Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme Stellary (stellary.co et services associés) est :

Stellary
Email : privacy@stellary.co

La présente Politique de Confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (RGPD) et aux lois françaises applicables en matière de protection des données.

2. Données collectées

2.1 Données de compte

Lors de la création de votre compte, nous collectons :

• Nom complet
• Adresse email
• Mot de passe (stocké sous forme de hash salé, jamais en clair)
• Photo de profil (optionnel)
• Nom de l'organisation et rôle (le cas échéant)

2.2 Données d'utilisation

Nous collectons automatiquement :

• Adresse IP et géolocalisation approximative
• Type de navigateur, version et langue
• Type d'appareil et système d'exploitation
• Pages visitées, fonctionnalités utilisées et actions effectuées dans le Service
• Horodatages et durée de session
• URL de provenance

2.3 Données de paiement

Lorsque vous souscrivez à un abonnement payant, les informations de paiement (numéro de carte bancaire, adresse de facturation) sont collectées et traitées directement par Stripe. Stellary ne stocke pas votre numéro de carte complet. Nous recevons de Stripe : les quatre derniers chiffres de votre carte, le type de carte, la date d'expiration et l'adresse de facturation.

2.4 Données d'interaction IA

Lorsque vous utilisez les fonctionnalités IA (Project Wizard, Agents IA, suggestions automatisées), nous collectons :

• Les requêtes et prompts que vous soumettez aux fonctionnalités IA
• Les réponses générées par l'IA
• Les données contextuelles envoyées au prestataire IA (noms de projets, descriptions de tâches, contenu de documents)

Ces données sont traitées uniquement pour fournir les fonctionnalités IA et ne sont pas utilisées pour entraîner des modèles IA tiers.

2.5 Contenu utilisateur

Le contenu que vous créez dans le Service (projets, tâches, documents, commentaires, entrées de base de connaissances) est stocké pour fournir le Service. Ce contenu peut contenir des données personnelles que vous ou vos collaborateurs choisissez d'inclure.

3. Base légale du traitement

Nous traitons vos données personnelles sur les bases légales suivantes au titre de l'article 6 du RGPD :

• Exécution du contrat (Art. 6(1)(b)) : Traitement nécessaire à la fourniture du Service auquel vous avez souscrit, y compris la gestion de compte, la facturation et les fonctionnalités essentielles.
• Consentement (Art. 6(1)(a)) : Pour les cookies analytiques optionnels, les communications marketing et les traitements non essentiels. Vous pouvez retirer votre consentement à tout moment.
• Intérêt légitime (Art. 6(1)(f)) : Pour la surveillance de la sécurité, la prévention de la fraude, l'amélioration du Service et le suivi des erreurs. Nos intérêts légitimes ne prévalent pas sur vos droits et libertés.
• Obligation légale (Art. 6(1)(c)) : Pour le respect des obligations fiscales, comptables et autres exigences légales.

4. Utilisation des données

Nous utilisons les données collectées pour :

• Fournir, maintenir et améliorer le Service
• Traiter les paiements et gérer les abonnements
• Envoyer des communications transactionnelles (confirmations, alertes de sécurité, avis de facturation)
• Fournir le support client
• Surveiller et assurer la sécurité du Service
• Détecter et prévenir la fraude et les abus
• Générer des analyses agrégées et anonymisées pour améliorer le Service
• Respecter les obligations légales

Nous ne vendons pas vos données personnelles à des tiers. Nous n'utilisons pas vos données pour la prise de décision automatisée ou le profilage produisant des effets juridiques.

5. Sous-traitants

Nous partageons des données personnelles avec les sous-traitants suivants, chacun lié par des accords de traitement des données conformes au RGPD :

5.1 OVHcloud (Hébergement)

Toutes les données sont hébergées sur l'infrastructure OVHcloud en France (UE). OVH fournit des serveurs dédiés avec chiffrement des données au repos (AES-256) et en transit (TLS 1.3). Les sauvegardes quotidiennes sont stockées dans des emplacements géographiquement séparés au sein de l'UE.

5.2 Stripe (Paiements)

Stripe traite les transactions de paiement et stocke les identifiants de paiement. Stripe est certifié PCI DSS Niveau 1. Les données peuvent être traitées dans l'UE et aux États-Unis dans le cadre de la certification EU-US Data Privacy Framework de Stripe. Voir la Politique de Confidentialité de Stripe.

5.3 Sentry (Suivi d'erreurs)

Sentry collecte des rapports d'erreurs et des données de performance pour nous aider à surveiller et corriger les problèmes. Les données envoyées à Sentry peuvent inclure des adresses IP, des informations de navigateur et des traces d'erreurs. Sentry traite les données dans l'UE. Voir la Politique de Confidentialité de Sentry.

5.4 OpenAI (Fonctionnalités IA)

Lorsque vous utilisez les fonctionnalités IA, les requêtes et données contextuelles sont envoyées à OpenAI pour traitement. Stellary utilise l'API OpenAI avec des conditions de traitement des données interdisant à OpenAI d'utiliser vos données pour entraîner ses modèles. Les données peuvent être traitées aux États-Unis dans le cadre de l'accord de traitement des données d'OpenAI. Voir la Politique de Confidentialité d'OpenAI.

6. Durée de conservation

Nous conservons vos données personnelles pour les durées suivantes :

• Données de compte : Pendant la durée de votre compte plus 30 jours après suppression pour permettre la récupération.
• Contenu utilisateur : Pendant la durée de votre compte. Supprimé définitivement sous 30 jours après suppression du compte.
• Données d'utilisation et d'analyse : Jusqu'à 24 mois sous forme identifiable, puis anonymisées et conservées indéfiniment pour analyse.
• Données de paiement et facturation : 10 ans à compter de la date de transaction, conformément aux réglementations fiscales et comptables françaises.
• Données d'interaction IA : 90 jours sous forme identifiable, puis anonymisées.
• Journaux serveur : 12 mois, conformément à la loi française (LCEN).
• Enregistrements de consentement cookies : 13 mois à compter de la date du consentement.

7. Vos droits au titre du RGPD

En vertu du RGPD, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès (Art. 15) : Vous pouvez demander une copie de toutes les données personnelles que nous détenons à votre sujet.
• Droit de rectification (Art. 16) : Vous pouvez demander la correction de données personnelles inexactes ou incomplètes.
• Droit à l'effacement (Art. 17) : Vous pouvez demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation.
• Droit à la limitation (Art. 18) : Vous pouvez demander que nous limitions le traitement de vos données personnelles dans certaines circonstances.
• Droit à la portabilité (Art. 20) : Vous pouvez demander vos données dans un format structuré, couramment utilisé et lisible par machine.
• Droit d'opposition (Art. 21) : Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime, y compris la prospection commerciale.
• Droit de retrait du consentement (Art. 7(3)) : Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.
• Droit de réclamation : Vous avez le droit de déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) à www.cnil.fr.

8. Exercice de vos droits

Pour exercer vos droits, vous pouvez :

• Envoyer un email à privacy@stellary.co avec l'objet « Demande d'exercice de droits »
• Utiliser les fonctionnalités d'export et de suppression de données disponibles dans les paramètres de votre compte

Nous répondrons à votre demande sous 30 jours. Nous pourrons vous demander de vérifier votre identité avant de traiter votre demande. Si nous ne pouvons pas satisfaire votre demande, nous vous en expliquerons les raisons et vous informerons de votre droit de réclamation auprès de la CNIL.

9. Cookies

Nous utilisons des cookies et technologies similaires sur notre site web. Pour des informations détaillées sur les cookies que nous utilisons, leurs finalités et la gestion de vos préférences, veuillez consulter notre Politique de Cookies.

Les cookies essentiels (authentification, sécurité, protection CSRF) sont nécessaires au fonctionnement du Service et ne peuvent pas être désactivés. Les cookies analytiques et optionnels nécessitent votre consentement explicite.

10. Transferts internationaux de données

Vos données sont principalement stockées et traitées au sein de l'Union européenne (France). Cependant, certains sous-traitants peuvent traiter des données en dehors de l'UE :

• Stripe : Certifié EU-US Data Privacy Framework
• OpenAI : Accord de traitement des données avec Clauses Contractuelles Types (CCT)

Tous les transferts internationaux sont protégés par des garanties appropriées conformément au Chapitre V du RGPD, incluant les décisions d'adéquation, les Clauses Contractuelles Types ou les certifications Data Privacy Framework.

11. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment :

• Chiffrement au repos (AES-256) et en transit (TLS 1.3)
• Hachage salé des mots de passe (bcrypt)
• Cookies HTTP-only avec protection CSRF pour l'authentification
• Contrôle d'accès basé sur les rôles avec permissions au niveau organisation et espace de travail
• Audits de sécurité réguliers et mises à jour des dépendances
• Sauvegardes quotidiennes chiffrées avec redondance géographique au sein de l'UE
• Segmentation réseau et règles de pare-feu sur infrastructure dédiée

12. Notification de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous :

• Notifierons la CNIL dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 33 du RGPD
• Informerons les utilisateurs concernés sans délai injustifié si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD
• Fournirons des détails sur la nature de la violation, les données concernées, les conséquences probables et les mesures prises

13. Protection des mineurs

Le Service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs de moins de 16 ans. Si nous apprenons que nous avons collecté des données personnelles d'un mineur de moins de 16 ans, nous prendrons les mesures nécessaires pour supprimer ces données rapidement. Si vous pensez qu'un mineur de moins de 16 ans nous a fourni des données personnelles, veuillez nous contacter à privacy@stellary.co.

14. Modifications de cette politique

Nous pouvons mettre à jour cette Politique de Confidentialité périodiquement. Les modifications substantielles seront communiquées au moins 30 jours avant leur entrée en vigueur par email ou via une notification dans le Service. La date de « Dernière mise à jour » en haut de cette page indique la dernière révision.

La poursuite de votre utilisation du Service après la date d'entrée en vigueur d'une politique révisée vaut acceptation des modifications.

15. Contact

Pour toute question ou préoccupation concernant cette Politique de Confidentialité ou le traitement de vos données personnelles, contactez-nous :

Stellary — Protection des données
Email : privacy@stellary.co

Vous pouvez également contacter la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que vos droits n'ont pas été respectés :

CNIL
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site web : www.cnil.fr