Politique de Confidentialité
Dernière mise à jour : Avril 2026
Proxia Studio, SASU au capital de 1 000 €, dont le siège social est situé au 47 rue Vivienne, 75002 Paris, France, est responsable du traitement des données personnelles collectées via la plateforme proxia.studio. La présente politique décrit les conditions dans lesquelles nous collectons, traitons et protégeons vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n°78-17 du 6 janvier 1978 modifiée.
1. Données collectées
1.1 Données fournies directement par l'Utilisateur
- —Données d'inscription : adresse email, mot de passe (hashé), nom/prénom, statut (particulier/professionnel)
- —Données de profil : préférences, instructions personnalisées, photo de profil
- —Données de facturation : raison sociale, adresse, numéro de TVA intracommunautaire (professionnels)
- —Contenus Utilisateur : fichiers de projet (XML, DRP, PPROJ), fichiers vidéo, audio, documents
- —Conversations avec AVA : prompts, questions, retours, votes et contributions
- —Fichiers de base de connaissances : documents uploadés pour la base de connaissances personnelle
1.2 Données collectées automatiquement
- —Données de connexion : adresse IP, type de navigateur, système d'exploitation, pages visitées, horodatage
- —Données de performance : métriques Vercel Analytics et Speed Insights (anonymisées, sans cookie, IP anonymisée)
- —Données d'erreur : logs techniques via Sentry (anonymisés, sans PII, échantillonnage 10 %)
- —Données d'utilisation : crédits consommés, fonctionnalités utilisées, actions effectuées
2. Bases légales et finalités du traitement
- —Exécution du contrat (art. 6.1.b RGPD) : création et gestion du compte, fourniture du Service, analyse de projets, conversations AVA, gestion des abonnements, facturation, stockage
- —Consentement (art. 6.1.a RGPD) : envoi de newsletters et communications marketing, dépôt de cookies non essentiels, utilisation des contributions volontaires pour l'amélioration des modèles IA (opt-in distinct)
- —Intérêt légitime (art. 6.1.f RGPD) : sécurité de la Plateforme, prévention des abus, amélioration technique du Service, mesure de performance anonymisée
- —Obligation légale (art. 6.1.c RGPD) : conservation des données de facturation, réponse aux réquisitions judiciaires, conformité LCEN
2.1 Précision relative au traitement IA
Les données transmises à l'API Google Gemini (prompts, contenus, embeddings) sont traitées par Google en qualité de sous-traitant au sens du RGPD, dans le cadre d'un Data Processing Agreement (DPA) conforme. Conformément aux conditions de l'API Google Cloud, les données soumises via l'API ne sont pas utilisées par Google pour entraîner ou améliorer ses modèles d'intelligence artificielle généraux.
3. Durée de conservation
- —Données de compte : durée de l'abonnement actif + 1 mois après arrêt, sauf suppression anticipée
- —Contenus Utilisateur et fichiers : conservés selon la durée définie ; supprimés 1 mois après arrêt de l'abonnement ou suppression du compte
- —Conversations AVA et mémoire utilisateur : durée de vie du compte, supprimables sur demande (voir article 5)
- —Données de facturation : 10 ans (obligations comptables et fiscales françaises)
- —Logs de connexion : 1 an (LCEN)
- —Données de performance/erreur : 90 jours maximum
4. Sous-traitants et transferts de données hors UE
Nous faisons appel aux sous-traitants suivants. Chaque sous-traitant dispose de garanties contractuelles spécifiques (DPA, clauses contractuelles types — CCT — et/ou certification Data Privacy Framework — DPF — lorsque applicable). Le détail est consultable sur demande à privacy@proxia.studio.
| Sous-traitant | Finalité | Localisation | Garantie |
|---|---|---|---|
| Vercel Inc. | Hébergement frontend, analytics | USA (Edge global) | DPF + CCT |
| Railway Corp. | Hébergement backend | UE West (Irlande) | Pas de transfert hors UE |
| Supabase Inc. | Base de données, auth | UE West (Irlande) | Pas de transfert hors UE |
| Cloudflare Inc. | CDN, sécurité, stockage R2 | USA (global) | DPF + CCT |
| Google LLC | API Gemini (IA), embeddings | USA (global) | DPF + DPA Google Cloud |
| Resend Inc. | Emails transactionnels | USA | CCT |
| Sentry | Monitoring, logs erreurs | USA | DPF + CCT |
| Polar Software, Inc. | Paiement, facturation | USA | DPF + CCT |
Les transferts hors UE sont encadrés conformément au chapitre V du RGPD par le Data Privacy Framework UE-États-Unis (DPF), les clauses contractuelles types (CCT) approuvées par la Commission européenne, et/ou des Data Processing Agreements (DPA) spécifiques selon le sous-traitant.
5. Droits des utilisateurs
Conformément au RGPD, vous disposez des droits suivants :
- —Droit d'accès : obtenir la confirmation du traitement de vos données et en recevoir une copie
- —Droit de rectification : corriger des données inexactes ou incomplètes
- —Droit à l'effacement : demander la suppression de vos données dans les conditions prévues par le RGPD
- —Droit à la limitation du traitement : restreindre temporairement le traitement de vos données
- —Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- —Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime
- —Droit de retirer votre consentement : à tout moment, sans affecter la légalité du traitement antérieur
Pour exercer ces droits, contactez-nous à : privacy@proxia.studio. Nous nous engageons à répondre dans un délai de 30 jours.
5.1 Mémoire utilisateur (User Memory)
La Plateforme peut stocker une mémoire persistante liée aux interactions de l'Utilisateur avec AVA (préférences détectées, contexte conversationnel). L'Utilisateur peut à tout moment consulter ou demander la suppression de sa mémoire utilisateur par simple demande email à privacy@proxia.studio. Les demandes sont traitées dans un délai maximum de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr
6. Sécurité des données
Proxia Studio met en œuvre des mesures techniques et organisationnelles appropriées :
- —Chiffrement des données en transit (TLS/HTTPS)
- —Authentification sécurisée (JWT RS256 via JWKS, fallback HS256, tokens chiffrés)
- —Hashage des mots de passe (bcrypt via Supabase Auth)
- —Isolation des données par utilisateur (Row Level Security PostgreSQL)
- —Monitoring et alertes de sécurité (Sentry, échantillonnage 10 %, filtrage 401/403/404, aucune PII collectée)
- —Contrôle d'accès strict aux environnements de production
7. Mineurs
La Plateforme est destinée aux personnes âgées de 16 ans et plus. Les Utilisateurs âgés de 16 à 18 ans déclarent avoir obtenu l'autorisation de leurs représentants légaux. Nous ne collectons pas sciemment de données personnelles de personnes de moins de 16 ans.
8. Modifications
Proxia Studio se réserve le droit de modifier la présente politique. Les modifications substantielles seront notifiées aux Utilisateurs par email ou via la Plateforme.