Politique de confidentialite
La presente politique decrit la maniere dont PolyChat (ci-apres "le Service") collecte, utilise et protege les donnees personnelles de ses utilisateurs, dans le respect du Reglement (UE) 2016/679 (RGPD) et de la loi Informatique et Libertes modifiee.
1. Responsable du traitement
Le responsable du traitement des donnees est l'editeur du Service PolyChat. Pour les coordonnees completes, voir les mentions legales.
Pour toute question relative a la protection des donnees, contact : contact@polychat.duckdns.org.
2. Donnees collectees
2.1. Donnees fournies par l'utilisateur
- Adresse email (obligatoire)
- Mot de passe (stocke sous forme de hash bcrypt, jamais en clair)
- Nom complet (optionnel)
- Contenu des conversations, prompts et fichiers televerses
- Preferences d'utilisation (theme, modeles favoris, assistants personnalises)
2.2. Donnees collectees automatiquement
- Adresse IP, date et heure des connexions
- User-agent (navigateur, systeme d'exploitation)
- Logs techniques (erreurs, requetes API)
- Statistiques d'usage (nombre de credits consommes, modeles utilises)
2.3. Donnees de paiement
Les paiements sont traites exclusivement par Stripe. PolyChat ne stocke aucune donnee bancaire. Stripe nous transmet uniquement un identifiant de transaction et le statut du paiement.
3. Finalites et bases legales
| Finalite | Base legale | Donnees concernees |
|---|---|---|
| Creation et gestion du compte | Execution du contrat | Email, mot de passe, nom |
| Fourniture du service de chat IA | Execution du contrat | Prompts, conversations, fichiers |
| Facturation et achat de credits | Execution du contrat / obligation legale | Identifiants Stripe, historique d'achats |
| Securite, prevention de la fraude | Interet legitime | IP, logs, user-agent |
| Amelioration du Service (statistiques anonymisees) | Interet legitime | Statistiques d'usage agregees |
| Communications de service (incidents, mises a jour) | Execution du contrat |
4. Duree de conservation
- Compte utilisateur : conserve tant que le compte est actif. Apres suppression du compte, anonymisation sous 30 jours.
- Conversations : conservees tant que l'utilisateur ne les supprime pas. Suppression definitive sous 30 jours apres demande.
- Fichiers televerses : conserves tant que la conversation associee existe.
- Logs techniques : 12 mois maximum.
- Donnees de facturation : 10 ans (obligation comptable et fiscale).
5. Destinataires et sous-traitants
Vos donnees ne sont jamais vendues ni cedees a des tiers a des fins commerciales. Elles sont communiquees uniquement aux sous-traitants suivants, dans la limite des finalites enumerees ci-dessus :
| Sous-traitant | Role | Localisation |
|---|---|---|
| OpenRouter (et fournisseurs LLM en aval : OpenAI, Anthropic, Google, etc.) | Execution des requetes vers les modeles d'IA | Etats-Unis (clauses contractuelles types) |
| Stripe Payments Europe | Traitement des paiements | Irlande (UE) |
| Scaleway / Hebergeur VPS | Hebergement de l'application et de la base de donnees | France (UE) |
| Service d'envoi d'emails transactionnels | Verification email, reinitialisation mot de passe | UE |
6. Transferts hors UE
Lorsque vous utilisez un modele heberge hors Union europeenne (notamment via OpenRouter qui peut router vos prompts vers des fournisseurs aux Etats-Unis), un transfert de donnees hors UE peut avoir lieu. Ces transferts sont encadres par les Clauses Contractuelles Types adoptees par la Commission europeenne (decision 2021/914) ou par d'autres mecanismes prevus par le RGPD.
Vous pouvez choisir de n'utiliser que des modeles europeens (Mistral notamment). Cette option est disponible dans les preferences de votre compte.
7. Vos droits
Conformement au RGPD, vous disposez des droits suivants :
- Droit d'acces : obtenir une copie des donnees vous concernant.
- Droit de rectification : corriger des donnees inexactes ou incompletes.
- Droit a l'effacement : faire supprimer vos donnees ("droit a l'oubli").
- Droit a la limitation : restreindre temporairement le traitement.
- Droit a la portabilite : recuperer vos donnees dans un format structure (JSON).
- Droit d'opposition : vous opposer au traitement fonde sur l'interet legitime.
- Droit de retirer votre consentement a tout moment, sans affecter la liceite des traitements anterieurs.
- Droit de definir des directives post-mortem sur le sort de vos donnees.
Pour exercer ces droits, ecrivez a contact@polychat.duckdns.org en joignant une copie d'un justificatif d'identite. Une reponse vous sera apportee dans un delai d'un mois.
Vous disposez egalement du droit d'introduire une reclamation aupres de la CNIL (www.cnil.fr).
8. Cookies et traceurs
PolyChat utilise uniquement des cookies et stockages locaux strictement necessaires au fonctionnement du Service :
- Cookie/jeton d'authentification (localStorage :
polychat_token) : conserve la session utilisateur. Duree : 30 jours. - Preferences d'interface (localStorage :
polychat_theme,polychat_consentement_cookies) : conservation du theme et du choix de consentement.
Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers (Google Analytics, Meta Pixel, etc.) n'est utilise. Conformement a l'article 82 de la loi Informatique et Libertes, les cookies strictement necessaires ne necessitent pas de consentement prealable, mais une information est fournie via le bandeau d'information.
9. Securite
L'editeur met en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees : chiffrement TLS des communications, hashage bcrypt des mots de passe, jetons JWT signes, sauvegardes regulieres, controle d'acces. En cas de violation de donnees susceptible de presenter un risque pour vos droits, vous serez informe conformement aux articles 33 et 34 du RGPD.
10. Contenus generes par l'IA et apprentissage
Vos prompts et fichiers televerses sont transmis aux fournisseurs LLM uniquement pour generer une reponse. PolyChat n'utilise pas vos contenus pour entrainer ses propres modeles. Les politiques de retention des fournisseurs LLM tiers (OpenAI, Anthropic, etc.) s'appliquent en complement et sont consultables sur leurs sites respectifs.
11. Modifications
La presente politique peut etre modifiee a tout moment pour refleter une evolution du Service ou de la reglementation. La version en vigueur est celle publiee sur la presente page, dont la date de mise a jour est indiquee en tete. En cas de modification substantielle, les utilisateurs sont informes par email ou notification.
- Pas de cookie publicitaire, pas de revente de donnees.
- Vos prompts ne servent pas a entrainer nos modeles.
- Vous pouvez supprimer votre compte et vos donnees a tout moment.
- Hebergement principal en France (UE), modeles IA potentiellement hors UE (clauses contractuelles types).