Cadre Gouvernance IA & RGPD : LeadROJO

Statut du document : Final (Version Lancement 2026)

Entité : LeadROJO (Costa del Sol, Espagne)

1. Gouvernance et identité d'entreprise

LeadROJO est une dénomination commerciale de LeadROJO. Nous opérons sous un mandat « Privacy by Design », garantissant que toute automatisation IA pour le marché immobilier espagnol respecte :

• RGPD UE (Règlement 2016/679)
• LOPDGDD espagnole (Loi Organique 3/2018)
• EU AI Act 2024/2026 (exigences de transparence et de risque)

2. Autorité de contrôle

LeadROJO est établie en Espagne. L'autorité de contrôle compétente pour nos activités de traitement est l'Agence Espagnole de Protection des Données (AEPD), dont le siège est à Madrid.

• Autorité principale : AEPD (https://www.aepd.es)
• Juridiction principale : Espagne

3. La logique de « Transparence IA » (EU AI Act & Art. 13 RGPD)

Conformément à l'EU AI Act (2026) et à l'Article 13 du RGPD, nous fournissons une divulgation complète concernant les systèmes automatisés utilisés :

• Divulgation algorithmique : Nous utilisons des Large Language Models (LLMs) pour qualifier les leads selon l'intention, le budget et la localisation.
• Pas de décisions automatisées à haut risque : Notre IA ne prend pas de décisions produisant des effets juridiques (par exemple, scoring de crédit ou refus locatif). Elle produit un Score de Qualification et un résumé pour la revue de l'Agence.
• Exigence « Human-in-the-Loop » : Notre architecture technique empêche l'IA de signer des contrats ou de faire des offres contraignantes. Toutes les actions immobilières finales doivent être déclenchées par un utilisateur humain vérifié de l'Agence.

4. Transferts internationaux et souveraineté des données

Nous appliquons une approche de souveraineté à plusieurs niveaux :

1. Résidence des données : Toutes les Données Leads et l'historique des conversations sont stockés au repos dans la région AWS eu-central-1 (Frankfurt).
2. Traitement transitoire : Pour la qualification IA, les données peuvent transiter par des APIs IA hors EEE (OpenAI, Anthropic, etc.). Ces flux sont protégés par des accords de Zero Data Retention (ZDR) et les Clauses Contractuelles Types de 2021, garantissant que les données des citoyens de l'UE ne sont jamais utilisées pour entraîner les modèles fondamentaux.
3. Registre des sous-traitants : Une liste à jour des sous-traitants (et de leurs régions d'hébergement) est disponible sur demande pour tous les clients Agence.

5. Droits Numériques Espagnols (ARCO-POL+)

Au-delà des droits standards du RGPD, nous proposons des outils spécifiques pour les « Droits Numériques » espagnols (LOPDGDD) :

• Droit à l'intervention humaine : Les Leads peuvent déclencher une commande « Bypass AI » à tout moment pour parler à un agent humain.
• Droit à l'effacement (ARCO) : Nous fournissons un toggle « Droit à l'oubli » en un clic dans le tableau de bord Agence pour supprimer les enregistrements de leads dans les journaux WhatsApp et bases de données.
• Droit à la déconnexion : La plateforme prend en charge la mise en pause aux heures de bureau pour se conformer à la législation espagnole du travail concernant la déconnexion numérique.

6. Sécurité et supervision technique

• Chiffrement : TLS 1.3 pour les données en mouvement et AES-256 pour les données au repos.
• Auditabilité : Nous maintenons un ROPA (Registre des Activités de Traitement) pour chaque client, documentant le cycle de vie des données du Meta Lead Ad à la Qualification IA.
• Protocole de violation : En cas d'incident, LeadROJO notifiera le Responsable (l'Agence) dans un délai de 48 heures, facilitant son obligation de notification de 72 heures à l'AEPD.