes les sommes dues. En cas de non-paiement, MyTraffic se réserve le droit de limiter ou de suspendre l'accès au Service jusqu'au règlement.

Toute modification des prix ou des Quotas ne peut affecter les conditions applicables pendant la durée d'un Bon de commande en cours. Pour les offres sans Bon de commande, les modifications s'appliquent de manière prospective et sont communiquées au Client via l'Interface de Service ou tout autre moyen approprié.

Promotions et remises. Des promotions, remises ou avantages tarifaires peuvent être proposés pour une durée limitée et sous réserve de conditions d'éligibilité communiquées au moment de l'offre (événement, primo-adoptants, campagnes de fin de période, etc.). Sauf indication expresse contraire, les promotions ne sont pas cumulables et s'appliquent uniquement pour la période indiquée ; à l'expiration, le tarif standard alors en vigueur s'applique.

Modifications du plan tarifaire. Les modifications du plan tarifaire (notamment les prix, les allocations de Quotas et la répartition des fonctionnalités par plan résultant d'une Restructuration des offres) s'appliquent aux nouvelles souscriptions, aux renouvellements nécessitant une nouvelle souscription et aux mises à niveau effectuées après la date d'entrée en vigueur de ces modifications. Les souscriptions en cours restent régies par les conditions tarifaires applicables au moment de la souscription pour la durée de la Période de facturation ou de la période d'engagement en cours. Toutefois, le périmètre fonctionnel de chaque plan tarifaire peut évoluer conformément à la section Restructuration des offres des présentes, et le Client reconnaît qu'aucun verrouillage de fonctionnalité ni droit perpétuel à une fonctionnalité ne s'applique au-delà de la Période de facturation ou de la période d'engagement en cours, sauf accord écrit exprès dans le Bon de commande applicable.

Géo-packages. MyTraffic peut proposer des packages tarifaires régionaux pré-packagés ("Géo-packages") correspondant à un ensemble prédéfini de pays, tels que communiqués au moment de l'offre ou précisés dans le Bon de commande / Devis. Les Géo-packages constituent des arrangements tarifaires contractuels liés au Périmètre Géographique contractuel. Toute extension du Périmètre Géographique au-delà du Géo-package contractuel nécessitera un nouveau Bon de commande ou un avenant écrit et sera soumise aux tarifs alors en vigueur applicables au périmètre étendu.

7. Conditions d'utilisation : PUA (Résumé)

Le Client s'engage à respecter l'Annexe 2 (Politique d'utilisation acceptable – PUA). En particulier, les usages suivants sont interdits :

  • activités illégales, fraude ou discrimination ;
  • extraction de données à grande échelle, scraping ou automatisation abusive ;
  • ingénierie inverse, contournement des Quotas ou des mesures de sécurité ;
  • tentatives d'injection de prompt, de jailbreak ou d'exfiltration de données ;
  • téléversement de contenus illicites ou portant atteinte aux droits de tiers ;
  • collecte ou traitement de données sensibles non autorisées et téléversement d'informations confidentielles de tiers (notamment des secrets commerciaux) sans autorisation ou en violation d'une obligation de confidentialité. MyTraffic peut suspendre ou limiter l'accès au Service en cas d'abus, de risque de sécurité ou de non-conformité aux présentes CGSU et/ou à la PUA.
  • soumission de Prompts ou téléversement de Documents Client contenant des catégories particulières de données personnelles au sens de l'Article 9 RGPD (notamment des données de santé, opinions politiques, convictions religieuses, orientation sexuelle ou données biométriques), sauf accord écrit exprès de MyTraffic et sous réserve de la mise en place préalable d'un DPA et de mesures de sécurité renforcées.

8. Dispositions spécifiques à l'IA (Approche professionnelle)

8.1 Transparence

Le Client reconnaît que GINI intègre des fonctionnalités d'intelligence artificielle et que les Utilisateurs interagissent, en tout ou partie, avec un système automatisé.

8.1.1 Obligation d'information et d'affichage

MyTraffic met en œuvre des moyens raisonnables pour s'assurer que le Service affiche, au plus tard lors de la première interaction d'un Utilisateur autorisé avec GINI et de manière facilement accessible pendant l'utilisation, un avis indiquant que l'Utilisateur interagit avec un système d'intelligence artificielle.

Le Client, à son tour, s'engage à informer ses Utilisateurs autorisés (notamment par le biais de ses politiques internes et/ou des conditions d'utilisation applicables) qu'ils interagissent avec un système d'IA et que les Résultats sont soumis aux limitations décrites aux présentes.

8.1.2 Transferts internationaux et sous-traitants

Le Client reconnaît que l'exploitation du Service peut impliquer le transfert de données personnelles contenues dans les Prompts, l'historique des conversations et les Documents Client vers des Fournisseurs d'IA tiers situés en dehors de l'Espace économique européen, notamment aux États-Unis d'Amérique. Ces transferts sont encadrés par des garanties appropriées, notamment les Clauses contractuelles types (CCT) adoptées par la Commission européenne en vertu de l'Article 46 RGPD, et, le cas échéant, des Analyses d'impact sur les transferts (TIA).

8.2 Nature probabiliste – Absence de garantie

Les Résultats sont probabilistes et peuvent contenir des erreurs, omissions, approximations ou biais. MyTraffic ne garantit pas l'exactitude, l'exhaustivité ou l'adéquation des Résultats à un usage particulier.

8.3 Aide à la décision – Pas de conseil professionnel

Les Résultats sont fournis à titre informatif uniquement et constituent des outils d'aide à la décision. Ils ne constituent pas un conseil professionnel (juridique, financier, immobilier ou autre).

8.3.1 Usage non trompeur et contextualisation des Résultats

Le Client s'abstient de : (i) présenter les Résultats comme générés par des humains, certifiés, vérifiés ou comme un conseil professionnel personnalisé ; (ii) supprimer ou masquer substantiellement les avertissements relatifs aux limites des Résultats lorsqu'ils sont communiqués à des tiers ; et (iii) utiliser les Résultats comme seule base pour des décisions susceptibles d'avoir des impacts significatifs sans examen humain conformément à la section Contrôle humain des présentes.

8.4 Contrôle humain

Le Client reste seul responsable de l'utilisation des Résultats et s'engage à mettre en œuvre un contrôle humain raisonnable avant toute prise de décision ou mise en œuvre.

8.5 Usages sensibles

Le Client ne doit pas utiliser GINI pour automatiser des décisions produisant des effets juridiques significatifs sur des personnes sans supervision humaine appropriée et sans cadre juridique adéquat. En particulier, le Client s'abstient d'inclure, dans tout Prompt ou Document Client, des données personnelles de tiers qui ne sont pas strictement nécessaires au cas d'usage prévu, et prend toutes les mesures raisonnables pour anonymiser ou pseudonymiser ces données avant leur transmission au Service.

8.5.1 Changement de cas d'usage / Requalification réglementaire

Le Client s'engage à notifier MyTraffic sans délai s'il envisage d'utiliser le Service dans un contexte susceptible de déclencher des obligations réglementaires renforcées (notamment en vertu des réglementations européennes sur l'intelligence artificielle) ou impliquant des décisions à fort impact concernant des personnes physiques.

Dans ce cas, MyTraffic peut, à sa discrétion raisonnable : (i) refuser le cas d'usage proposé ; (ii) suspendre l'accès au Service pour le périmètre concerné ; et/ou (iii) proposer des termes contractuels supplémentaires et des mesures de conformité avant toute utilisation continue.

Avertissement utilisateur. Le Client reconnaît que le Service n'est pas destiné au stockage permanent de documents et s'engage à éviter de téléverser des informations inutilement sensibles ou confidentielles, conformément au principe de minimisation des données.

9. Données, propriété intellectuelle et licences

1. Propriété de MyTraffic

MyTraffic conserve tous les droits de propriété intellectuelle et/ou d'exploitation sur GINI, la documentation et les Données MyTraffic. Aucun transfert de propriété n'est accordé.

2. Licence d'utilisation des Données MyTraffic

Sous réserve du paiement de toutes les sommes dues et du respect des présentes CGSU, MyTraffic accorde au Client une licence d'accès et d'utilisation des Données MyTraffic qui est :

  • strictement limitée, non exclusive, non cessible, non transférable et non sous-licenciable ;
  • limitée à l'usage interne du Client ;
  • limitée au périmètre (modules, zones, Quotas, utilisateurs) défini dans le Bon de commande ;
  • accordée pour la durée du contrat uniquement.

Sauf accord écrit exprès de MyTraffic, le Client est interdit de revendre, publier, distribuer, mettre à disposition, donner accès ou exploiter de quelque manière que ce soit les Données MyTraffic au bénéfice d'un tiers (notamment les affiliés, sociétés du groupe, franchisés, partenaires, prestataires de services ou conseillers).

3. Interdiction de réutilisation / Outils tiers / Entraînement / Dérivés

Sauf accord écrit exprès de MyTraffic, le Client ne doit pas :

  • intégrer, synchroniser ou importer des Données MyTraffic dans des outils ou plateformes tiers (notamment des entrepôts/lacs de données, des outils BI, des moteurs d'indexation, des plateformes d'analyse ou des outils d'IA) lorsque cette intégration permet une réutilisation autonome des Données MyTraffic en dehors du Service ;
  • entraîner, réentraîner, affiner, évaluer ou améliorer tout modèle ou algorithme (notamment les modèles IA/ML, génératifs ou non) en utilisant des Données MyTraffic ;
  • créer, dériver, commercialiser ou mettre à disposition des indicateurs, scores, bases de données, produits ou services substantiellement dérivés des Données MyTraffic, notamment par hybridation avec des données tierces ;
  • reconstituer des bases de données, contourner des Quotas ou effectuer toute extraction systématique (scraping, crawling, automatisation abusive).

Les obligations prévues dans les sections Licence d'utilisation des Données MyTraffic et Interdiction de réutilisation ci-dessus survivent à la résiliation du contrat.

4. Contenu Client

Le Client conserve la propriété de son Contenu Client. Le Client autorise MyTraffic à héberger, traiter, reproduire et analyser le Contenu Client strictement aux fins de fourniture du Service, de mise en œuvre de mesures de sécurité et anti-abus, de respect des obligations légales et de maintenance du Service.

5. Résultats

Sous réserve des droits de MyTraffic et des droits de tiers, le Client peut utiliser les Résultats pour ses besoins internes. Le Client reconnaît que des Résultats similaires peuvent être générés pour d'autres utilisateurs sans que cela constitue une violation de la confidentialité.

6. Contenu Client et fichiers téléversés

Le Client reste seul responsable du Contenu Client fourni au Service, notamment les fichiers, documents et données téléversés ou saisis via GINI.

Le Client déclare et garantit détenir tous les droits, autorisations et bases légales nécessaires pour fournir ce Contenu Client, y compris lorsqu'il contient des informations confidentielles, des secrets commerciaux ou des données personnelles. Le Client s'engage à téléverser uniquement les informations strictement nécessaires à la finalité visée (principe de minimisation des données) et à ne pas utiliser le Service pour traiter des catégories particulières de données personnelles au sens du RGPD (notamment les données de santé, biométriques, génétiques, opinions politiques ou convictions religieuses), sauf accord écrit exprès de MyTraffic et sous réserve de garanties contractuelles appropriées, notamment un DPA et des mesures de sécurité renforcées.

MyTraffic traite le Contenu Client exclusivement aux fins de fourniture du Service, conformément aux présentes CGSU, à la PUA (Annexe 2) et, le cas échéant, au DPA.

10. Fournisseurs d'IA tiers (Fournisseurs LLM)

GINI peut faire appel à des Fournisseurs d'IA tiers pour exploiter tout ou partie du Service. Le Contenu Client peut être traité par ces fournisseurs dans la mesure nécessaire à la fourniture du Service, conformément aux engagements de confidentialité et de sécurité applicables.

Une liste indicative des sous-traitants (fournisseurs LLM et/ou cloud) figure à l'Annexe 1. MyTraffic peut mettre à jour cette liste ; en cas de modification substantielle, MyTraffic en informe le Client conformément aux conditions prévues au Bon de commande ou, à défaut, par tout moyen écrit raisonnable.

11. Confiance & Sécurité (Résumé de type Trust Center – MyTraffic)

1. Positionnement

MyTraffic ne prétend pas, dans le cadre des présentes CGSU, détenir une certification spécifique (telle que SOC 2 ou ISO 27001), sauf mention expresse dans un document contractuel séparé.

Cependant, MyTraffic met en œuvre des mesures de sécurité techniques et organisationnelles proportionnées aux risques identifiés, telles que décrites ci-dessous.

2. Mesures de sécurité (Exemples de contrôles)

À titre d'illustration, MyTraffic met en œuvre les mesures suivantes, selon le périmètre technique applicable :

  • chiffrement des données au repos ;
  • contrôles d'accès et autorisations basés sur le principe du "besoin d'en connaître" (moindre privilège / RBAC) ;
  • mécanismes d'authentification renforcée (MFA / 2FA) pour les accès sensibles ;
  • journalisation des accès et révisions périodiques des droits d'accès ;
  • politiques de conservation et de suppression des données (gestion du cycle de vie) et mécanismes de conservation légale le cas échéant ;
  • mesures anti-abus, notamment la limitation du débit, la détection d'anomalies et les contrôles de sécurité au niveau applicatif.

3. Traçabilité IA (Journaux)

À des fins de sécurité, de support, de prévention des abus et d'investigation d'incidents, MyTraffic peut conserver des journaux associés aux interactions GINI, notamment les prompts, résultats, horodatages, identifiants Client/compte, adresses IP, identifiants utilisateur, versions de modèles et métriques techniques.

Durées de conservation. Sauf disposition contraire dans le Bon de commande ou exigence légale, MyTraffic applique par défaut une durée de conservation de quatre-vingt-dix (90) jours à compter de la date de collecte pour les journaux de traçabilité relatifs au Service. Pour certaines offres ou options, telles que spécifiées dans le Bon de commande applicable, une durée de conservation étendue pouvant aller jusqu'à un (1) an peut être convenue.

Les journaux peuvent faire l'objet d'une conservation légale lorsque la loi l'exige ou sur demande d'une autorité compétente. À l'expiration des durées de conservation applicables, les journaux sont supprimés ou anonymisés conformément à la politique de conservation de MyTraffic et, le cas échéant, au DPA.

4. Mesures de protection IA

MyTraffic met en œuvre des mesures de protection raisonnables, notamment la prévention de base des injections de prompts, le filtrage des résultats, des contrôles visant à réduire le risque d'exposition involontaire de données personnelles et des mécanismes de limitation du volume d'usage.

5. Gestion des incidents

MyTraffic maintient des procédures de gestion des incidents. En cas d'incident de sécurité affectant le Service, MyTraffic informe le Client dans un délai raisonnable et coopère de bonne foi pour atténuer les impacts.

Lorsque des données personnelles sont traitées pour le compte du Client (rôle de sous-traitant), les obligations de notification et d'assistance sont détaillées dans le DPA.

12. RGPD – Données personnelles

Le Client déclare et garantit détenir tous les droits, autorisations et bases légales nécessaires pour téléverser et traiter le Contenu Client via GINI.

1. DPA requis pour le traitement pour le compte du Client

Lorsque le Client utilise le Service pour traiter des données personnelles via le Contenu Client, MyTraffic agit en qualité de sous-traitant au sens du RGPD, et les Parties conviennent de mettre en place un DPA (Article 28 RGPD).

Ce DPA décrit notamment l'objet, la durée, la nature et la finalité du traitement, les types de données personnelles et catégories de personnes concernées, les mesures de sécurité, la liste des sous-traitants ultérieurs et, le cas échéant, les mécanismes de transfert.

En l'absence du DPA requis, MyTraffic peut suspendre le traitement du Contenu Client contenant des données personnelles jusqu'à ce que la conformité soit rétablie.

13. Support, Maintenance, Disponibilité

Support. Le support est disponible à l'adresse support@mytraffic.fr, conformément aux conditions prévues dans le Bon de commande applicable. MyTraffic peut interrompre temporairement le Service pour des opérations de maintenance planifiées ou d'urgence.

Accord de niveau de service (SLA). Tout engagement de niveau de service ne s'applique que s'il est expressément prévu dans un Bon de commande et/ou une annexe SLA. À défaut, aucun engagement de disponibilité spécifique n'est pris.

14. Responsabilité et limitations

MyTraffic est tenu à une obligation de moyens.

Sous réserve des dispositions légales impératives, MyTraffic ne saurait être tenu responsable des dommages indirects, consécutifs, accessoires ou spéciaux, notamment la perte de bénéfices, la perte de données, la perte d'opportunité ou l'interruption d'activité.

Plafond de responsabilité. La responsabilité totale et globale de MyTraffic en lien avec le Service ne peut excéder le montant total effectivement payé par le Client pour le Service au cours des douze (12) mois précédant l'événement à l'origine de la réclamation, sauf en cas de faute lourde, de dol ou de dommage corporel.

Clause spécifique à l'IA : Le Client reste seul responsable de la vérification des Résultats et de toutes les décisions prises sur la base de ceux-ci.

15. Suspension et résiliation

MyTraffic peut suspendre l'accès au Service en cas d'abus, de risque de sécurité ou de violation des présentes CGSU et/ou de la PUA.

Chaque Partie peut résilier le Contrat en cas de manquement substantiel de l'autre Partie non remédié dans un délai de trente (30) jours calendaires à compter de la notification écrite du manquement, sauf stipulation contraire du Bon de commande applicable.

16. Durée, fin du contrat – Cessation d'utilisation, Suppression/Restitution, Vérification

16.1 Le présent Accord reste en vigueur pour la durée initiale spécifiée dans le Bon de commande applicable (la "Durée initiale"). À l'expiration de la Durée initiale, l'Accord est automatiquement renouvelé pour des périodes successives de même durée (chacune une "Période de renouvellement"), sauf si l'une ou l'autre des Parties notifie par écrit sa décision de ne pas renouveler au moins trente (30) jours calendaires avant la fin de la période en cours pour les offres mensuelles, et deux (2) mois avant la fin de la période en cours pour les offres annuelles ou soumises à un Bon de commande. Le Client est informé à l'avance de chaque prochaine période de renouvellement afin d'assurer une totale transparence quant à la poursuite de l'Accord

2. Cessation d'utilisation

À l'expiration ou à la résiliation du Contrat, le Client doit : (i) cesser tout accès et utilisation du Service ; et (ii) cesser toute utilisation des Données MyTraffic, sauf disposition contraire dans le Contrat (notamment les droits acquis relatifs à des livrables expressément identifiés).

3. Suppression des Données MyTraffic

Dans un délai de trente (30) jours suivant la fin du Contrat, le Client supprime ou rend inutilisables toutes les copies des Données MyTraffic en sa possession ou sous son contrôle, notamment les extraits et exports dans la mesure où ils permettent une reconstruction substantielle des Données MyTraffic ou une utilisation autonome en dehors du Service.

Le présent article n'impose pas la suppression des documents internes du Client (rapports, présentations, décisions) ne contenant que des résultats agrégés ou des Résultats ne permettant pas une reconstruction substantielle des Données MyTraffic.

4. Certificat de suppression

Sur demande écrite de MyTraffic, le Client fournit un certificat de suppression signé par un représentant dûment autorisé dans un délai n'excédant pas quinze (15) jours calendaires.

5. Vérification ciblée

En cas de suspicion raisonnable de non-respect des obligations prévues au présent article (notamment l'utilisation ou la conservation non autorisée d'extraits substantiels des Données MyTraffic), MyTraffic peut demander une vérification ciblée.

Cette vérification prend la forme, à la discrétion raisonnable de MyTraffic, de :

  1. un questionnaire de conformité et/ou
  2. des éléments probants limités, strictement nécessaires et non intrusifs.

Un audit sur site ou par un tiers indépendant ne peut être demandé qu'en dernier recours, sous réserve d'un préavis raisonnable, pendant les heures ouvrables et dans le respect des obligations de confidentialité.

6. Coûts

Les coûts de toute vérification ou audit sont à la charge de MyTraffic, sauf si cette vérification ou cet audit révèle un manquement substantiel du Client, auquel cas les coûts raisonnables peuvent être facturés au Client.

7. Données personnelles (Rappel)

Le cas échéant, la suppression ou la restitution des données personnelles contenues dans le Contenu Client est régie exclusivement par le DPA.

17. Droit applicable – Juridiction compétente

Les présentes CGSU sont régies par le droit français.

Les tribunaux compétents seront ceux de Paris, sauf disposition contraire dans le Bon de commande.

18. Confidentialité

Définition :

"Information confidentielle" désigne toute information divulguée par une Partie à l'autre Partie, sous quelque forme que ce soit, qui est identifiée comme confidentielle ou qui, par sa nature, devrait raisonnablement être considérée comme confidentielle, notamment les Données MyTraffic, le Contenu Client, les spécifications, les données techniques, les prix, les feuilles de route, le code et les Résultats.

Exclusions :

Les Informations confidentielles n'incluent pas les informations : (i) qui sont ou deviennent publiques autrement que par une violation du présent Contrat ; (ii) qui étaient légalement connues de la Partie réceptrice avant la divulgation ; (iii) qui sont légalement reçues d'un tiers sans violation d'une obligation de confidentialité ; ou (iv) qui sont développées de manière indépendante par la Partie réceptrice sans utilisation des Informations confidentielles.

Obligations

La Partie réceptrice s'engage à : (i) ne pas divulguer les Informations confidentielles, sauf à ses employés, conseillers, Affiliés ou sous-traitants ayant un strict besoin d'en connaître et liés par des obligations de confidentialité au moins équivalentes à celles énoncées aux présentes ; (ii) utiliser les Informations confidentielles uniquement aux fins de l'exécution du Contrat ; et (iii) protéger les Informations confidentielles à l'aide de mesures raisonnables au moins équivalentes à celles qu'elle applique à ses propres informations confidentielles.

Divulgation obligatoire : Si la Partie réceptrice est tenue par la loi, une réglementation ou une décision de justice de divulguer des Informations confidentielles, elle doit, dans la mesure permise par la loi, en informer au préalable la Partie divulgatrice et coopérer raisonnablement pour limiter la portée de cette divulgation.

Restitution ou destruction : À l'expiration ou à la résiliation du Contrat, la Partie réceptrice doit, au choix de la Partie divulgatrice, restituer ou détruire toutes les Informations confidentielles dans un délai de trente (30) jours et fournir une certification écrite sur demande. Les copies devant être conservées en vertu de la loi peuvent être conservées et restent soumises aux obligations de confidentialité énoncées aux présentes.

Durée : Les obligations de confidentialité s'appliquent pendant la durée du Contrat et pendant cinq (5) ans par la suite, sauf pour les secrets commerciaux, qui restent protégés aussi longtemps qu'ils conservent leur statut de secret commercial.

Mesures conservatoires : Toute violation des obligations de confidentialité peut causer un préjudice irréparable. En conséquence, la Partie divulgatrice est en droit, outre les dommages-intérêts, de solliciter des mesures injonctives ou conservatoires sans avoir à constituer de garantie.

Données personnelles : Lorsque les Informations confidentielles comprennent des données personnelles, les dispositions du DPA prévalent en cas de conflit.

19. Conformité (Sanctions, Contrôle des exportations, LCB-FT, Anticorruption)

Chaque Partie s'engage à respecter toutes les lois et réglementations applicables, notamment celles relatives aux sanctions économiques, embargos, contrôle des exportations, lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) et aux lois anticorruption (notamment, le cas échéant, le Foreign Corrupt Practices Act américain et le Bribery Act britannique).

Sur demande raisonnable, le Client fournira toute information KYC/LCB-FT nécessaire et déclare que ni lui-même, ni ses bénéficiaires effectifs, ni tout Utilisateur autorisé concerné ne figure sur une liste de sanctions applicable.

20. Références commerciales

Sauf opposition écrite et préalable du Client, MyTraffic pourra citer le Client à titre de référence commerciale et utiliser son nom, sa dénomination sociale et/ou son logo, ainsi qu'une description générale des prestations réalisées, dans le cadre de sa communication institutionnelle et commerciale, sous réserve de ne pas porter atteinte à son image ou à sa réputation.

ANNEXE 1 — Sous-traitants (Liste indicative)

Liste établie sur la base de l'architecture technique en vigueur à la date des présentes. MyTraffic informe le Client de toute modification substantielle dans un délai de quinze (15) jours avant son entrée en vigueur.

Modèles d'intelligence artificielle

AWS Bedrock (Amazon Web Services) — Gateway LLM principal — accès à Anthropic Claude et autres modèles via AWS — région eu-west-1 (Irlande) — DPA AWS Customer Agreement — CCT 2021 Module 2.

OpenAI Ireland Ltd / OpenAI LLC — RAG et embeddings — appel API direct — DPA signé le 30/03/2026 — CCT 2021 Module 2.

Google AI Studio (Google LLC) — Tâches auxiliaires légères (titres, géocodage) — DPA en cours de confirmation.

Authentification

Supabase Inc. — Authentification utilisateurs (email, téléphone) — DPA en cours de signature.

Twilio Inc. / Twilio Ireland Ltd — Validation téléphone OTP — DPA en cours de signature.

Observabilité

LangChain Inc. (LangSmith) — Traçage et débogage des interactions LLM — DPA signé le 27/03/2026 — CCT 2021 Module 2 — rétention 15 jours.

ANNEXE 2 — Politique d'utilisation acceptable (PUA)

Usages interdits

Les usages suivants sont strictement interdits :

  • activités illégales, fraude, usurpation d'identité, discrimination ou harcèlement ;
  • extraction à grande échelle, scraping, crawling, automatisation abusive ou contournement des Quotas (notamment via plusieurs comptes ou scripts) ;
  • téléversement, saisie ou traitement de contenus portant atteinte aux droits de tiers (notamment droits d'auteur ou marques) ou divulguant des informations confidentielles de tiers sans autorisation ;
  • ingénierie inverse, tentatives d'accès aux prompts système ou exfiltration de secrets ou de données ;
  • tentatives d'injection de prompt ou de jailbreak visant à contourner les mesures de protection ou à obtenir des informations internes ;
  • téléversement de données sensibles non autorisées ;
  • automatisation de décisions sensibles sans supervision humaine appropriée ;
  • génération, diffusion ou facilitation de logiciels malveillants, hameçonnage, spam ou toute activité visant à compromettre des systèmes ou des comptes ;
  • téléversement de données sensibles ou de catégories particulières de données personnelles au sens du RGPD (ex. santé, biométrie, opinions politiques), sauf autorisation écrite expresse et encadrement par un DPA et des mesures de sécurité appropriées ;
  • utilisation visant à générer des volumes anormalement élevés de tokens LLM ou à multiplier artificiellement les conversations ou workflows afin de contourner les Quotas.

Sanctions

En cas de violation, MyTraffic peut appliquer des limitations, suspendre l'accès ou résilier le Contrat. Des mesures immédiates peuvent être prises en cas de risque pour la sécurité, la conformité ou les droits de tiers.

MyTraffic peut suspendre l'accès immédiatement en cas de risque pour la sécurité, la conformité ou les droits de tiers et informe le Client dans les meilleurs délais raisonnables des raisons générales de cette action. L'accès peut être rétabli si la violation est remédiée, sauf si un risque continu ou une obligation légale empêche le rétablissement.

ANNEXE 3 — Protocole de gestion des incidents de sécurité

1. Notification

MyTraffic notifie le Client sans délai injustifié après confirmation raisonnable d'un incident de sécurité affectant le Service.

Lorsque l'incident implique des données personnelles traitées pour le compte du Client, les obligations de notification et d'assistance sont régies par le DPA (RGPD).

La notification intervient dès que l'incident est raisonnablement confirmé par MyTraffic et présente un impact significatif sur la confidentialité, l'intégrité ou la disponibilité du Service ou des données concernées.

2. Contenu minimal de la notification

Dans la mesure raisonnablement disponible au moment de la notification et autorisée par les exigences légales, contractuelles et de sécurité, la notification comprend :

  • une description de l'incident (nature, date, périmètre) ;
  • les types de données potentiellement concernées ;
  • l'impact probable ;
  • les mesures déjà prises ;
  • des recommandations pour le Client ;
  • les prochaines étapes.

3. Canal de communication

La notification est envoyée par e-mail au contact sécurité désigné dans le Bon de commande ou, à défaut, au contact contractuel.

Contact MyTraffic : support@mytraffic.fr

Objet de l'e-mail : "Incident de sécurité – GINI"

4. Fréquence des mises à jour

MyTraffic fournit des mises à jour raisonnables proportionnées à la gravité de l'incident (ex. quotidiennes pour les incidents critiques, hebdomadaires pour les incidents majeurs).

Un rapport de clôture peut être fourni sur demande raisonnable.

5. Coopération

Le Client coopère raisonnablement avec MyTraffic.

MyTraffic peut mettre en œuvre des mesures de protection nécessaires, notamment la réinitialisation des identifiants, la révocation des tokens ou la suspension temporaire de l'accès.

6. Absence de reconnaissance de responsabilité

Toute notification ou communication effectuée en vertu de la présente Annexe ne constitue pas une reconnaissance de faute, de responsabilité ou de manquement de la part de MyTraffic.

ANNEXE 4 — Protocole de sécurité IA

Cas d'usage autorisés

  • aide à la décision commerciale (notamment l'analyse de zones, le résumé de documents et la génération de tableaux et d'insights)

Cas d'usage interdits / restreints

  • décisions sensibles automatisées sans supervision humaine appropriée ;
  • exfiltration de données ;
  • tout usage en violation de la Politique d'utilisation acceptable (PUA).

Contrôles

MyTraffic met en œuvre des contrôles techniques et organisationnels raisonnables, notamment :

  • limitation du débit ;
  • détection d'anomalies ;
  • prévention des injections de prompts et des jailbreaks ;
  • filtrage des résultats ;
  • mesures visant à réduire les risques liés à l'exposition de données personnelles (PII) ;
  • traçabilité et journalisation.

Les contrôles et mesures décrits ci-dessus constituent des mesures techniques et organisationnelles raisonnables visant à réduire les risques associés à l'utilisation du Service. Ils ne garantissent pas l'absence totale d'erreurs, de biais, d'interruptions ou d'abus, ni aucun résultat spécifique.

Processus

  • exercices de red teaming limités ;
  • procédures d'assurance qualité ;
  • mécanismes de retour arrière et/ou d'arrêt d'urgence en cas de risque significatif.

Gestion des changements

Le versionnage des modèles et/ou des ensembles de données est mis en œuvre dans la mesure du raisonnablement possible. Les modifications substantielles sont notifiées via des notes de version ou des communications équivalentes.

Qualification réglementaire

Le Service est conçu et fourni en tant que système d'intelligence artificielle à risque limité au sens des réglementations européennes applicables, sous réserve du respect par le Client des cas d'usage autorisés et des restrictions énoncées aux présentes et dans la PUA.

Retours

Un canal de support est disponible pour signaler des Résultats problématiques ou des cas d'usage abusifs.

ANNEXE 5 — Conditions d'évaluation / d'essai

1. Objet

Lorsque MyTraffic accorde au Client l'accès au Service à titre d'essai, d'évaluation, de démonstration ou à titre gratuit ("Essai"), le Client peut utiliser le Service dans les limites définies ci-dessous et telles qu'affichées dans l'Interface de Service.

2. Durée

L'Essai est accordé pour une période fixe de quatorze (14) jours calendaires, sauf indication expresse contraire au moment de l'activation (via le site web et/ou l'Interface de Service). La date de début et de fin de l'Essai sont affichées dans l'Interface de Service.

Sauf accord exprès contraire de MyTraffic, le Client ne peut bénéficier d'un Essai et/ou d'une offre gratuite ("freemium") que une fois tous les six (6) mois après la fin de la précédente période d'Essai ou freemium.

3. Accès et activation (Libre-service)

L'Essai peut être activé en libre-service via le site web MyTraffic, sans qualification préalable obligatoire. MyTraffic se réserve le droit de limiter, suspendre ou refuser l'accès à l'Essai en cas d'abus, de fraude ou de non-conformité aux présentes CGSU et/ou à la PUA.

4. Périmètre / Quotas / Support

Les fonctionnalités disponibles pendant l'Essai, ainsi que les Quotas applicables et les limites techniques, sont ceux affichés dans l'Interface de Service au moment de l'utilisation.

L'Essai est fourni "en l'état", sans garantie, sans engagement de niveau de service (SLA) et avec un support limité.

5. Continuité de l'essai vers l'offre payante (Compte, Données, Configuration)

Si le Client souscrit à une offre payante à la fin de l'Essai, le Client conserve le même Compte, ainsi que les paramètres, configurations et données créés pendant l'Essai, sous réserve du respect des présentes CGSU et du paiement des sommes dues.

Cette continuité est garantie à condition que la souscription à une offre payante intervienne au plus tard sept (7) jours calendaires après la fin de l'Essai.

6. Notifications préalables à l'expiration

Avant l'expiration de l'Essai, le Client peut recevoir des notifications informatives (par e-mail et/ou dans l'application) concernant la prochaine fin de l'Essai et les options de souscription.

7. Fin de l'essai / Mise à niveau / Paiement

À la fin de l'Essai, si le Client n'a pas souscrit à une offre payante, l'accès aux fonctionnalités de l'Essai est bloqué et le Client est invité à souscrire à une offre payante.

Aucune information de paiement n'est requise pour activer l'Essai. Les coordonnées de paiement sont demandées uniquement au moment de la souscription à une offre payante.

8. Souscription à une offre payante

La souscription à une offre payante peut être effectuée : en libre-service via l'Interface de Service (notamment pour les offres en libre-service) ; ou via les équipes commerciales de MyTraffic, selon le package sélectionné et les conditions commerciales convenues.

GINI – Privacy & Data Use Notice

MyTraffic SAS
Version 2.0 | March 2026 | Replaces Draft v1.0 of January 2026

This Notice is published to GINI users in accordance with Articles 13 and 14 of Regulation (EU) 2016/679 (GDPR). It replaces Draft v1.0 of January 2026 in its entirety. In the event of any conflict with MyTraffic's general Privacy Policy, this Notice prevails with respect to GINI.

1. Purpose and Scope

This Privacy & Data Use Notice (the "GINI Privacy Notice") provides clear, precise and transparent information regarding the processing of personal data carried out in connection with the use of GINI, MyTraffic's AI-powered conversational assistant, in accordance with Articles 13 and 14 GDPR.

This GINI Privacy Notice must be read in conjunction with:

  • the MyTraffic Global Privacy Policy (Politique de Gestion des Données Personnelles);
  • the GINI Terms of Service;
  • where applicable, the Data Processing Agreement (DPA) entered into with professional customers.

In the event of inconsistency, the GINI Terms of Service and the applicable DPA prevail for matters relating to GINI. This Notice applies solely to GINI and does not replace MyTraffic's general privacy documentation applicable to other products and services.

2. Data Controller and Contact

MyTraffic SAS, a French société par actions simplifiée, having its registered office at 12 rue Vivienne (Lot 3), 75002 Paris, France, registered under number 814 849 113 RCS Paris, acts:

  • as data controller for technical and security-related processing operations related to GINI (notably logs, access management, abuse prevention, and compliance obligations);
  • as data processor within the meaning of Article 28 GDPR when processing personal data contained in Customer Content on behalf of its professional customers.

For any question relating to data protection:

Data Controller Table
Field Details
Data Controller MyTraffic SAS — 12 rue Vivienne, 75002 Paris, France
Privacy contact privacy@mytraffic.fr
DPO Yaël COHEN-HADRIA — Yael.Cohen.Hadria@ey-avocats.com

3. Description of the GINI Service

GINI is a web-based AI conversational service that enables authorised users to:

  • submit questions or instructions in natural language ("Prompts");
  • upload documents or datasets ("Customer Documents");
  • receive AI-generated responses, analyses or recommendations ("Outputs").

GINI operates under human supervision. Users remain solely responsible for verifying Outputs before using them in any professional or decision-making context.

GINI does not perform autonomous or automated decision-making within the meaning of Article 22 GDPR. Outputs are probabilistic by nature and do not constitute professional, legal, financial or strategic advice.

4. Categories of Personal Data Processed

4.1 Customer Content

Depending on how GINI is used, MyTraffic may process the following categories of data on behalf of customers:

  • text-based prompts submitted by users;
  • documents, files or datasets uploaded by users;
  • contextual information included by users in the course of their interaction with GINI.

Customer Content may, at the sole initiative and responsibility of the customer or its authorised users, contain personal data.

4.2 Technical and Usage Data

In connection with the use of GINI, MyTraffic processes certain technical data including:

  • user identifiers and account references (pseudonymised);
  • timestamps of interactions;
  • identifiers of the AI model and service version used;
  • technical logs strictly for traceability, security and compliance purposes.

4.3 Excluded Data — Special Categories

GINI is not intended to process special categories of personal data within the meaning of Article 9 GDPR (health data, political opinions, religious beliefs, etc.). Users are expressly instructed not to submit sensitive personal data through GINI. An Acceptable Use Policy (AUP) governs permitted use.

4.4 Inference Data

In the course of generating Outputs, temporary intermediate data (inference data), which may include elements derived from Customer Content, is processed transiently by the AI model. This data is not stored, not used to train or improve AI models, and is automatically discarded once the Output has been generated. MyTraffic does not make any representation that such intermediate data is free of personal data, as its content depends on what is included in the original prompt or uploaded documents.

5. Purposes of Processing

Personal data processed in connection with GINI are processed exclusively for the following purposes:

  • provision and operation of the GINI service;
  • generation of AI-based outputs at the request of users;
  • security, monitoring, abuse prevention and fraud detection;
  • compliance with legal and regulatory obligations, including the EU Artificial Intelligence Act;
  • incident management, troubleshooting and internal service improvement, including the use of anonymised or pseudonymised conversation examples to improve GINI's prompt engineering and response quality (without training external AI models on Customer Content);
  • AI system supervision and audit trail maintenance in accordance with CNIL recommendations.

6. Legal Bases for Processing

The following table sets out the legal basis applicable to each processing operation carried out by MyTraffic as data controller:

Legal Basis Table
Processing Operation Legal Basis Justification
Transmission of prompts to AI models to generate Outputs Art. 6(1)(b) Contract Processing is necessary for the performance of the GINI service contract with the Customer.
Security logs, access management, abuse prevention Art. 6(1)(f) Legitimate interests MyTraffic's legitimate interest in ensuring the security and integrity of the service. Interests do not override users' fundamental rights given the technical and pseudonymised nature of the data.
Usage analytics and product improvement (Mixpanel, Segment) Art. 6(1)(f) Legitimate interests MyTraffic's legitimate interest in improving service quality. Data is pseudonymised and limited to technical usage events.
AI monitoring and traceability (LangSmith) Art. 6(1)(f) Legitimate interests MyTraffic's legitimate interest in debugging, ensuring AI system reliability, and improving GINI's internal response quality.
LangSmith receives full prompt and output content for tracing and debugging purposes. Conversation examples may also be used internally (without external transmission) to improve GINI's prompt engineering. This constitutes a transfer of personal data to the United States. A Data Processing Agreement is in the process of being executed.

Retention: 15 days (base traces) on LangSmith. An internal extract may be retained for up to 12 months for service improvement purposes, accessible only to authorised Engineering personnel.
Compliance with legal obligations (GDPR, AI Act, CNIL) Art. 6(1)(c) Legal obligation Processing necessary to comply with applicable legal and regulatory obligations.
Phone validation for account security (Twilio) Art. 6(1)(b) Contract Processing is necessary to provide the account authentication feature requested by the user.

Where MyTraffic acts as a data processor, the legal basis for processing is determined by the Customer as data controller, as set out in the applicable DPA.

7. Use of AI Models and Third-Party Sub-Processors

GINI relies on AI models and APIs provided by third-party sub-processors acting as data processors within the meaning of Article 28 GDPR. These providers process personal data solely on documented instructions from MyTraffic, strictly to the extent necessary to generate Outputs, and are contractually prohibited from processing such data for any other purpose. Prompts, conversation history and, where applicable, uploaded documents are transmitted to these providers strictly to the extent necessary to generate Outputs.

The main sub-processors acting as data processors on MyTraffic's documented instructions in GINI's AI processing chain include:

  • OpenRouter — AI model routing layer currently being phased out (USA). Its usage is currently limited to specific non-core functions (conversation title generation, geocoding, and fallback models). MyTraffic is progressively migrating to direct API integrations with each model provider, with completion expected within 4 weeks. The DPA has not yet been signed — the associated risk is mitigated by the limited scope of use and the ongoing migration. We also intend to fully discontinue the use of OpenRouter and rely solely on direct integrations with our existing LLM providers.
  • Anthropic (Claude) — LLM model provider, called via direct API by GINI (USA) — 30-day retention of inputs and outputs on Anthropic's side — DPA in the process of being executed.
  • OpenAI (GPT-4) — LLM model provider, called via dual integration: direct API for RAG operations and knowledge base embeddings (USA) — 30-day retention for abuse monitoring logs — DPA signed 30/03/2026.
  • Mistral AI — downstream LLM model provider (France, EU).
  • LangSmith / LangChain — AI monitoring and traceability, receives full prompt and output content (USA) — DPA in process of being executed.
  • AWS Ireland (eu-west-1) — cloud hosting infrastructure (EU).
  • Supabase — authentication and login management.

The complete and up-to-date list of sub-processors is made available via MyTraffic's Trust Center. Customers are notified of any material changes to this list in accordance with Article 28 GDPR.

Technical safeguard: MyTraffic is progressively migrating away from OpenRouter towards direct API integrations with each model provider. OpenRouter usage is currently limited to non-core functions (conversation title generation, geocoding, fallback models) and is expected to be phased out within 4 weeks. For providers called directly, MyTraffic implements contractual safeguards including Data Processing Agreements with Standard Contractual Clauses. All transmissions are encrypted in transit (TLS 1.2 minimum). Customer Content is not used to train or improve external AI models.

Unless otherwise agreed in writing and in compliance with GDPR:

  • Customer Content is not used to train or improve the AI models of MyTraffic's sub-processors (Anthropic, OpenAI, or any other external LLM provider); MyTraffic may however use anonymised or pseudonymised conversation examples internally to improve GINI's own prompt engineering and response quality, without transmitting such data to any external model provider;
  • Customer Content is processed solely for the purpose of providing the GINI service.

8. International Data Transfers

GINI's primary hosting infrastructure is located within the European Economic Area (AWS Ireland, eu-west-1). However, the operation of GINI involves transmissions of data to providers located outside the EEA, in particular in the United States. The following providers receive personal data outside the EEA: Anthropic (USA — direct API, 30-day retention, DPA in negotiation), OpenAI (USA — direct API, 30-day abuse monitoring retention, DPA signed 30/03/2026), OpenRouter (USA — limited to non-core functions, currently being phased out, migration expected within 4 weeks), LangSmith / LangChain (USA — full prompt and output content, 15 days retention on platform, DPA signed 27/03/2026). GCP and AWS infrastructure is hosted within the EU (eu-west-1 / EU region) and does not involve transfers outside the EEA.

For all transfers outside the EEA, MyTraffic ensures that appropriate safeguards are in place in accordance with Articles 44 to 49 GDPR, including:

  • Standard Contractual Clauses (SCCs) adopted by the European Commission on 4 June 2021 (Decision 2021/914), Module 2 (controller to processor);
  • Transfer Impact Assessments (TIAs) conducted for each US-based provider;
  • technical supplementary measures including Zero Data Retention (ZDR) configuration where available and applicable, and end-to-end encryption.

9. Data Recipients

Personal data processed through GINI may be accessed, on a strictly need-to-know basis, by:

  • authorised MyTraffic personnel involved in service operation, security, and compliance;
  • third-party sub-processors providing hosting, infrastructure, AI model APIs, monitoring and authentication services strictly required to deliver GINI functionalities;
  • competent public authorities, where required by applicable law.

MyTraffic ensures that all recipients are bound by confidentiality obligations and appropriate data protection agreements.

10. Data Retention Periods

Personal data processed in connection with GINI are retained only for the period necessary to achieve the purposes described in this Notice. The applicable retention periods are as follows:

Data Retention Table
Data Category Retention Period Deletion Mechanism
Conversation history
(prompts & outputs)		 12 months (target) Maximum 12 months (target).
Currently subject to manual review process — automatic purge is in implementation.
Technical logs
(security, access, errors)		 15 – 90 days Automatic rotation and deletion by logging infrastructure.
Usage and analytics data 24 months Aggregated after 24 months — individual identifiers deleted.
Account and authentication data Duration of contract + legal retention obligations Deleted or returned upon contract termination per applicable DPA.
AI monitoring traces
(LangSmith)		 15 days on LangSmith Up to 12 months internal extract Automatic deletion by LangSmith after 15 days.
Internal extract deleted after 12 months — access restricted to authorised Engineering personnel.
Uploaded documents
(Customer Documents)		 Session duration or as specified in DPA Deleted at session end or upon customer request.

11. Rights of Data Subjects

Where personal data are processed, data subjects may exercise the following rights under the GDPR:

  • Right of access (Article 15) — obtain confirmation and a copy of personal data processed;
  • Right to rectification (Article 16) — request correction of inaccurate data;
  • Right to erasure (Article 17) — request deletion of personal data, subject to legal retention obligations;
  • Right to restriction of processing (Article 18) — request temporary suspension of processing;
  • Right to data portability (Article 20) — receive personal data in a structured, commonly used format;
  • Right to object (Article 21) — object to processing based on legitimate interests.

To exercise any of the above rights, please send a written request to: privacy@mytraffic.fr

MyTraffic will respond within one (1) month of receipt of the request, in accordance with Article 12 GDPR.

Where MyTraffic acts as data processor on behalf of a Customer, requests from data subjects will be forwarded to the relevant Customer acting as data controller, who remains responsible for responding.

12. Right to Lodge a Complaint with a Supervisory Authority

In accordance with Article 13(2)(d) GDPR, data subjects have the right to lodge a complaint with a competent supervisory authority if they consider that the processing of their personal data infringes applicable data protection law.

The competent supervisory authority for MyTraffic SAS is:

Supervisory Authority Table
Field Details
Authority Commission Nationale de l'Informatique et des Libertés (CNIL)
Address 3 Place de Fontenoy, 75007 Paris, France
Website www.cnil.fr

13. Security Measures

MyTraffic implements appropriate technical and organisational measures to ensure a level of security appropriate to the risks, in accordance with Article 32 GDPR, including:

  • access controls and multi-factor authentication (2FA) for all systems processing personal data;
  • encryption of data at rest and in transit (TLS 1.2 minimum);
  • secure hosting within the European Union (AWS Ireland, eu-west-1);
  • progressive migration away from third-party routing layer (OpenRouter) towards direct API integrations with each model provider, eliminating an intermediate data processor;
  • logging and monitoring of access to the service;
  • internal governance procedures and staff confidentiality obligations;
  • regular security reviews and incident response procedures.

14. AI-Specific Transparency — EU Artificial Intelligence Act

In accordance with Article 50 of the EU Artificial Intelligence Act and CNIL recommendations on generative AI systems, users of GINI are informed that:

  • they are interacting with an AI system;
  • Outputs are generated automatically by a large language model and may contain inaccuracies, hallucinations or biases;
  • Outputs must be reviewed and validated by a human before being used for any professional, legal, financial or strategic decision;
  • GINI does not generate decisions with legal or similarly significant effects within the meaning of Article 22 GDPR.

MyTraffic does not use Customer Content to train, fine-tune or improve the AI models of third-party providers, whether Anthropic, OpenAI, or any other external model provider. MyTraffic may however use anonymised or pseudonymised conversation examples internally to improve GINI's own response quality and prompt engineering, without sharing such data externally.

15. Updates to this Notice

This GINI Privacy Notice may be updated from time to time to reflect changes in the service, applicable legal requirements or regulatory guidance. The version number and date of last update are indicated at the top of this document.

The applicable version is the one published within the GINI interface and on MyTraffic's website at the time of use. In the event of a material update, MyTraffic will inform users through appropriate means (in-product notification or email).

16. Contact

For any question regarding this GINI Privacy Notice or the processing of personal data in connection with GINI:

MyTraffic Contact Table
Field Details
Controller MyTraffic SAS — 12 rue Vivienne (Lot 3), 75002 Paris, France
Privacy email privacy@mytraffic.fr
DPO Yaël COHEN-HADRIA — Yael.Cohen.Hadria@ey-avocats.com

Recevez toutes les dernières news de MyTraffic

Suivez-nous sur

Découvrez notre newsletter

Produits
Gini
DataLibrary
AudienceLabs
SmartMonitor
Des solutions
Retail
Restaurants
Immobilier
Franchises
Brokers
Supermarchés
Secteur public
Publicité
Opérateurs de bornes de recharge
Contenu
Etudes de marchéBlogClientèleÉvènementsAlternatives
L'entreprise
À propos de nousDossier de presseComment ça marcheRejoignez-nousContact

MyTraffic ©2024 - Tous droits réservés.

Conditions d'utilisationPolitique de confidentialité