Politique de confidentialité
Dernière mise à jour : 3 mars 2026
La présente politique de confidentialité décrit comment Crème de Code collecte, utilise et protège vos données personnelles dans le cadre de l'utilisation de la plateforme Bulle, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Responsable de traitement
Raison sociale : Crème de Code
Adresse : 6 Impasse Critérion, 44470 Carquefou
Contact données personnelles : support@cremedecode.fr
Contact RGPD : Jérémy Gallot — support@cremedecode.fr
2. Données collectées
Dans le cadre de l'utilisation de nos services, nous collectons les catégories de données suivantes :
- Données d'identification : nom, prénom, adresse email, mot de passe (stocké sous forme hashée)
- Données de connexion : adresse IP, logs de connexion, date et heure d'accès
- Données d'utilisation : conversations avec les modèles d'IA, documents uploadés dans les espaces de connaissances, images générées
- Données de facturation : gérées par notre prestataire de paiement Stripe. Nous ne stockons pas les données de carte bancaire sur nos serveurs.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service (chat IA, RAG, génération d'images) | Exécution du contrat |
| Gestion du compte utilisateur | Exécution du contrat |
| Facturation et paiement | Exécution du contrat + obligation légale |
| Amélioration du service | Intérêt légitime |
| Support client | Exécution du contrat |
| Sécurité et prévention de la fraude | Intérêt légitime + obligation légale |
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur | Durée de l'abonnement + 3 ans |
| Conversations IA | Durée de l'abonnement, supprimées à la clôture |
| Documents uploadés (RAG) | Durée de l'espace de connaissances |
| Images générées | Durée de l'abonnement |
| Logs de connexion | Durée de l'abonnement (purge automatique à la clôture) |
| Données de facturation | 10 ans (obligation légale) |
5. Sous-traitants et transferts hors UE
Vos données peuvent être transmises aux sous-traitants suivants, dont certains sont situés en dehors de l'Union européenne. Des garanties appropriées sont mises en place conformément aux articles 46 et suivants du RGPD.
| Sous-traitant | Rôle | Pays | Garanties |
|---|---|---|---|
| OpenAI, Inc. | API de modèles de langage (GPT) | États-Unis | Clauses Contractuelles Types (SCCs) |
| Anthropic, PBC | API de modèles de langage (Claude) | États-Unis | Clauses Contractuelles Types (SCCs) |
| Google LLC | API de modèles de langage (Gemini) | États-Unis / UE | Clauses Contractuelles Types (SCCs) |
| Mistral AI | API de modèles de langage | France | Traitement intra-UE |
| Replicate, Inc. | Génération d'images | États-Unis | Clauses Contractuelles Types (SCCs) |
| Stripe, Inc. | Paiement et facturation | États-Unis | SCCs + DPA Stripe |
| OVH GmbH | Infrastructure serveur (VPS, PostgreSQL, Qdrant) | Allemagne | Traitement intra-UE |
| Cohere, Inc. | Reranking des résultats de recherche (RAG) | Canada | Clauses Contractuelles Types (SCCs) |
| Tavily, Inc. | Recherche web pour modèles IA | États-Unis | Clauses Contractuelles Types (SCCs) |
| E2B, Inc. | Exécution de code (sandbox sécurisé) | États-Unis | Clauses Contractuelles Types (SCCs) |
| Microsoft Corporation (Azure) | Modération de contenu (images) | États-Unis / UE | SCCs + DPA Microsoft |
6. Droits des personnes
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification (art. 16 RGPD) : corriger vos données inexactes ou incomplètes
- Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données dans les conditions prévues par le règlement
- Droit à la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement dans certains cas
- Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
- Droit de réclamation : introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr
Pour exercer vos droits, contactez-nous à l'adresse : support@cremedecode.fr. Nous nous engageons à répondre dans un délai d'un mois conformément à l'article 12 du RGPD.
7. Sécurité des données
Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement TLS pour toutes les communications en transit
- Mots de passe hashés à l'aide de l'algorithme bcrypt
- Isolation multi-tenant des données : chaque organisation dispose d'un espace cloisonné
- Authentification par JWT avec mécanisme d'invalidation par version (révocation immédiate possible)
8. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité. En cas de modification substantielle, vous serez informé(e) par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.
La date de dernière mise à jour est indiquée en haut de ce document.