Politique de confidentialité
Dernière mise à jour : 27 avril 2026
La présente politique de confidentialité décrit comment Crème de Code collecte, utilise et protège vos données personnelles dans le cadre de l'utilisation de la plateforme Bulle, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Responsable de traitement
Raison sociale : Crème de Code SAS
Adresse : 6 Impasse Critérion, 44470 Carquefou, France
Téléphone : +33 7 69 90 75 99
Contact général / support : support@cremedecode.fr
Contact RGPD (DPO opérationnel) : Jérémy Gallot — jeremy@cremedecode.fr (réservé aux demandes RGPD : exercice des droits, violation de données, questions DPO)
1 bis. Double rôle de Crème de Code
Crème de Code intervient à un double titre selon la nature des données traitées par la Plateforme Bulle :
- Responsable de traitement — pour les données relatives au site (cookies de mesure d'audience, navigation), aux comptes utilisateurs (identifiants, mots de passe, logs de connexion) et à la facturation. Crème de Code détermine seule les finalités et les moyens de ces traitements.
- Sous-traitant au sens de l'article 28 du RGPD — pour les contenus du Client (prompts, documents importés dans les espaces RAG, images générées, conversations). Le Client reste responsable de traitement de ces contenus ; Crème de Code agit pour son compte et sur ses instructions.
Ce second rôle est encadré par un accord de sous-traitance (DPA, Article 28 RGPD) consultable et acceptable depuis la rubrique Paramètres → Conformité par l'administrateur du tenant B2B. À titre d'exemples concrets :
- Lorsque vous nous communiquez votre adresse email pour créer un compte, Crème de Code est responsable de traitement (finalité : gestion du compte, exécution du contrat).
- Lorsque vous importez un document dans un espace de connaissances ou rédigez un prompt mentionnant des collaborateurs ou des clients, Crème de Code est sous-traitant et traite ces données pour votre compte, dans les conditions du DPA.
- Lorsque Stripe traite votre carte bancaire pour la facturation, Crème de Code est responsable de traitement et Stripe agit comme sous-traitant pour notre compte.
2. Données collectées
Dans le cadre de l'utilisation de nos services, nous collectons les catégories de données suivantes :
- Données d'identification : nom, prénom, adresse email, mot de passe (stocké sous forme hashée)
- Données de connexion : adresse IP, logs de connexion, date et heure d'accès
- Données d'utilisation : conversations avec les modèles d'IA, documents uploadés dans les espaces de connaissances, images générées
- Données de facturation : gérées par notre prestataire de paiement Stripe. Nous ne stockons pas les données de carte bancaire sur nos serveurs.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service (chat IA, RAG, génération d'images) | Exécution du contrat |
| Gestion du compte utilisateur | Exécution du contrat |
| Facturation et paiement | Exécution du contrat + obligation légale |
| Amélioration du service | Intérêt légitime |
| Support client | Exécution du contrat |
| Sécurité et prévention de la fraude | Intérêt légitime + obligation légale |
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur | Durée de l'abonnement + 3 ans |
| Conversations IA | Durée de l'abonnement, supprimées à la clôture |
| Documents uploadés (RAG) | Durée de l'espace de connaissances |
| Images générées | Durée de l'abonnement |
| Logs de connexion | Durée de l'abonnement (purge automatique à la clôture) |
| Données de facturation | 10 ans (obligation légale) |
5. Sous-traitants et transferts hors UE
Vos données peuvent être transmises aux sous-traitants suivants, dont certains sont situés en dehors de l'Union européenne. Des garanties appropriées sont mises en place conformément aux articles 46 et suivants du RGPD. Voir l'annexe Data Flows pour une description détaillée des flux de données (hébergement, transits vers les fournisseurs, accès Crème de Code, fin de contrat).
Hébergeur principal : les bases de données PostgreSQL et Qdrant ainsi que les fichiers Client sont hébergés sur un VPS opéré par OVH GmbH (St. Johanner Str. 41-43, 66111 Saarbrücken, Allemagne) — entité du groupe OVHcloud. Les données restent dans l'Union européenne ; aucun transfert hors EEE n'est réalisé pour le stockage. Les coordonnées complètes de l'hébergeur figurent dans les Mentions légales (rubrique « Hébergement »).
Afin de minimiser la durée de conservation des prompts, réponses et fragments documentaires transmis aux fournisseurs d'intelligence artificielle, Crème de Code met en œuvre une politique de rétention minimale auprès de ses sous-traitants. L'option Zero Data Retention (ZDR) est en cours d'activation auprès d'OpenAI et un accord de traitement des données (DPA) comportant une clause ZDR est en cours de négociation avec Anthropic ; Mistral AI, fournisseur européen, n'applique déjà aucune rétention au-delà du traitement de la requête.
| Sous-traitant | Rôle | Pays | Garanties | Rétention des données |
|---|---|---|---|---|
| OpenAI, Inc. | API de modèles de langage (GPT) et calcul d'embeddings (RAG) | États-Unis | Clauses Contractuelles Types (SCCs) | 30 jours par défaut (abuse monitoring), pas de training — ZDR en cours d'activation |
| Anthropic, PBC | API de modèles de langage (Claude) | États-Unis | Clauses Contractuelles Types (SCCs) | 30 jours par défaut (trust & safety), pas de training — DPA avec clause ZDR en cours de négociation |
| Google LLC | API de modèles de langage (Gemini) | États-Unis / UE | Clauses Contractuelles Types (SCCs) | Variable selon le tier API, pas de training — évaluation Vertex AI (data residency UE) en cours |
| Mistral AI | API de modèles de langage | France | Traitement intra-UE | Aucune rétention (API payante, hébergement UE) |
| Replicate, Inc. | Génération d'images | États-Unis | Clauses Contractuelles Types (SCCs) | Rétention courte liée au traitement, clarification commerciale en cours |
| Stripe, Inc. | Paiement et facturation | États-Unis | SCCs + DPA Stripe | Durée légale (obligations fiscales) |
| OVH GmbH | Infrastructure serveur (VPS, PostgreSQL, Qdrant) | Allemagne | Traitement intra-UE | Durée du contrat d'hébergement |
| Cohere, Inc. | Reranking des résultats de recherche (RAG) | Canada | Clauses Contractuelles Types (SCCs) | Aucune rétention (API) |
| Tavily, Inc. | Recherche web pour modèles IA | États-Unis | Clauses Contractuelles Types (SCCs) | Aucune rétention (API) |
| E2B, Inc. | Exécution de code (sandbox sécurisé) | États-Unis | Clauses Contractuelles Types (SCCs) | Sandbox détruit après exécution |
| Microsoft Corporation (Azure) | Modération de contenu (images) | États-Unis / UE | SCCs + DPA Microsoft | Aucune rétention (API Content Safety) |
6. Droits des personnes
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification (art. 16 RGPD) : corriger vos données inexactes ou incomplètes
- Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données dans les conditions prévues par le règlement
- Droit à la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement dans certains cas
- Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
- Droit de réclamation : introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr
Pour exercer vos droits RGPD, contactez le DPO opérationnel à l'adresse dédiée : jeremy@cremedecode.fr. Pour toute autre demande, le support général reste joignable à support@cremedecode.fr. Nous nous engageons à répondre dans un délai d'un mois conformément à l'article 12 du RGPD.
7. Sécurité des données
Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement TLS pour toutes les communications en transit
- Mots de passe hashés à l'aide de l'algorithme bcrypt
- Isolation multi-tenant des données : chaque organisation dispose d'un espace cloisonné
- Authentification par JWT avec mécanisme d'invalidation par version (révocation immédiate possible)
8. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité. En cas de modification substantielle, vous serez informé(e) par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.
La date de dernière mise à jour est indiquée en haut de ce document.
9. Registre des traitements (Art. 30 RGPD)
Conformément à l'article 30 du RGPD, Crème de Code tient à jour un registre interne des activités de traitement de données personnelles. Ce registre recense l'ensemble des finalités de traitement, les catégories de données concernées, les sous-traitants et les durées de conservation applicables. Il est disponible sur demande à l'adresse : jeremy@cremedecode.fr.