← Retour au site

Politique de confidentialité

Dernière mise à jour : 24 mai 2026

1Qui nous sommes

Olvio est un agent de shopping IA pour les pages produit Shopify. Il est édité et exploité par :

Topicimes

3 Avenue René Laennec, 72000 Le Mans, France

SIRET : 90496525800018

Président : Louis Jodon de Villeroché

Contact : help@olvio.ai

Dans la présente politique, « Olvio », « nous » et « notre » désignent Topicimes agissant en qualité d'éditeur de l'application Shopify Olvio.

2Délégué à la protection des données

Topicimes a volontairement désigné un Délégué à la protection des données (DPO) chargé de veiller au respect de la présente politique et de la réglementation applicable en matière de protection des données :

Louis Jodon de Villeroché

Délégué à la protection des données, Topicimes

E-mail : help@olvio.ai

Vous pouvez contacter le Délégué à la protection des données à tout moment pour toute question relative à la présente politique, pour exercer vos droits ou pour signaler une préoccupation en matière de protection des données.

3Champ d'application de la présente politique

La présente politique décrit les données traitées lorsque l'application Shopify Olvio est installée sur la boutique Shopify d'un Marchand, lorsque des Acheteurs interagissent avec le widget Olvio sur la vitrine du Marchand, et lorsque des visiteurs consultent les pages publiques d'Olvio sur olvio.ai.

Trois catégories d'utilisateurs sont couvertes :

Marchands — propriétaires ou collaborateurs d'une boutique Shopify qui installent et configurent Olvio.
Acheteurs — visiteurs de la vitrine d'un Marchand susceptibles d'interagir avec le widget Olvio sur une page produit.
Visiteurs du site — visiteurs d'olvio.ai (pages de présentation, centre d'aide).

Olvio n'exige pas des Acheteurs qu'ils créent un compte, se connectent ou communiquent des informations personnelles. Le widget ne demande ni nom, ni e-mail, ni numéro de téléphone, ni adresse, et l'IA sous-jacente reçoit l'instruction de ne jamais solliciter ni conserver de telles informations.

4Notre rôle (Responsable de traitement et Sous-traitant)

Topicimes intervient à deux titres distincts au sens du RGPD, selon la catégorie de données :

Responsable de traitement — pour les données de compte du Marchand (identifiants Shopify, plan, configuration, identifiants chiffrés) et pour les journaux opérationnels strictement nécessaires au fonctionnement du service.
Sous-traitant (article 28 du RGPD) — pour les données d'interaction des Acheteurs traitées pour le compte du Marchand (conversations, événements widget, journaux de questions, attribution de commandes). Le Marchand demeure le Responsable de traitement pour cette catégorie et lui incombe d'informer les Acheteurs et de recueillir tout consentement nécessaire sur sa vitrine.

L'accord de traitement régissant les activités de sous-traitance est intégré à nos Conditions d'utilisation et contient l'ensemble des clauses requises par l'article 28(3) du RGPD. Un Accord de traitement des données (DPA) autonome est disponible sur demande à l'adresse help@olvio.ai.

5Informations que nous collectons et conservons

Olvio ne conserve que les données strictement nécessaires à la fourniture du service. Les sections ci-dessous énumèrent l'ensemble des catégories de données que nous conservons dans notre propre infrastructure.

5.1Données du Marchand

Lorsqu'un Marchand installe et configure Olvio, nous conservons :

Identifiants de la boutique — le domaine Shopify .myshopify.com, le domaine principal de la vitrine et le jeton d'accès délivré par Shopify.
Identifiants du fournisseur d'IA — la clé API que le Marchand fournit pour le fournisseur d'IA qu'il a choisi. Les clés sont chiffrées avec AES-GCM (256 bits) et cryptographiquement liées au domaine de la boutique en tant que données authentifiées additionnelles avant d'être inscrites dans notre base de données. Elles ne sont jamais réaffichées en clair.
Configuration du widget — couleurs, typographie, rayons de coins, CSS personnalisé, libellé, titre, image d'avatar et surcharges de traduction définis par le Marchand.
Contexte IA — la description de l'activité, les catégories de produits et les consignes de réponse saisis par le Marchand sur la page Configuration IA.
État de la facturation — plan en cours, identifiant Shopify AppSubscription, cadence de facturation (mensuelle / annuelle) et statut de la période d'essai.
Données de session — sessions d'authentification Shopify émises lors de l'OAuth, utilisées pour appeler l'Admin API pour le compte du Marchand. Supprimées automatiquement lors de la désinstallation de l'application.

5.2Données d'interaction des Acheteurs

Les données des Acheteurs sont toujours conservées sous un identifiant de session anonyme généré par le client. Nous ne collectons ni nom, ni e-mail, ni numéro de téléphone, ni adresse.

Identifiant de session anonyme — identifiant aléatoire généré localement par le widget et stocké dans le navigateur de l'Acheteur sous la clé « olvio_sid ». Utilisé pour corréler les événements widget et les conversations au sein d'une même session de shopping.
Événements widget — impressions, ouvertures, envois de messages, signaux d'ajout au panier, par produit et horodatage. Les événements de pré-engagement sont journalisés sans identifiant de session.
Conversations — la séquence des messages échangés entre l'Acheteur et Olvio sur une page produit, y compris le retour facultatif. Aucun champ permettant d'identifier l'Acheteur n'est conservé.
Journaux de questions — le texte de chaque question envoyée par un Acheteur, associé à la page produit et à un horodatage. Utilisé pour alimenter le tableau de bord analytique du Marchand (sujets récurrents).
Attribution de commandes — lorsqu'une commande Shopify est passée à la suite d'une session de chat, nous enregistrons l'identifiant de la commande, les identifiants produit des lignes d'articles, le total de la commande (en centimes), la devise et l'identifiant de session anonyme utilisé pour relier la commande à la conversation (sans lien avec une personne physique). Nous ne recevons ni ne conservons le nom, l'e-mail, le téléphone ou l'adresse de livraison de l'acheteur. Ces données proviennent du webhook orders/create de Shopify et sont filtrées à l'ingestion.

5.3Données du catalogue

Afin de répondre avec précision aux questions des Acheteurs, Olvio ingère le contenu du catalogue Shopify du Marchand :

Produits — titre, description (HTML et texte brut), fournisseur, type de produit, étiquettes, statut, plage de prix, devise, images, champs SEO, variantes, métachamps et collections.
Contenu de la boutique en ligne — pages publiques et articles de blog issus de la vitrine du Marchand.
Contenu des métachamps de type fichier — texte extrait des documents joints via le métachamp Shopify « custom.olvio_knowledge_file » (PDF, DOCX, XLSX).

Les données du catalogue sont ingérées lors de la première installation, maintenues à jour en temps réel via les webhooks Shopify (products/create, products/update, products/delete) et réconciliées chaque nuit.

5.4Données des visiteurs du site (olvio.ai)

Les visiteurs d'olvio.ai peuvent être soumis à des cookies analytiques et technologies similaires, signalés via une bannière de consentement aux cookies affichée à la première visite. Seuls les cookies strictement nécessaires au fonctionnement du site sont déposés avant le recueil du consentement. Tous les autres cookies (analytiques, marketing) ne sont chargés qu'après acceptation expresse par le visiteur.

5.5Sources des données

Nous collectons les données auprès des sources suivantes, conformément à l'article 14 du RGPD :

Directement auprès du Marchand — lors de l'installation d'Olvio, de la saisie des clés API et de la configuration du widget.
Auprès de Shopify — via OAuth, l'Admin API et les webhooks, sur autorisation accordée par le Marchand à l'installation.
Directement auprès des Acheteurs — via le widget sur la vitrine du Marchand, sous un identifiant de session anonyme.

6Données de catégories particulières

Olvio ne collecte, ne conserve ni ne traite de catégories particulières de données à caractère personnel au sens de l'article 9 du RGPD (santé, biométrie, génétique, opinions politiques, convictions religieuses, origine raciale ou ethnique, orientation sexuelle, appartenance syndicale).

Le prompt système de l'IA interdit explicitement aux Acheteurs de partager de telles informations et impose à l'IA de ne pas les répéter si elles sont communiquées par inadvertance. Les conversations sont conservées telles quelles ; nous recommandons aux Marchands d'informer leurs Acheteurs de ne pas partager d'informations personnelles sensibles dans le widget.

7Comment nous utilisons ces données

Fournir les fonctionnalités principales de l'application — affichage du widget de chat sur les pages produit, réponse aux questions des Acheteurs et recommandation de produits.
Exploiter l'administration marchand — affichage de l'état de synchronisation du catalogue, de l'historique des conversations, des analyses et de l'état de facturation.
Synchroniser avec Shopify — réagir en temps réel aux événements de création/mise à jour/suppression de produit, aux mises à jour d'abonnement à l'application et à la création de commandes.
Améliorer le service — agréger des signaux d'usage anonymes pour faire ressortir auprès du Marchand les sujets récurrents et les angles morts du catalogue.
Respecter les obligations légales — appliquer les webhooks de conformité RGPD de Shopify et nos obligations contractuelles en qualité de Sous-traitant.

Nous ne vendons pas de données personnelles. Nous n'utilisons pas les données des Acheteurs ni le contenu des conversations pour entraîner des modèles d'IA.

8Fournisseur d'IA (Anthropic, clé fournie par le Marchand)

Olvio fonctionne selon un modèle bring-your-own-key. Chaque Marchand fournit sa propre clé API Anthropic (modèles Claude) et la connecte pour alimenter le Service.

Lorsqu'un Acheteur envoie un message via le widget, le prompt et le contexte de conversation du Marchand sont acheminés depuis notre Worker vers le fournisseur d'IA choisi par le Marchand au moyen de sa propre clé API. Nous ne servons pas de relais à ces contenus, ne les réutilisons pas, ne les agrégeons pas et ne les utilisons pas à des fins d'entraînement. Nous n'entretenons aucune relation commerciale ou contractuelle avec le fournisseur d'IA pour le compte du Marchand — le Marchand dispose de son propre accord directement avec le fournisseur qu'il a sélectionné.

Le traitement, la conservation et le transfert international du prompt et de la réponse par le fournisseur d'IA sont régis par les conditions et la politique de confidentialité propres à ce fournisseur. Avant de saisir une clé API, les Marchands sont tenus d'examiner les pratiques en matière de données du fournisseur sélectionné.

Olvio conserve l'historique de la conversation (messages et horodatages) dans sa propre base de données comme décrit à la section 5.2, selon les règles de conservation de la section 11. Olvio ne conserve pas les charges utiles brutes des requêtes ou des réponses API au-delà de cet historique de conversation.

9AI Act de l'UE (règlement 2024/1689)

Olvio est un système d'intelligence artificielle au sens de l'article 3 de l'AI Act de l'UE. Topicimes et le Marchand exercent des responsabilités complémentaires en vertu de ce règlement :

Topicimes (fournisseur) — responsable de la conformité technique du système d'IA, de sa documentation et de sa mise à disposition en tant qu'outil sûr et conforme. Cela inclut le maintien d'une documentation technique, l'application d'une gestion des risques, la mise en œuvre de mécanismes de supervision humaine et la coopération avec les autorités de contrôle, selon les exigences applicables.
Marchand (déployeur) — responsable de l'utilisation du système sur sa vitrine, de la définition des finalités d'usage et de la conformité du déploiement aux réglementations applicables et à ses propres conditions d'utilisation.

Olvio est qualifié de système d'IA à risque limité au sens de l'AI Act. Conformément aux obligations de transparence de l'article 50, chaque interaction d'Acheteur avec le widget affiche l'avertissement « Olvio is an AI and can make mistakes » afin que les Acheteurs soient toujours informés qu'ils communiquent avec une IA et non avec un être humain. Cet avertissement est verrouillé et ne peut être retiré par les Marchands via la personnalisation du widget.

10Décision automatisée et profilage

Olvio utilise l'IA pour générer des recommandations de produits et des réponses contextuelles. Ces réponses sont informatives et ne constituent pas une décision automatisée produisant des effets juridiques ou significatifs comparables sur les Acheteurs au sens de l'article 22 du RGPD. Les Acheteurs restent à tout moment libres d'ajouter au panier, de poursuivre leur navigation, de partir ou d'ignorer toute recommandation.

Olvio ne construit pas de profils individuels d'Acheteurs entre les sessions ou entre les boutiques. Les conversations ne sont conservées par session que pendant la durée applicable au plan du Marchand (section 11).

11Durée de conservation des données

La conservation s'applique aux données liées aux conversations (conversations, journaux de questions, événements widget, attributions de commandes) et dépend du plan du Marchand. Les durées de conservation sont appliquées par suppression automatique et reflètent le principe de minimisation des données de l'article 5(1)(e) du RGPD :

Plan

Durée de conservation des données de conversation

Starter

30 jours à compter de l'horodatage de l'événement.

Growth

90 jours à compter de l'horodatage de l'événement.

Scale

365 jours à compter de l'horodatage de l'événement.

Custom

Négociée par contrat (par défaut, aucune purge automatique).

Une tâche planifiée quotidienne applique ces durées en supprimant les enregistrements antérieurs au seuil applicable. Les données du catalogue (produits, état de synchronisation) sont conservées pendant toute la durée d'installation de l'application.

Lorsqu'un Marchand désinstalle Olvio, Shopify délivre un webhook « shop/redact » environ 48 heures plus tard. À sa réception, nous supprimons définitivement l'ensemble des données associées à cette boutique dans notre base de données et notre index vectoriel : conversations, journaux de questions, événements widget, attributions de commandes, fichiers de connaissances, produits, embeddings et l'enregistrement de la boutique lui-même.

12Sous-traitants ultérieurs

Topicimes fait appel aux sous-traitants ultérieurs suivants pour fournir le service Olvio. Tous sont liés par des accords de traitement des données offrant des protections équivalentes à celles du RGPD, y compris, lorsque cela est requis, les Clauses Contractuelles Types de la Commission européenne du 4 juin 2021.

Fournisseur

Finalité

Localisation du stockage principal des données

Cloudflare, Inc.

Hébergement applicatif (Workers), base de données (D1), index vectoriel (Vectorize), cache de périphérie (KV), limitation de débit et embeddings (Workers AI).

Union européenne (région WEUR, Europe de l'Ouest). Le calcul de périphérie peut s'exécuter sur le centre de données Cloudflare le plus proche du demandeur.

Intercom R&D Unlimited Company

Messagerie de support intégrée à l'administration marchand d'Olvio.

Irlande (Union européenne).

Shopify Inc. est la plateforme de distribution d'applications sur laquelle Olvio fonctionne. Le Marchand dispose d'un accord direct avec Shopify pour sa boutique et accorde à Olvio un accès autorisé via OAuth. Shopify n'est pas un Sous-traitant ultérieur de Topicimes au sens de l'article 28 du RGPD.

Anthropic, le fournisseur d'IA connecté par le Marchand, n'est pas un Sous-traitant ultérieur de Topicimes. Il s'agit du Sous-traitant ultérieur propre au Marchand au titre de l'accord direct du Marchand avec Anthropic. Voir la section 8 pour le détail.

13Sécurité des données

Chiffrement en transit — l'ensemble du trafic à destination et en provenance du Worker Olvio utilise HTTPS/TLS.
Chiffrement au repos (secrets) — les clés API des fournisseurs d'IA sont chiffrées avec AES-GCM 256 bits avant inscription en base de données, avec le domaine de la boutique lié en tant que données authentifiées additionnelles afin que les chiffrés ne puissent être transposés d'une boutique à l'autre.
Isolation multi-tenant — chaque requête de base de données qui touche des données rattachées à une boutique est contrainte par l'identifiant de boutique. L'isolation est appliquée au niveau des requêtes, à chaque opération de lecture, de mise à jour et de suppression.
Limitation de débit et contrôles d'origine — les requêtes du widget sur la vitrine sont validées par rapport au domaine déclaré de la boutique. Des limites de débit par boutique protègent contre les abus.
Authentification des webhooks — chaque webhook Shopify est vérifié par HMAC avant toute écriture de données.
Principe du moindre privilège — Olvio ne demande à Shopify que les scopes OAuth read_products, read_orders, read_themes et read_locales.

14Incidents de sécurité et notification des violations

En cas de violation de données à caractère personnel, Topicimes notifiera les Marchands concernés sans retard injustifié et, lorsque cela est possible, au plus tard 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. La notification décrira la nature de la violation, les catégories et le nombre approximatif d'enregistrements concernés, les conséquences probables et les mesures prises ou proposées pour traiter l'incident.

Lorsqu'une violation est susceptible d'engendrer un risque élevé pour les Acheteurs, Topicimes assistera les Marchands dans la notification aux personnes concernées, comme l'exige l'article 34 du RGPD.

Pour signaler une violation présumée, contactez le Délégué à la protection des données à l'adresse help@olvio.ai.

15Cookies et stockage du navigateur

Olvio utilise le stockage du navigateur de manière ciblée et transparente :

Administration marchand et widget Acheteur — aucun cookie HTTP n'est déposé. Le widget utilise localStorage pour conserver un identifiant de session anonyme aléatoire (clé : olvio_sid) et sessionStorage pour mettre en cache l'état transitoire du chat et les suggestions de produits de la session en cours. Ni l'un ni l'autre ne sont utilisés pour du suivi inter-sites, et aucun script analytique ou publicitaire tiers n'est injecté sur les vitrines des Marchands.
Pages publiques olvio.ai — une bannière de consentement aux cookies est affichée aux visiteurs à leur première arrivée. Seuls les cookies strictement nécessaires au fonctionnement du site sont déposés avant le consentement. Les cookies analytiques et marketing ne sont chargés qu'après acceptation expresse par le visiteur via la bannière. Le consentement peut être retiré à tout moment.

16Transferts internationaux de données

Le stockage principal des données (Cloudflare D1, Vectorize, KV) est configuré pour résider dans la région Europe de l'Ouest. Les interactions de support via Intercom sont stockées dans l'Union européenne.

Le calcul de périphérie de Cloudflare peut traiter des requêtes depuis le centre de données le plus proche du demandeur ; un tel traitement de transit n'entraîne pas de stockage persistant hors de la région principale.

Les transferts de données à caractère personnel en dehors de l'Espace économique européen, lorsqu'ils ont lieu, s'appuient sur les Clauses Contractuelles Types approuvées par la Commission européenne le 4 juin 2021, complétées par des mesures techniques (chiffrement en transit et au repos pour les secrets) et par les engagements contractuels de chaque Sous-traitant ultérieur.

Les transferts vers les fournisseurs d'IA sélectionnés par le Marchand ne sont pas régis par la présente politique et relèvent de la responsabilité du Marchand et du fournisseur qu'il a choisi (voir section 8).

Si vous êtes situé dans l'Espace économique européen, au Royaume-Uni ou en Suisse, vous disposez des droits suivants concernant vos données à caractère personnel :

Droit d'accès aux données que nous détenons à votre sujet.
Droit de rectification des données inexactes ou incomplètes.
Droit à l'effacement (« droit à l'oubli ») dans les cas prévus par la loi.
Droit à la limitation du traitement.
Droit à la portabilité des données.
Droit d'opposition au traitement fondé sur l'intérêt légitime.
Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (voir section 10).
Droit d'introduire une réclamation auprès d'une autorité de contrôle. En France, l'autorité compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL, cnil.fr).

Acheteurs : dans la mesure où nous ne conservons pas d'informations identifiantes sur les Acheteurs, les demandes d'accès, de suppression ou de correction ne peuvent généralement pas être satisfaites sur une base individuelle. Les Acheteurs peuvent effacer toutes les données du widget sur leur appareil en vidant le localStorage et le sessionStorage de leur navigateur pour le domaine du Marchand.

Marchands : vous pouvez exercer vos droits en désinstallant Olvio (ce qui déclenche la suppression automatique via le webhook shop/redact de Shopify environ 48 heures plus tard) ou en contactant le Délégué à la protection des données à l'adresse help@olvio.ai. Nous répondons aux demandes dans un délai d'un mois à compter de leur réception, prolongeable une fois de deux mois supplémentaires pour les demandes complexes, avec notification.

18Vie privée des enfants

Olvio est un produit B2B destiné aux Marchands Shopify et à leurs Acheteurs. Il n'est pas destiné aux enfants de moins de 16 ans, et nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants. Si un Marchand exploite une vitrine ciblant des enfants, il lui appartient de se conformer à la législation applicable.

19Modifications de la présente politique

Nous pouvons mettre à jour la présente politique de temps à autre. La date de « Dernière mise à jour » figurant en haut du présent document reflète la révision la plus récente. Pour toute modification substantielle affectant les données des Marchands, nous en informerons les Marchands actifs via l'interface d'administration Olvio avant l'entrée en vigueur de la modification.

20Contact

Pour toute question relative à la présente politique ou à vos données à caractère personnel :