Politique de confidentialité
Dernière mise à jour : 23/06/2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est DOM ENGINEERING, SAS, dont le siège social est situé au 26 rue du Tissage, 38230 Tignieu-Jameyzieu, France. SIREN : 999 391 675.
Contact : nous contacter
2. Données collectées
2.1 Données d'inscription
Lors de la création de votre compte via Clerk, nous collectons :
- Adresse email
- Nom et prénom (si fournis)
- Photo de profil (si fournie via OAuth)
2.2 Données d'utilisation
- Messages envoyés dans le chat (stockés pour l'historique de conversation)
- Documents uploadés (stockés sur Scaleway S3, France)
- Compteurs de tokens consommés (pour la facturation)
2.3 Données techniques
- Adresse IP (logs serveur, rétention 30 jours)
- User-Agent du navigateur
3. Finalités du traitement
- Fournir le service d'assistant IA (chat, recherche documentaire)
- Gérer votre compte, vos crédits et, le cas échéant, votre abonnement legacy
- Assurer la sécurité et la disponibilité du service
- Respecter nos obligations légales
4. Base légale
- Exécution du contrat : pour fournir le service que vous avez souscrit
- Intérêt légitime : pour la sécurité et l'amélioration du service
- Obligation légale : conservation des données de facturation
5. Sous-traitants
Vos données peuvent être traitées par les sous-traitants suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Clerk | Authentification | USA (Privacy Shield) |
| Anthropic | Modèle IA (chat) | USA |
| Voyage AI | Embeddings (indexation docs) | USA |
| Scaleway | Stockage fichiers (S3) | France (Paris) |
| Railway | Hébergement serveurs | USA |
| Stripe | Paiement | USA / Irlande |
Note : les documents que vous uploadez sont envoyés à Voyage AI uniquement pour générer les embeddings (vecteurs numériques). Ils ne sont pas stockés par Voyage AI. Les conversations sont envoyées à Anthropic pour générer les réponses mais ne sont pas utilisées pour entraîner les modèles (opt-out API).
6. Durée de conservation
- Données de compte : jusqu'à suppression du compte
- Documents uploadés : jusqu'à suppression par l'utilisateur ou fermeture du compte
- Historique de conversations : jusqu'à suppression par l'utilisateur ou fermeture du compte
- Données de facturation : 10 ans (obligation comptable française)
- Logs serveur : 30 jours
7. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données personnelles
- Rectification : corriger vos données inexactes
- Effacement : demander la suppression de vos données
- Limitation : restreindre le traitement de vos données
- Portabilité : recevoir vos données dans un format structuré
- Opposition : vous opposer au traitement de vos données
Pour exercer ces droits, utilisez notre formulaire de contact en précisant votre demande et en joignant une pièce d'identité. Nous répondrons dans un délai de 30 jours.
Vous pouvez également supprimer votre compte et toutes vos données directement depuis votre profil dans l'application.
8. Cookies
L'Atelier utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
- Cookies Clerk : session d'authentification (durée : session du navigateur)
- LocalStorage : préférence d'onboarding, thème (pas de données personnelles)
Aucun cookie de tracking publicitaire, aucun cookie tiers analytique (pas de Google Analytics, pas de Meta Pixel).
9. Sécurité
Nous mettons en oeuvre les mesures de sécurité suivantes :
- Chiffrement HTTPS (TLS 1.3) pour toutes les communications
- Chiffrement au repos des fichiers sur Scaleway S3
- Isolation multi-tenant (chaque utilisateur ne voit que ses données)
- Tokens JWT signés pour l'authentification
- Rate limiting sur les endpoints sensibles
10. Transferts hors UE
Certains sous-traitants sont situés aux États-Unis (Clerk, Anthropic, Voyage AI, Railway). Ces transferts sont encadrés par les clauses contractuelles types de la Commission Européenne et/ou le Data Privacy Framework (DPF).
11. Modifications
Cette politique peut être modifiée à tout moment. En cas de modification substantielle, vous serez notifié par email au moins 30 jours avant l'entrée en vigueur.
12. Contact & réclamation
Pour toute question : nous contacter
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr