RGPD + IA : comment on tient l'équation

Le RGPD a 8 ans. L'AI Act est entré en vigueur étagée sur 2024-2026. Faire une app IA qui traite des emails de dirigeants français, c'est se retrouver à la croisée des deux. Dans cet article, on explique l'architecture juridique de MailBoss comme si on le présentait au DPO d'un groupe qui s'apprête à signer un contrat. Pas de marketing, des articles de loi et des durées chiffrées.

Le défi juridique concret

Un email contient presque systématiquement des données personnelles (au sens art. 4.1 RGPD). Nom, prénom, adresse mail, contenu du message qui peut révéler santé, orientation, opinions politiques (données dites sensibles art. 9). Le traiter avec une IA, c'est un traitement automatisé qui peut produire des effets juridiques (catégorisation, routage, réponse auto) — donc ça déclenche art. 22 RGPD sur les décisions automatisées.

On a 4 questions à répondre publiquement : qui est responsable de traitement, qui est sous-traitant, où vont les données, combien de temps on les garde.

1. La responsabilité de traitement

Le client MailBoss est le responsable de traitement. C'est lui qui décide de connecter sa boîte mail à MailBoss, c'est lui qui définit les finalités (trier ses mails, répondre automatiquement à certaines catégories, résumer ses contacts).

MailBoss est sous-traitant au sens art. 28 RGPD. On signe un DPA (Data Processing Agreement) standard basé sur les clauses contractuelles types de la Commission européenne (décision 2021/915). Tu peux demander une copie du DPA type à dpo@mailboss.app, on t'envoie dans la journée.

2. La chaîne de sous-traitance

C'est ici que la transparence devient cruciale. MailBoss fait appel à des sous-traitants ultérieurs (art. 28.4). Voici la liste complète, régulièrement mise à jour.

• OVHcloud SAS (Roubaix, France). Hébergement serveurs, stockage persistant, base de données Postgres. 100 % des données au repos sont ici.
• Anthropic, PBC (Californie, USA). Appels LLM pour la classification et la génération de brouillons. Traitement éphémère (secondes), sans rétention, avec mode Zero Data Retention activé sur notre contrat entreprise. Transfert encadré par clauses contractuelles types 2021 + mesures complémentaires (chiffrement en transit TLS 1.3, pseudonymisation des noms quand possible).
• Voyage AI (Californie, USA). Générations d'embeddings pour la recherche et la classification. Mêmes clauses, même durée éphémère, pas de stockage côté Voyage selon leur DPA signé.
• Resend (Delaware, USA). Envoi d'emails transactionnels et newsletter. Stockage limité à 72h côté Resend.
• Sentry (Hollande, UE). Monitoring d'erreurs. On a activé le data scrubbing pour masquer tout contenu sensible. Datacenter Frankfurt.
• Grafana Cloud EU (Allemagne). Métriques et logs techniques. Aucune donnée personnelle de contenu ne transite ici.

Tu peux t'opposer à un nouveau sous-traitant ultérieur dans un délai de 30 jours après notification (art. 28.2). On t'envoie un email à chaque changement de cette liste.

3. Où vont physiquement les données

On distingue 4 catégories de données, parce qu'elles ne vivent pas au même endroit ni le même temps.

A. Les données d'identification du compte MailBoss

Email, nom, mot de passe hashé, préférences UI. Stockées chez OVH Roubaix. Conservées tant que le compte est actif. Supprimées 30 jours après fermeture.

B. Les tokens OAuth Gmail / Outlook

Chiffrés avec une clé AES-256 spécifique au compte, stockés chez OVH. On ne peut pas les exporter depuis la base sans la clé. Révoqués instantanément sur demande.

C. Les métadonnées et classifications

Pour chaque mail traité, on stocke : expéditeur, destinataires, date, objet, catégorie attribuée, résultat des règles d'automation.On ne stocke PAS le corps du mail ni les pièces jointes. Ils sont lus en streaming depuis Gmail/Outlook au moment de l'analyse, puis jetés. Tu gardes la main complète sur ton content mail de ton côté.

D. Les appels LLM

Le corps du mail part chez Anthropic (Zero Data Retention) pour classification. Durée de traitement : 0,5 à 3 secondes. Anthropic s'engage contractuellement à ne pas conserver, à ne pas réentraîner, à ne pas logguer. On surveille côté MailBoss qu'aucune requête ne revient — si ça arrivait, ça sortirait en alerte.

4. Les durées de conservation, chiffrées

• Métadonnées et classifications : 13 mois glissants après la date de réception. C'est la durée de conservation maximale pour du reporting business interne.
• Données d'identification : durée du compte + 30 jours après suppression.
• Logs techniques (IP, user-agent) : 90 jours.
• Logs d'accès des admins MailBoss : 365 jours (exigence de traçabilité SOC 2 friendly).
• Factures et comptabilité : 10 ans (obligation légale française).

5. Les droits des personnes concernées

Tous les droits RGPD (art. 15 à 22) sont disponibles depuis l'app MailBoss, sans avoir à ouvrir un ticket.

• Accès (art. 15). Export JSON complet de toutes tes données, téléchargeable depuis Paramètres → Confidentialité. Délai : immédiat.
• Rectification (art. 16). Tu modifies toi-même les champs dans l'UI.
• Effacement (art. 17). Un bouton « Supprimer mon compte » qui déclenche la suppression cascade dans les 30 jours. Sur OVH en temps réel, chez Anthropic et Voyage rien à supprimer puisque pas de rétention.
• Portabilité (art. 20). Export JSON standardisé.
• Opposition (art. 21). Tu peux désactiver n'importe quelle automation depuis Paramètres.
• Décision automatisée (art. 22). Toute réponse automatique inclut un lien de retrait visible. Tu peux désactiver l'auto-réponse globalement.

6. L'AI Act, ce qu'on en retient

L'AI Act classe MailBoss en système d'IA à risque limité (art. 50 du règlement 2024/1689). Obligations principales :

1. Transparence. L'utilisateur doit savoir qu'il interagit avec un système d'IA. On affiche « Brouillon généré par IA » dans chaque brouillon proposé.
2. Marquage du contenu généré. Nos brouillons envoyés contiennent un entête interne technique qui permet de tracer qu'ils sont passés par un LLM, accessible en debug.
3. Gouvernance des données d'entraînement. On n'entraîne aucun modèle, donc cette obligation ne s'applique pas. On utilise des LLMs tiers entraînés chez Anthropic, qui publient leur politique.

7. L'audit

Pour un client ETI ou grand compte, on accepte les audits techniques sur devis. Accès en lecture seule à nos logs d'opérations, revue de notre registre de traitements, test de notre processus de droit d'effacement. Budget : 2 jours-homme de notre côté.

Conclusion

RGPD + IA, ce n'est pas un conflit. C'est une contrainte bien définie qui demande une architecture pensée dès le jour 1. Chez MailBoss, les trois choix structurants (hébergement OVH, Zero Data Retention Anthropic, pas de stockage du corps des mails) découlent directement de cette réflexion.

Notre page Sécurité est maintenue à jour avec la liste complète des sous-traitants et les durées. Les conditions d'abonnement incluent un DPA signable électroniquement. Pour toute question, dpo@mailboss.app.