Politique de Confidentialité

Dernière mise à jour : 22 janvier 2025 • Conforme RGPD (EU 2016/679)

1. Données collectées

1.1 Données d'identification

  • Email : Requis pour création de compte (NextAuth.js)
  • Nom : Optionnel, fourni via OAuth (Google, GitHub)
  • Photo de profil : Optionnelle, via OAuth

1.2 Données de projet

  • Descriptions d'idées : Textes fournis par vous pour analyse
  • Artéfacts générés : Spécifications, personas, analyses concurrentielles, moodboards, etc.
  • Historique de projets : Sessions sauvegardées dans Vercel KV

1.3 Données techniques

  • Logs d'utilisation : Actions effectuées, temps de génération, erreurs
  • Adresse IP : Pour sécurité et prévention abus
  • User-Agent : Navigateur, appareil, système d'exploitation
  • Cookies : Session, préférences, analytics (voir section 6)

2. Utilisation des données

Nous utilisons vos données exclusivement pour :

  • Fournir le Service : Génération de specs, personas, analyses via IA (OpenAI GPT-5.1, Perplexity)
  • Amélioration du produit : Analyse anonymisée des patterns d'utilisation pour améliorer les prompts IA
  • Support client : Répondre à vos questions et résoudre problèmes techniques
  • Facturation : Gestion abonnements, paiements via Stripe
  • Communications : Emails transactionnels (confirmations, alertes crédits), newsletters (opt-in)
  • Sécurité : Détection fraude, prévention abus, modération contenu

❌ Nous ne vendons JAMAIS vos données à des tiers.

3. Stockage et sécurité

3.1 Infrastructure

  • Hébergement : Vercel Edge Network (SOC 2 Type II certified)
  • Base de données : Vercel KV (Redis, chiffrement at-rest AES-256)
  • Fichiers : Vercel Blob Storage (chiffrement at-rest)
  • Localisation : Serveurs UE/US (conformité GDPR)

3.2 Mesures de sécurité

  • Chiffrement en transit : TLS 1.3 (HTTPS only)
  • Chiffrement au repos : AES-256 pour toutes les données stockées
  • Authentification : NextAuth.js avec session tokens sécurisés
  • Accès limité : Principe du moindre privilège (seuls admins autorisés)
  • Audits réguliers : Scans vulnérabilités, monitoring 24/7

3.3 Durée de conservation

  • Compte actif : Données conservées tant que compte existe
  • Compte inactif : Suppression après 24 mois d'inactivité (email de notification 30j avant)
  • Compte supprimé : Données effacées sous 30 jours (logs anonymisés conservés 12 mois pour sécurité)

4. Partage avec des tiers

Vos données sont partagées UNIQUEMENT avec les services tiers essentiels au fonctionnement de CharliA :

OpenAI (GPT-5.1, GPT-5-mini)

Données envoyées : Descriptions de projets, contexte pour génération IA
Finalité : Génération specs, personas, analyses
Politique : OpenAI Privacy Policy
Anonymisation : Aucun identifiant personnel envoyé (email, nom exclus)

Perplexity AI (Sonar)

Données envoyées : Requêtes de recherche marché (anonymisées)
Finalité : Recherche données TAM/SAM/SOM, concurrents
Politique : Perplexity Privacy Policy

Stripe (Paiements)

Données envoyées : Email, informations paiement
Finalité : Traitement paiements sécurisés
Certification : PCI DSS Level 1 (plus haut niveau sécurité)
Politique : Stripe Privacy Policy

Vercel (Infrastructure)

Données hébergées : Tous les artéfacts, sessions, projets
Certification : SOC 2 Type II, ISO 27001, GDPR compliant
Politique : Vercel Privacy Policy

Aucune autre donnée n'est partagée avec des tiers (marketing, analytics, partenaires). Nous ne faisons pas de publicité ciblée.

5. Vos droits (RGPD)

Conformément au RGPD (Règlement UE 2016/679), vous disposez des droits suivants :

✅ Droit d'accès

Obtenir une copie de toutes vos données personnelles (export JSON disponible dans Settings)

✏️ Droit de rectification

Corriger ou mettre à jour vos données (email, nom, préférences)

🗑️ Droit à l'effacement

Supprimer définitivement votre compte et toutes vos données (bouton dans Settings → Danger Zone)

⛔ Droit à la limitation

Suspendre temporairement le traitement de vos données

📤 Droit à la portabilité

Exporter vos données dans un format structuré (JSON, CSV)

🚫 Droit d'opposition

Vous opposer au traitement de vos données (ex: newsletters marketing)

Pour exercer ces droits, contactez-nous à privacy@charlia.ai. Nous répondons sous 72 heures maximum.

6. Cookies et tracking

6.1 Cookies essentiels (obligatoires)

  • next-auth.session-token : Authentification utilisateur (7 jours)
  • next-auth.csrf-token : Protection CSRF (session)

6.2 Cookies fonctionnels (opt-out possible)

  • theme : Préférence dark/light mode (365 jours)
  • language : Langue préférée (365 jours)

6.3 Analytics (opt-in uniquement)

Nous n'utilisons aucun tracking par défaut (pas de Google Analytics, Facebook Pixel, etc.). Si vous acceptez explicitement, nous pouvons activer :

  • Analytics basiques (pages vues, temps session) - anonymisé
  • Opt-in via banner lors de première visite

7. Transferts internationaux

Certains de nos sous-traitants sont basés hors UE (OpenAI, Vercel US). Ces transferts sont encadrés par :

  • Clauses Contractuelles Types (CCT) approuvées par Commission Européenne
  • Privacy Shield successors : Mécanismes conformes GDPR
  • Anonymisation : Identifiants personnels retirés avant envoi IA

8. Modifications de la politique

Nous pouvons modifier cette politique de confidentialité. Les changements seront notifiés par email 30 jours avant prise d'effet. Continuer à utiliser le Service après cette période constitue votre acceptation des modifications.

9. Contact DPO

Pour toute question concernant vos données personnelles, contactez notre Délégué à la Protection des Données (DPO) :

  • • Email : dpo@charlia.ai
  • • Adresse : CharliA SAS, Marseille, France

Vous pouvez également déposer une plainte auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que vos droits ne sont pas respectés.