Politique de confidentialité

Dernière mise à jour : 25 Novembre 2025
Date d'entrée en vigueur : 01 Novembre 2025

1. Informations légales

Éditeur du service :

  • Dénomination : Tai Van (raison individuelle)
  • Adresse : Chemin du Grand-Pré 4, 1052 Le Mont-sur-Lausanne, Suisse
  • Email de contact : info@prysmial.com
  • Représentant légal : Tai Van

Hébergement :

  • Backend & Botkit : Render.com (États-Unis)
  • Frontend & AnythingLLM : HuggingFace Spaces (UE)
  • Base de données : MongoDB Atlas (région variable)

2. Politique de confidentialité

2.1 Introduction

Cette Politique explique comment Prysmial traite les données personnelles conformément :

  • au RGPD (UE), et
  • à la LPD suisse (2023).

Responsable du traitement

Tai Van (raison individuelle)
Chemin du Grand-Pré 4, 1052 Le Mont-sur-Lausanne, Suisse
info@prysmial.com

2.2 Types de données collectées

Données d'identification et de contact :

  • Nom, prénom
  • Adresse email
  • Numéro de téléphone (format E.164 normalisé)
  • Nom d'utilisateur (peut être l'email)
  • Nom d'affichage
  • Raison sociale (pour les comptes professionnels)

Données d'authentification :

  • Mot de passe (hashé avec PBKDF2, 100k rounds minimum)
  • Tokens OAuth (Google, Microsoft, Discord) - stockés chiffrés (AES-GCM)
  • Identifiants externes OAuth (user ID du fournisseur)
  • JWT tokens (durée de vie : 7 jours)

Données de profil :

  • Rôle utilisateur (admin, prospect)
  • Agents autorisés (liste des coachs accessibles)
  • Statut de vérification email
  • Date de dernière connexion
  • Préférences de profil (opt-in marketing)

Données de facturation :

  • Identifiants Stripe (customer_id, subscription_id, price_id)
  • Statut d'abonnement (inactive, pending, trialing, active, past_due, canceled)
  • Type de plan (mensuel, annuel)
  • Devise (EUR, USD, CHF)
  • Montant facturé (en centimes)
  • Dates de période de facturation
  • Dates d'essai
  • Historique des sessions de paiement

Données de conversation et d'activité :

  • Messages échangés via Slack (canaux privés)
  • Messages échangés via le dashboard web (chatbot)
  • Sessions de chat (session_id, workspace_slug)
  • Historique des conversations
  • Métadonnées (timestamps, sources, agents utilisés)
  • Documents uploadés dans le chatbot (stockés dans AnythingLLM)

Données de progression :

  • Tâches complétées (programme d'accélération)
  • Semaines de progression
  • Taux de complétion
  • Historique des complétions

Données techniques :

  • Identifiants de workspace (team_id, client_id, workspace_slug)
  • Identifiants de canaux Slack (channel_id)
  • Routes de routage Slack (mapping canaux → agents)
  • Alias de canaux
  • Secrets chiffrés (tokens OAuth, clés API) - stockés avec chiffrement AES-GCM

Données de logs :

  • Logs d'accès et d'erreurs (pour le fonctionnement et la sécurité)
  • Adresses IP (collectées automatiquement par les serveurs)
  • User-Agent (navigateur, système d'exploitation)
  • Durée de conservation : 12 mois maximum

Cookies :

  • Cookie d'authentification JWT (`auth_user`) :
    • Durée : 7 jours
    • HttpOnly : Oui (non accessible via JavaScript)
    • Secure : Oui en production (HTTPS uniquement)
    • SameSite : Lax
    • Type : Strictement nécessaire (pas de consentement requis)

Note importante :

  • Nous ne collectons actuellement aucune donnée de navigation via des outils d'analytics tiers (Google Analytics, etc.)
  • Nous n'utilisons pas de cookies de tracking publicitaire

2.3 Base légale

Nous traitons vos données sur les bases suivantes :

Exécution du contrat (Art. 6(1)(b) RGPD, Art. 6(1) LPD) :

  • Création et gestion de votre compte
  • Fourniture des services souscrits (agents, chatbot, accélération)
  • Traitement des paiements et gestion des abonnements
  • Communication liée au service (emails de vérification, notifications)

Consentement (Art. 6(1)(a) RGPD, Art. 6(1) LPD) :

  • Communications marketing (newsletter, offres promotionnelles) - uniquement si vous avez opté-in
  • Authentification via OAuth (Google, Microsoft, Discord)

Intérêt légitime (Art. 6(1)(f) RGPD, Art. 6(1) LPD) :

  • Amélioration du service et développement de nouvelles fonctionnalités
  • Sécurité et prévention de la fraude
  • Logs d'accès et d'erreurs pour le fonctionnement technique
  • Analyse de l'utilisation du service (anonymisée)

Obligations légales (Art. 6(1)(c) RGPD, Art. 6(1) LPD) :

  • Conservation des données de facturation (obligations comptables suisses : 10 ans)
  • Conservation des logs d'accès (obligations de sécurité)

2.4 Utilisation des données

Fourniture du service :

  • Authentification et gestion de votre compte
  • Personnalisation de votre expérience (agents accessibles, chatbot)
  • Traitement de vos conversations et messages
  • Stockage de vos documents et historique de chat
  • Suivi de votre progression dans les programmes

Communication :

  • Emails de vérification et de réinitialisation de mot de passe
  • Notifications importantes concernant le service
  • Communications marketing (uniquement si opt-in, retractable à tout moment)

Amélioration du service :

  • Analyse anonymisée de l'utilisation pour améliorer les fonctionnalités
  • Détection et correction d'erreurs
  • Développement de nouvelles fonctionnalités

Sécurité :

  • Détection et prévention de la fraude
  • Protection contre les accès non autorisés
  • Logs de sécurité pour investigation

Facturation :

  • Traitement des paiements via Stripe
  • Gestion des abonnements et renouvellements
  • Émission de factures (si applicable)

2.5 Partage et transferts

Prestataires de services (sous-traitants) :

Nous partageons vos données avec les prestataires suivants pour fournir le service :

  1. Render.com (États-Unis)
    • Hébergement du backend (FastAPI) et du botkit (Node.js/Express)
    • Données traitées : toutes les données nécessaires au fonctionnement du service
    • Base légale : Exécution du contrat
    • Garanties : Clauses contractuelles standard (SCC) conformes au RGPD
  2. HuggingFace Spaces (France/UE)
    • Hébergement du frontend (Next.js) et d'AnythingLLM (moteur LLM)
    • Données traitées : données de session, conversations, documents uploadés, workspaces AnythingLLM
    • Base légale : Exécution du contrat
    • Garanties : Conformité RGPD (localisation UE), politique de confidentialité HuggingFace
  3. MongoDB Atlas (Cloud, localisation variable selon région)
    • Hébergement de la base de données principale
    • Données traitées : toutes les données utilisateur (comptes, conversations, facturation, progression)
    • Base légale : Exécution du contrat
    • Garanties : Clauses contractuelles standard (SCC) conformes au RGPD, politique de confidentialité MongoDB
  4. Stripe (États-Unis)
    • Traitement des paiements et gestion des abonnements
    • Données traitées : identifiants de facturation, informations de paiement, historique des transactions
    • Base légale : Exécution du contrat
    • Garanties : Conformité PCI-DSS, clauses contractuelles standard (SCC) conformes au RGPD
  5. Resend (États-Unis)
    • Envoi d'emails transactionnels (vérification, notifications)
    • Données traitées : adresse email, contenu des emails transactionnels
    • Base légale : Exécution du contrat
    • Garanties : Clauses contractuelles standard (SCC) conformes au RGPD, politique de confidentialité Resend
  6. Cloudflare Turnstile (États-Unis)
    • Protection contre les bots (captcha lors de l'inscription)
    • Données traitées : adresse IP, données de navigation pour la vérification
    • Base légale : Intérêt légitime (sécurité, prévention de la fraude)
    • Garanties : Politique de confidentialité Cloudflare, conformité aux standards de protection des données
  7. Fournisseurs OAuth (Google, Microsoft, Discord)
    • Authentification via OAuth (alternative au mot de passe)
    • Données traitées : identifiants OAuth, profil de base (nom, email) si autorisé par l'utilisateur
    • Base légale : Consentement (via le flux OAuth de chaque fournisseur)
    • Garanties : Politiques de confidentialité respectives (Google Privacy Policy, Microsoft Privacy Statement, Discord Privacy Policy)
  8. Slack (États-Unis)
    • Intégration Slack pour les conversations via canaux privés
    • Données traitées : messages échangés, identifiants de canaux, événements Slack (mentions, réactions)
    • Base légale : Exécution du contrat (nécessaire pour fournir le service d'intégration Slack)
    • Garanties : Conformité aux conditions d'utilisation et politique de confidentialité Slack, clauses contractuelles standard (SCC) si applicable

Transferts hors UE/CH :

  • Certains prestataires sont situés aux États-Unis (Render, Stripe, Resend, Cloudflare, Slack)
  • Nous utilisons des clauses contractuelles standard (SCC) conformes au RGPD pour garantir un niveau de protection adéquat
  • Les transferts sont effectués uniquement dans le cadre strict de la fourniture du service
  • Tous nos prestataires sont soumis à des obligations contractuelles strictes en matière de protection des données

Aucune vente de données :

  • Nous ne vendons jamais vos données personnelles à des tiers
  • Nous ne partageons vos données qu'avec les prestataires nécessaires au service
  • Aucune utilisation publicitaire ou de revente de données

2.6 Durées de conservation

Données de compte :

  • Conservées pendant la durée de votre compte
  • Supprimées dans un délai de 30 jours après résiliation (sauf exceptions légales)

Données de facturation :

  • Conservées pendant 10 ans (obligation légale suisse pour les documents comptables - Art. 962 CO)
  • Cette durée respecte également les obligations légales de l'UE (généralement 6-10 ans selon les pays)
  • Supprimées après expiration du délai légal

Conversations et messages :

  • Conservées pendant la durée de votre compte
  • Supprimées dans un délai de 30 jours après résiliation
  • Les documents uploadés dans AnythingLLM sont supprimés avec le workspace associé

Données de progression :

  • Conservées pendant la durée de votre compte
  • Supprimées dans un délai de 30 jours après résiliation

Logs d'accès :

  • Conservés pendant 12 mois maximum
  • Supprimés automatiquement après expiration

Cookies :

  • Cookie d'authentification : 7 jours (expiration automatique)
  • Supprimé immédiatement lors de la déconnexion

2.7 Droits des utilisateurs

Conformément au RGPD et à la LPD suisse, vous disposez des droits suivants :

Droit d'accès (Art. 15 RGPD, Art. 8 LPD) :

  • Vous pouvez demander une copie de toutes vos données personnelles que nous détenons
  • Nous vous fournirons les données dans un format structuré et couramment utilisé
  • Délai de réponse : 30 jours maximum (peut être prolongé de 2 mois en cas de demande complexe, avec notification)

Droit de rectification (Art. 16 RGPD, Art. 5 LPD) :

  • Vous pouvez corriger vos données inexactes ou incomplètes
  • Vous pouvez mettre à jour votre profil depuis votre compte à tout moment
  • Délai de traitement : 30 jours maximum

Droit à l'effacement (Art. 17 RGPD, Art. 5 LPD) :

  • Vous pouvez demander la suppression de vos données personnelles
  • Certaines données peuvent être conservées pour des obligations légales (notamment données de facturation : 10 ans)
  • Délai de traitement : 30 jours maximum
  • Processus de suppression :
    • Suppression de votre compte utilisateur et de toutes les données associées dans MongoDB
    • Suppression de votre workspace AnythingLLM (incluant tous les documents, conversations et embeddings)
    • Suppression de vos routes Slack et mappings de workspace
    • Suppression de vos données de progression
    • Conservation des données de facturation selon les obligations légales

Droit à la limitation du traitement (Art. 18 RGPD) :

  • Vous pouvez demander la limitation du traitement de vos données dans certains cas (contestation de l'exactitude, traitement illicite, etc.)
  • Délai de réponse : 30 jours maximum

Droit à la portabilité (Art. 20 RGPD) :

  • Vous pouvez recevoir vos données dans un format structuré et couramment utilisé (JSON, CSV)
  • Applicable aux données que vous avez fournies et traitées sur base contractuelle
  • Délai de réponse : 30 jours maximum

Droit d'opposition (Art. 21 RGPD, Art. 5 LPD) :

  • Vous pouvez vous opposer au traitement basé sur l'intérêt légitime
  • Nous cesserons le traitement sauf si nous démontrons des motifs légitimes impérieux
  • Délai de réponse : 30 jours maximum

Droit de retrait du consentement :

  • Vous pouvez retirer votre consentement à tout moment (notamment pour les communications marketing)
  • Le retrait n'affecte pas la licéité du traitement effectué avant le retrait
  • Vous pouvez retirer votre consentement depuis votre compte ou en nous contactant
  • Délai de traitement : 7 jours maximum

Exercice de vos droits :

  • Email : info@prysmial.com
  • Nous vous répondrons dans les délais indiqués ci-dessus
  • Nous pouvons vous demander une pièce d'identité pour vérifier votre identité (sécurité)
  • Aucun frais n'est facturé pour l'exercice de vos droits (sauf demandes manifestement infondées ou excessives)

2.8 Sécurité

Mesures techniques :

  • Chiffrement des données sensibles (AES-GCM pour les secrets et tokens OAuth)
  • Hashage des mots de passe (PBKDF2, 100k rounds minimum)
  • Communication sécurisée (HTTPS/TLS pour toutes les communications)
  • Authentification multi-facteurs disponible (via OAuth)
  • Isolation multi-tenant stricte (chaque client est complètement isolé dans la base de données)
  • Vérification des signatures HMAC pour les communications inter-services
  • Tokens JWT avec expiration (7 jours)

Mesures organisationnelles :

  • Accès restreint aux données (principe du moindre privilège)
  • Logs d'accès pour audit et traçabilité
  • Procédures de sécurité documentées
  • Formation aux bonnes pratiques de sécurité

Incidents de sécurité :

  • En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous informerons dans les 72 heures suivant la découverte de l'incident
  • Nous notifierons également l'autorité de protection des données compétente dans les 72 heures si le risque est élevé
  • Nous mettrons en place toutes les mesures nécessaires pour limiter les conséquences de l'incident

2.9 Cookies

Cookies utilisés :

  • Cookie d'authentification (`auth_user`) :
    • Type : Strictement nécessaire
    • Durée : 7 jours
    • Objectif : Maintenir votre session connectée
    • Désactivation : Non possible (nécessaire au fonctionnement du service)
    • Consentement : Non requis (cookie strictement nécessaire)

Gestion des cookies :

  • Vous pouvez supprimer les cookies depuis les paramètres de votre navigateur
  • La suppression des cookies peut affecter le fonctionnement du service (déconnexion)
  • Nous n'utilisons actuellement aucun cookie de tracking ou d'analytics tiers

2.10 Modifications

  • Nous nous réservons le droit de modifier cette politique à tout moment
  • Les modifications majeures vous seront communiquées par email ou via une notification dans le service
  • La date de dernière mise à jour est indiquée en haut de ce document
  • Nous vous encourageons à consulter régulièrement cette politique

2.11 Contacts

Pour toute question concernant cette politique ou pour exercer vos droits, vous pouvez nous contacter à : info@prysmial.com

En cas de préoccupation non résolue, vous pouvez déposer une réclamation auprès de :

Politique de confidentialité - Prysmial