Vos données, traitées avec soin.
Comment Palabrix collecte, utilise, conserve et protège vos données personnelles, conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.
Modèle indicatif. À adapter à la réalité opérationnelle de l'éditeur (hébergeur réel, sous-traitants effectifs, durée de conservation précise) puis faire valider par un DPO ou un avocat spécialisé en données personnelles.
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via palabrix.app est l'éditeur du Service identifié sur la page mentions légales.
Adresse : À COMPLÉTER
Contact (demandes RGPD) : hello@palabrix.app
La désignation d'un Délégué à la protection des données (DPO) n'est pas obligatoire au regard du volume actuel de données traitées. Le cas échéant, ses coordonnées seront publiées ici.
2. Données collectées
2.1 Lors de la création d'un compte
- adresse email ;
- mot de passe (stocké uniquement sous forme hachée avec
bcrypt, jamais en clair) ; - nom d'affichage, le cas échéant.
2.2 Lors de l'utilisation du Service
- données d'apprentissage (vocabulaire, catégories, exemples, état de révision) ;
- préférences de langue source / cible et autres réglages ;
- clés API que vous générez pour le serveur MCP et le journal de leur utilisation (date, route appelée, statut) ;
- logs techniques nécessaires à la sécurité (adresse IP, agent utilisateur, horodatage) — durée limitée.
2.3 Lors d'un paiement
- identifiant Stripe du client (customer_id) ;
- identifiant du moyen de paiement (payment_method_id), marque de la carte et 4 derniers chiffres ;
- journal des paiements (montant, statut, date, intent Stripe).
Aucune donnée bancaire complète (numéro de carte, cryptogramme, date d'expiration) n'est collectée ni stockée par Palabrix : la saisie est effectuée directement dans des éléments hébergés et sécurisés par Stripe.
2.4 Lors d'un contact
- nom, email, sujet et message saisis dans le formulaire ;
- relais du message vers le canal Discord interne de l'équipe.
3. Finalités et bases légales
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b RGPD) | Durée du compte + 3 ans après inactivité |
| Fourniture des fonctionnalités d'apprentissage | Exécution du contrat | Durée du compte (suppression sur demande) |
| Traitement des paiements et facturation | Exécution du contrat + obligation légale | 10 ans (obligations comptables, art. L. 123-22 C. com.) |
| Réponse aux demandes via le formulaire de contact | Intérêt légitime | 3 ans après le dernier échange |
| Sécurité du Service (logs, anti-fraude, anti-abus) | Intérêt légitime | 12 mois maximum |
| Communications transactionnelles (essai, paiement, sécurité) | Exécution du contrat | Durée du compte |
| Newsletter ou communications commerciales (le cas échéant) | Consentement (opt-in explicite) | Jusqu'au retrait du consentement |
4. Destinataires et sous-traitants
Les données ne sont jamais vendues. Elles sont accessibles aux personnes habilitées de l'éditeur et aux sous-traitants suivants, encadrés par des accords conformes à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| À COMPLÉTER | Hébergement applicatif et base de données PostgreSQL | À COMPLÉTER (UE recommandée) |
| Stripe Payments Europe, Ltd. | Traitement des paiements par carte bancaire | Irlande (UE) — transferts encadrés vers les États-Unis (Data Privacy Framework) |
| Discord Inc. | Réception des messages du formulaire de contact via webhook | États-Unis (Data Privacy Framework) |
| À COMPLÉTER (le cas échéant) | Service d'envoi d'emails transactionnels | À COMPLÉTER |
Aucun outil de mesure d'audience tiers (Google Analytics, Meta Pixel, etc.) n'est actuellement déployé sur le Service. L'ajout futur d'un tel outil ferait l'objet d'une mise à jour de la présente politique et, lorsque requis, du recueil d'un consentement préalable.
5. Transferts hors Union européenne
Certains sous-traitants peuvent traiter des données depuis les États-Unis (Stripe, Discord). Ces transferts sont encadrés par le mécanisme du EU-US Data Privacy Framework et, le cas échéant, par les Clauses Contractuelles Types adoptées par la Commission européenne, garantissant un niveau de protection équivalent au RGPD.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie des données vous concernant ;
- Droit de rectification : corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») : obtenir la suppression de vos données ;
- Droit à la limitation : geler temporairement le traitement ;
- Droit à la portabilité : récupérer vos données dans un format structuré et lisible par machine ;
- Droit d'opposition : refuser un traitement fondé sur l'intérêt légitime ;
- Retrait du consentement : à tout moment, sans effet rétroactif, pour les traitements fondés sur cette base ;
- Directives post-mortem : organiser le sort de vos données après votre décès, conformément à la loi Informatique et Libertés.
Pour exercer ces droits : hello@palabrix.app. Une vérification d'identité pourra être demandée en cas de doute légitime. Une réponse est apportée dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité.
En cas de désaccord persistant, vous avez le droit d'introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.
7. Sécurité
L'éditeur met en œuvre des mesures techniques et organisationnelles proportionnées au risque, notamment :
- chiffrement TLS de bout en bout pour toutes les communications ;
- hachage des mots de passe avec
bcrypt(sans stockage en clair) ; - contrôle des accès basé sur les rôles et journalisation des actions sensibles ;
- sauvegardes régulières et chiffrées de la base de données ;
- séparation des environnements (développement, préproduction, production) ;
- revue des dépendances et application des correctifs de sécurité.
8. Violation de données
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, l'éditeur notifiera la CNIL dans un délai de 72 heures et informera, le cas échéant, les personnes concernées dans les meilleurs délais.
9. Cookies
L'usage des cookies et traceurs est détaillé dans la politique cookies.
10. Modifications de la politique
La présente politique peut être amendée pour refléter des évolutions du Service ou des obligations légales. La version applicable est celle publiée sur le site à la date de votre visite ; les modifications substantielles font l'objet d'une notification par email.