Politique de confidentialité

Traitement des données personnelles dans le cadre du service La Fabrik (Règlement (UE) 2016/679 — RGPD).

Version 1.0 · Dernière mise à jour : 18 mai 2026

⚠️ Brouillon non opposable. Modèle proposé à titre indicatif. À compléter par les coordonnées exactes du responsable de traitement (une fois la structure juridique immatriculée) et à faire valider par un délégué à la protection des données ou un avocat spécialisé avant publication effective.

Sommaire

Responsable du traitement
Données collectées
Finalités et bases légales
Destinataires et sous-traitants
Transferts hors UE
Durées de conservation
Vos droits
Sécurité
Cookies et traceurs
Modifications
Contact et réclamation

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées dans le cadre du service La Fabrik est :

Charles Rausch
Statut : [À compléter — particulier / micro-entreprise / société]
Adresse : [Adresse postale]
Email : contact@lafabrik.app

Compte tenu de la taille de l'activité, l'Éditeur n'est pas tenu de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Les demandes relatives aux données personnelles peuvent être adressées directement à l'adresse email ci-dessus.

2. Données collectées

Selon votre utilisation du service, les catégories suivantes de données peuvent être collectées et traitées :

2.1 Données de compte (via GitHub OAuth)

identifiant GitHub numérique ;
nom d'utilisateur (handle) GitHub ;
nom d'affichage public ;
adresse email principale du compte GitHub ;
URL de l'avatar public.

L'authentification se fait via le protocole OAuth 2.0 délégué à GitHub. La Fabrik ne stocke aucun mot de passe.

2.2 Données de facturation (via Stripe)

nom complet ;
adresse postale (collecte obligatoire pour le calcul de la TVA) ;
pays de résidence ;
numéro de TVA intracommunautaire (facultatif, B2B) ;
identifiant Stripe Customer associé au compte.

Les données de carte bancaire (numéro, expiration, cryptogramme) sont collectées et stockées exclusivement par Stripe, conformément au standard PCI-DSS. L'Éditeur n'y a jamais accès.

2.3 Données d'usage du service IA

nombre d'appels effectués, par modèle et par surface (création shell ou app générée) ;
nombre de tokens consommés ;
coût matière par appel ;
horodatage des appels ;
solde courant du portefeuille de crédits.

Important : les prompts envoyés et les réponses générées par les modèles d'IA ne sont pas conservés par l'Éditeur après traitement. Ils sont relayés aux fournisseurs upstream (OpenAI, Anthropic) qui appliquent leur propre politique de rétention (voir section 4).

2.4 Données techniques

logs serveur (adresse IP, user-agent, route appelée, code HTTP, timestamp) conservés pour assurer la sécurité du service ;
identifiants techniques internes (UUID Supabase).

2.5 Données applicatives (apps générées et publications)

nom et description des applications créées ;
code source et assets stockés localement sur votre machine ;
en cas de publication sur le store La Fabrik : nom, description, captures d'écran et code source des apps publiées (visibles publiquement).

Les apps non publiées ne quittent jamais votre machine, sauf si vous activez la sauvegarde cloud optionnelle.

2.6 Données de télémétrie (optionnelles)

Le logiciel peut transmettre, si vous y consentez, des données d'erreur anonymisées via Sentry (stack traces, version de l'app, plateforme) pour permettre la correction des bugs. Aucune donnée personnelle identifiante n'est incluse dans ces rapports.

3. Finalités et bases légales

Finalité	Base légale (art. 6 RGPD)	Données concernées
Création et gestion du compte	Exécution du contrat	2.1
Fourniture du service IA	Exécution du contrat	2.1, 2.3
Facturation et comptabilité	Obligation légale (livre des recettes, archivage 10 ans)	2.2
Gestion des paiements	Exécution du contrat	2.2
Sécurité, prévention de la fraude	Intérêt légitime de l'Éditeur	2.4
Publication sur le store	Consentement (action explicite de publier)	2.5
Télémétrie et correction d'erreurs	Consentement (opt-in)	2.6

4. Destinataires et sous-traitants

Les données personnelles sont communiquées uniquement aux sous-traitants strictement nécessaires à la fourniture du service. Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales.

Sous-traitant	Rôle	Localisation
GitHub, Inc.	Authentification OAuth, hébergement code public	États-Unis
Supabase Inc.	Base de données utilisateurs et abonnements	UE (Francfort)
Vercel Inc.	Hébergement du site et du proxy API	UE / États-Unis (multi-région)
Stripe Payments Europe, Ltd.	Traitement des paiements, facturation, gestion abonnements	Irlande (UE) / États-Unis
OpenAI, LLC	Modèles d'IA (GPT-5, GPT-4o, etc.)	États-Unis
Anthropic, PBC	Modèles d'IA (Claude Opus, Sonnet, Haiku)	États-Unis
Google LLC	Modèles d'IA (Gemini), uniquement si activé par l'utilisateur	États-Unis
Sentry (Functional Software, Inc.)	Télémétrie d'erreurs (opt-in)	États-Unis / UE

Les prompts envoyés aux fournisseurs IA (OpenAI, Anthropic, Google) sont soumis à leurs politiques respectives. À titre informatif :

OpenAI ne réutilise pas les données envoyées via API pour entraîner ses modèles (politique commerciale par défaut).
Anthropic ne réutilise pas les données envoyées via API pour entraîner ses modèles (politique commerciale par défaut).
Les politiques exactes des fournisseurs prévalent et peuvent évoluer ; consultez leurs documents pour la version à jour.

5. Transferts hors UE

Certains sous-traitants (GitHub, OpenAI, Anthropic, Google, Vercel selon la région) sont établis aux États-Unis. Les transferts de données vers ces destinataires sont encadrés par :

le EU-US Data Privacy Framework pour les sous-traitants certifiés (vérifiable sur dataprivacyframework.gov) ;
à défaut, des clauses contractuelles types approuvées par la Commission européenne (décision 2021/914) intégrées dans les contrats sous-traitants.

6. Durées de conservation

Catégorie	Durée
Données de compte	Tant que le compte est actif + 1 an après la dernière connexion ou jusqu'à demande de suppression
Données de facturation et factures	10 ans (obligation légale comptable — art. L. 123-22 du Code de commerce)
Données d'usage (logs aggrégés)	3 ans glissants
Logs techniques (IP, user-agent)	1 an
Prompts envoyés aux modèles d'IA	Non conservés par l'Éditeur ; rétention des fournisseurs upstream selon leurs politiques (typiquement 0 à 30 jours)
Apps publiées sur le store	Tant que l'utilisateur ne les retire pas ou ne supprime pas son compte

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie ;
Droit de rectification : corriger des données inexactes ou les compléter ;
Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation (notamment comptables) ;
Droit à la limitation du traitement ;
Droit d'opposition au traitement fondé sur l'intérêt légitime ;
Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine ;
Droit de retirer votre consentement à tout moment lorsque le traitement repose sur le consentement (sans effet rétroactif) ;
Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 de la loi Informatique et Libertés).

Pour exercer vos droits, écrivez à contact@lafabrik.app. Une réponse vous sera apportée dans un délai maximum d'un mois, susceptible d'être prolongé de deux mois en cas de complexité, conformément à l'article 12 du RGPD.

Pour des raisons de sécurité, une preuve d'identité pourra être demandée si l'Éditeur a un doute raisonnable sur votre identité.

8. Sécurité

L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé :

chiffrement en transit (HTTPS/TLS 1.2+) sur l'ensemble des échanges client-serveur ;
chiffrement au repos des bases de données (Supabase, Vercel) ;
authentification déléguée à GitHub (OAuth, pas de mot de passe stocké) ;
séparation des secrets via variables d'environnement et tokens HMAC signés ;
vérification des webhooks Stripe par signature HMAC-SHA256 ;
politique de moindre privilège pour l'accès aux services tiers.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur procédera à la notification à la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et aux personnes concernées le cas échéant (art. 34).

9. Cookies et traceurs

Le site lafabrik.vercel.app ne dépose aucun cookie de traçage publicitaire ni de mesure d'audience tiers (ni Google Analytics, ni Meta Pixel, ni équivalent). Aucun consentement préalable n'est donc requis au sens de la directive ePrivacy.

Le logiciel La Fabrik installé localement stocke des préférences (langue, thème, session) dans le stockage local de l'application — ces données ne quittent pas votre machine sauf action explicite de votre part (synchronisation cloud, publication).

10. Modifications de la politique

La présente politique peut être modifiée pour refléter des évolutions du service, du cadre légal ou des sous-traitants utilisés. Toute modification substantielle sera notifiée par email aux utilisateurs concernés au moins 15 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.

11. Contact et réclamation

Pour toute question relative au traitement de vos données : contact@lafabrik.app.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente. En France :

CNIL — Commission nationale de l'informatique et des libertés
3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
cnil.fr/fr/plaintes