MARVIN.AI ET LA PROTECTION DES DONNÉES

Cette page résume les engagements de MARVIN.AI en matière de protection des données pour les responsables de traitement (DPO, RSSI, équipes achats). Pour la politique applicable aux visiteurs de ce site vitrine, voir la politique de confidentialité. Pour les informations légales sur l'éditeur, voir les mentions légales.

Notre positionnement RGPD

Lorsque vous utilisez la plateforme MARVIN.AI dans le cadre d'un contrat, MARVIN.AI agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Vous restez responsable de traitement des données de vos collaborateurs et apprenants, et MARVIN.AI ne traite ces données que sur vos instructions et dans le cadre du contrat.

Aucune donnée sensible au sens de l'article 9 du RGPD n'est demandée par la plateforme.

Notre Délégué à la Protection des Données

MARVIN.AI a désigné un DPO dédié, joignable à dpo@ask-marvin.ai. Il est l'interlocuteur privilégié de votre DPO, des personnes concernées et, le cas échéant, de la CNIL.

Hébergement et localisation des données

Les données client sont hébergées en France, sur l'infrastructure OVHcloud (datacenters certifiés ISO 27001), et de manière complémentaire en Union européenne (région Paris) pour les services managés de l'application. Aucune donnée client n'est stockée durablement hors UE.

Sous-traitants ultérieurs

Pour fournir le service, MARVIN.AI s'appuie sur un nombre limité de sous-traitants ultérieurs, organisés par catégories :

Infrastructure et hébergement (UE) ;
Modèles d'intelligence artificielle conversationnelle (transcription, génération de texte, synthèse vocale) avec clauses de non-réutilisation des données pour l'entraînement ;
Acheminement des courriels transactionnels ;
Outils internes de bureautique et de productivité.

La liste nominative complète des sous-traitants ultérieurs, leur rôle, leur localisation et les garanties applicables est communiquée au client dans le cadre de l'accord de protection des données (DPA). Toute évolution est notifiée au client conformément à l'article 28.2 du RGPD, avec droit d'opposition.

Transferts hors Union européenne

Lorsqu'un sous-traitant est établi hors UE, le transfert est encadré par :

les clauses contractuelles types de la Commission européenne (décision 2021/914) ;
l'adhésion du sous-traitant au Data Privacy Framework UE–États-Unis le cas échéant ;
des mesures techniques complémentaires (chiffrement TLS, contrôles d'accès, journalisation, clauses de zéro rétention pour les modèles d'IA).

Une analyse d'impact des transferts (TIA) conforme aux recommandations EDPB / Schrems II a été réalisée et est partagée sur demande.

Sécurité

MARVIN.AI met en œuvre les mesures de sécurité techniques et organisationnelles attendues d'un éditeur SaaS B2B :

chiffrement TLS 1.2 / 1.3 en transit ;
chiffrement au repos sur les bases de données managées ;
comptes nominatifs, authentification forte, RBAC et cloisonnement par client ;
traçabilité complète des actions sur les données (identité, IP, horodatage), conservation 6 mois ;
supervision 24/7, anti-DDoS, anti-bot, durcissement réseau ;
procédure d'incident en 5 étapes, notification client sous 24 heures et CNIL sous 72 heures ;
sauvegardes quotidiennes, RPO 24 h, plan de reprise documenté.

L'équipe technique opère depuis la France.

Données traitées et durées de conservation

Données d'identification et de suivi — durée du contrat, puis 24 mois maximum, suivis d'une anonymisation irréversible.
Données générées par les agents IA (audio, transcripts) — durée courte, alignée sur le besoin métier.
Restitutions et rapports analytiques — durée définie contractuellement.

Les durées précises figurent dans le DPA et la politique de protection des données.

Droits des personnes concernées

En tant que sous-traitant, MARVIN.AI relaie au responsable de traitement (le client) toute demande d'exercice de droits émise par une personne concernée et assiste le client dans la réponse, conformément à l'article 28.3.e du RGPD : accès, rectification, effacement, limitation, portabilité, opposition.

Toute demande peut être transmise à dpo@ask-marvin.ai.

Documentation disponible

Sur demande, dans le cadre d'une démarche commerciale ou contractuelle, MARVIN.AI met à disposition :

la politique de protection des données publiable ;
le modèle de DPA (article 28 du RGPD) ;
l'analyse d'impact (AIPD) réalisée sur les traitements à risque (article 35) ;
l'analyse des transferts hors UE (TIA) conforme à Schrems II ;
les réponses aux principaux questionnaires sécurité et data privacy.

Audits et conformité

MARVIN.AI n'est pas soumise au CLOUD Act ou au FISA américain (entité française).
Les pentests menés par les clients sont acceptés dans un cadre coordonné.
Les certifications éventuelles des sous-traitants d'infrastructure (ISO 27001, HDS le cas échéant) sont communiquées dans le DPA.
Aucune violation de données n'a été constatée sur les trois dernières années.

Contact

Toute question relative à la conformité RGPD de MARVIN.AI peut être adressée à dpo@ask-marvin.ai.

Dernière mise à jour : 8 mai 2026