Conformément au Règlement Général sur la Protection des Données (RGPD) - UE 2016/679
En résumé
📦Nous collectons uniquement les données nécessaires au fonctionnement du service
🛡Vos données sont stockées en France (hébergeur o2switch)
✅Suppression de compte et export de données en self-service
🔒Paiements sécurisés par Stripe (aucune donnée bancaire stockée chez nous)
1. Responsable du traitement
2. Données collectées
2.1 Données d'identification
| Donnée | Finalité | Base légale |
|---|
| Adresse email | Identification, communication | Exécution du contrat |
| Mot de passe (hashé bcrypt) | Authentification | Exécution du contrat |
| Nom, prénom (optionnel) | Cartouche des plans, identification | Consentement |
| Nom de société, SIRET, adresse (optionnel) | Cartouche des plans, facturation | Consentement |
2.2 Données de session
| Donnée | Stockage | Durée |
|---|
| Token d'accès (JWT) | localStorage navigateur | 60 minutes |
| Token de rafraîchissement | localStorage navigateur | 7 jours |
2.3 Données techniques (croquis et plans)
- Images des croquis téléversés (stockées sur le serveur)
- Géométrie JSON générée par l'IA (entités, cotations)
- Données de cartouche (société, désignation, matériau, etc.)
- Métadonnées de conversion (durée de traitement, fournisseur IA, tokens consommés)
Ces données sont la propriété intellectuelle de l'utilisateur.
2.4 Données de paiement
Les paiements sont traités par Stripe(stripe.com). Nous ne stockons aucune donnée de carte bancaire. Stripe agit en tant que sous-traitant conforme PCI-DSS et RGPD. Nous conservons uniquement l'identifiant de session Stripe pour le suivi des transactions.
3. Finalités du traitement
- Authentification : Vérification de votre identité via email/mot de passe
- Analyse IA : Envoi du croquis aux API d'IA (Claude/Anthropic, Gemini/Google, GPT-4/OpenAI) pour reconnaissance géométrique
- Génération de plans : Calcul des coordonnées et rendu du plan normalisé
- Export : Génération des fichiers DXF et PDF à la demande
- Facturation : Gestion des crédits et abonnements via Stripe
- Suivi de performance : Mesure du temps de traitement et des tokens consommés (données agrégées, non nominatives)
- Sécurité : Protection contre les accès non autorisés et limitation de fréquence
4. Base légale du traitement
- Exécution du contrat (Art. 6.1.b) :Les données d'identification et techniques sont nécessaires pour fournir le service de transformation de croquis
- Intérêt légitime (Art. 6.1.f) :Sécurité du service, mesures anti-abus (rate limiting)
- Consentement (Art. 6.1.a) :Données optionnelles du profil et du cartouche
- Obligation légale (Art. 6.1.c) :Conservation des données de facturation (6 ans, Code de commerce)
5. Destinataires des données
- L'éditeur — Administration et support
- o2switch — Hébergement technique (France, sans accès au contenu)
- Anthropic (Claude API) — Images de croquis pour analyse IA (USA)
- Google (Gemini API) — Images de croquis pour analyse IA (USA)
- OpenAI (GPT-4 API) — Images de croquis pour analyse IA (USA)
- Stripe — Traitement des paiements (certifié PCI-DSS, conforme RGPD)
Nous ne vendons, louons ni partageons vos données avec des tiers à des fins commerciales ou publicitaires.
6. Transferts hors UE
Vos données personnelles (email, mot de passe hashé) sont exclusivement stockées en France chez o2switch.
Les images de croquis sont envoyées aux API d'IA (Anthropic, Google, OpenAI - USA) pour analyse. Ces images ne contiennent pas de données personnelles identifiantes et ne sont pas conservées par ces fournisseurs au-delà du traitement de la requête.
Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne et le cadre EU-US Data Privacy Framework.
7. Durée de conservation
| Type de données | Durée de conservation |
|---|
| Données de compte | Jusqu'à suppression du compte ou 2 ans d'inactivité |
| Tokens de session | 7 jours après la dernière activité |
| Croquis et plans | Jusqu'à suppression par l'utilisateur ou du compte |
| Données de facturation | 6 ans (obligation légale, Code de commerce) |
8. Sécurité des données
- Chiffrement des communications (HTTPS/TLS)
- Mots de passe hashés avec bcrypt (jamais stockés en clair)
- Politique de mot de passe robuste (12 caractères minimum)
- Tokens JWT signés avec clé secrète et expiration automatique
- Protection contre les injections SQL (ORM SQLAlchemy, requêtes paramétrées)
- Limitation de fréquence (rate limiting) sur les points d'authentification
- CORS restreint aux domaines autorisés
- Accès restreint à la base de données
9. Notification de violation (Art. 33-34)
En cas de violation de données personnelles, nous nous engageons à :
- Notifier la CNIL dans un délai de 72 heures
- Informer les personnes concernées en cas de risque élevé
- Mettre en œuvre les mesures correctives immédiates
10. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès (Art. 15)
Obtenir la confirmation que vos données sont traitées et en recevoir une copie
Droit de rectification (Art. 16)
Faire corriger les données inexactes via votre profil
Droit à l'effacement (Art. 17)
Supprimer votre compte et toutes vos données directement depuis les paramètres
Droit à la limitation (Art. 18)
Demander la suspension du traitement
Droit à la portabilité (Art. 20)
Exporter toutes vos données en JSON depuis les paramètres de votre profil
Droit d'opposition (Art. 21)
Vous opposer au traitement de vos données
Self-service
Vous pouvez exercer votre droit à l'effacement et à la portabilité directement depuis votre profil, sans avoir à nous contacter.
Pour les autres droits :
Contactez-nous à contact@sketchtonorm.com en précisant votre demande. Réponse sous un mois (Art. 12.3 RGPD).
11. Réclamation CNIL
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr/fr/plaintes
12. Modification de la politique
Cette politique peut être mise à jour. En cas de modification substantielle, les utilisateurs seront informés par email. La date de dernière mise à jour est indiquée en haut de cette page.