Politique de confidentialité
Dernière mise à jour : 12 avril 2026
1. Identité du responsable de traitement
Le responsable du traitement des données personnelles collectées sur la plateforme IgnitionRAG est :
- Raison sociale : IgnitionAI (entreprise individuelle)
- Fondateur : Salim Laimeche
- Adresse : Troyes, France
- Email : sa.laimeche@ignitionai.fr
- Site web : ignitionai.fr / ignitionrag.com
2. Données collectées et finalités
IgnitionRAG collecte les catégories de données suivantes selon les finalités indiquées :
2.1 Données d'identification et de compte
- Données : nom, prénom, adresse email, mot de passe (haché via Clerk)
- Finalité : création et gestion du compte utilisateur, authentification
- Base légale : exécution du contrat (CGU)
2.2 Données de facturation
- Données : informations de paiement (traitées exclusivement par Stripe), historique des abonnements
- Finalité : gestion des abonnements et paiements
- Base légale : exécution du contrat, obligation légale (conservation comptable 10 ans)
2.3 Documents et contenus uploadés
- Données : fichiers (PDF, DOCX, CSV, etc.) et leur contenu, embeddings vectoriels associés
- Finalité : alimentation du moteur RAG de l'utilisateur, fonctionnement du service
- Base légale : exécution du contrat
2.4 Données d'usage et de navigation
- Données : logs d'utilisation, requêtes RAG (anonymisées), métriques de performance, adresse IP
- Finalité : amélioration du service, détection d'abus, support technique
- Base légale : intérêt légitime (amélioration du service, sécurité)
2.5 Communications
- Données : adresse email pour emails transactionnels (confirmation de compte, factures, alertes)
- Finalité : communication relative au service
- Base légale : exécution du contrat, intérêt légitime
3. Clés API LLM (modèle BYOK)
IgnitionRAG opère selon un modèle BYOK (Bring Your Own Key). Les clés API LLM (OpenAI, Anthropic, etc.) fournies par l'utilisateur sont :
- Chiffrées au repos avec AES-256-GCM avant stockage en base de données
- Utilisées exclusivement pour exécuter les requêtes LLM de cet utilisateur
- Jamais transmises à des tiers, ni utilisées à d'autres fins
- Sous la responsabilité contractuelle de l'utilisateur vis-à-vis du fournisseur LLM
4. Durées de conservation
| Catégorie | Durée | Justification |
|---|---|---|
| Données de compte | Durée du contrat + 3 ans | Délai de prescription contractuelle |
| Données de facturation | 10 ans | Obligation comptable et fiscale |
| Documents uploadés | Durée du contrat + 30 jours | Délai de grâce post-résiliation |
| Logs techniques | 12 mois | Sécurité et support |
| Données de navigation | 13 mois maximum | Recommandation CNIL |
5. Sous-traitants et transferts
IgnitionRAG fait appel aux sous-traitants suivants dans le cadre de la fourniture du service :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Clerk | Authentification et gestion des sessions | USA (AWS us-east-1) | SCCs UE–USA, SOC 2 Type II |
| Stripe | Traitement des paiements | USA / UE | SCCs, PCI DSS Level 1 |
| Resend | Emails transactionnels | USA (AWS) | SCCs UE–USA |
| OVH / Cloud | Hébergement infrastructure (BDD, serveurs) | France 🇫🇷 | Serveurs en France, SecNumCloud en cours |
Transferts hors UE : Pour les sous-traitants établis aux États-Unis (Clerk, Stripe, Resend), des Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne sont en place, conformément au RGPD Art. 46.
6. Droits des utilisateurs (RGPD)
Conformément au Règlement (UE) 2016/679 (RGPD), vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir la confirmation du traitement et une copie de vos données
- Droit de rectification (Art. 16) : faire corriger des données inexactes
- Droit à l'effacement (Art. 17) : demander la suppression de vos données (« droit à l'oubli »)
- Droit à la limitation (Art. 18) : restreindre temporairement le traitement
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition (Art. 21) : s'opposer aux traitements basés sur l'intérêt légitime
- Retrait du consentement : à tout moment, sans porter atteinte à la licéité des traitements antérieurs
Pour exercer ces droits, contactez-nous à : sa.laimeche@ignitionai.fr. Nous répondrons dans un délai de 30 jours (Art. 12 RGPD).
Vous avez également le droit de déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr.
7. Délégué à la Protection des Données (DPO)
Compte tenu de la taille de la structure, IgnitionAI n'est pas tenu de désigner un DPO formellement. Le point de contact pour toute question relative à la protection des données est :
- Responsable : Salim Laimeche
- Email : sa.laimeche@ignitionai.fr
8. Cookies et traceurs
IgnitionRAG utilise les cookies et traceurs suivants :
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
__session (Clerk) | Fonctionnel | Maintien de la session authentifiée | Session |
__clerk_db_jwt | Fonctionnel | Authentification Clerk | 7 jours |
locale | Fonctionnel | Mémorisation de la langue préférée | 1 an |
Les cookies strictement nécessaires au fonctionnement du service ne requièrent pas de consentement (Art. 5§3 directive ePrivacy). Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
9. Sécurité
IgnitionRAG met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit (TLS 1.3)
- Chiffrement des données sensibles au repos (AES-256-GCM)
- Authentification forte via Clerk (2FA disponible)
- Isolation multi-tenant des données par organisation
- Accès aux données de production restreint au personnel autorisé
- Sauvegardes régulières des bases de données
10. Modifications de la politique
Cette politique peut être mise à jour. En cas de modification substantielle, vous serez notifié par email au moins 30 jours avant l'entrée en vigueur des changements. La poursuite de l'utilisation du service après cette date vaut acceptation.