La présente politique de confidentialité (ci-après la « Politique ») décrit précisément la manière dont BAVINI collecte, utilise, partage et protège les données à caractère personnel de ses utilisateurs, en application du Règlement (UE) 2016/679 du 27 avril 2016 dit « RGPD » et de la loi française n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ». Nous nous engageons à traiter vos données de manière transparente, loyale et proportionnée.
1. Responsable du traitement
Le responsable du traitement des données collectées via le Service est l'éditeur de la plateforme BAVINI, dont les coordonnées complètes figurent dans les mentions légales. Pour toute question relative à la protection de vos données, vous pouvez contacter notre délégué à la protection des données (DPO) à l'adresse privacy@bavini.app.
2. Données collectées
Selon votre utilisation du Service, les catégories de données suivantes peuvent être collectées :
- Données de compte : adresse email, identifiant utilisateur, mot de passe haché, nom d'affichage facultatif, préférences (langue, thème, paramètres d'interface).
- Données d'usage : prompts et messages envoyés à l'agent, projets et fichiers générés, historiques de chat, tokens consommés, requêtes API, logs techniques (timestamps, identifiants de requête, codes d'erreur).
- Données de connexion : adresse IP, type de navigateur, système d'exploitation, horodatage des sessions, identifiant de session. Ces données sont collectées via des journaux techniques nécessaires à la sécurité du Service.
- Données de facturation : identifiant client Stripe, statut d'abonnement, historique des paiements, factures. Les coordonnées bancaires complètes sont traitées et conservées exclusivement par Stripe, certifié PCI-DSS niveau 1 ; BAVINI n'y a jamais accès.
- Données de support : contenu des échanges avec notre équipe support (emails, formulaires de contact), pièces jointes éventuelles.
Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, orientation sexuelle, etc.) n'est collectée par le Service. Nous vous demandons expressément de ne pas soumettre de telles données via les prompts adressés à l'agent.
3. Finalités et bases légales
Vos données sont traitées pour les finalités suivantes, chacune reposant sur une base légale spécifique :
- Fourniture du Service (exécution du contrat, art. 6.1.b RGPD) : création et gestion du compte, traitement des prompts, persistance des projets, support utilisateur.
- Facturation et comptabilité (obligation légale, art. 6.1.c) : émission des factures, conservation des justificatifs, lutte contre la fraude.
- Sécurité et lutte contre les abus (intérêt légitime, art. 6.1.f) : détection d'usages anormaux, prévention des intrusions, modération des contenus illicites.
- Amélioration du Service (intérêt légitime, art. 6.1.f) : analyses statistiques agrégées et anonymisées sur l'utilisation des fonctionnalités. Nous n'utilisons jamais le contenu de vos prompts ou projets pour entraîner des modèles d'IA sans votre consentement exprès.
- Communications marketing (consentement, art. 6.1.a) : envoi d'actualités produit, retirable à tout moment via le lien de désabonnement présent dans chaque message.
4. Destinataires et sous-traitants
Vos données sont accessibles aux personnels habilités de BAVINI strictement dans la limite de leurs attributions, ainsi qu'aux sous-traitants techniques suivants qui agissent sur instructions écrites et présentent des garanties suffisantes au sens de l'article 28 du RGPD :
- Anthropic (États-Unis), fournisseur des modèles Claude utilisés par l'agent ; traitement des prompts conformément aux engagements de confidentialité Anthropic Enterprise.
- Cloudflare (États-Unis / Union européenne), hébergement de la plateforme, réseau de distribution de contenu, protection anti-DDoS.
- Supabase (Singapour / Union européenne), base de données applicative, authentification, stockage de fichiers.
- Stripe (Irlande / États-Unis), traitement des paiements et conservation des moyens de paiement.
- Resend / Postmark (États-Unis), envoi des emails transactionnels et notifications.
Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales. Une liste exhaustive et actualisée des sous-traitants peut être obtenue sur simple demande à privacy@bavini.app.
5. Transferts hors UE
Certains de nos sous-traitants sont établis hors de l'Union européenne, notamment aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021) et, le cas échéant, par les certifications du cadre Data Privacy Framework UE-États-Unis. Des mesures techniques complémentaires (chiffrement en transit et au repos, pseudonymisation) sont mises en place pour renforcer la protection des données transférées.
6. Durée de conservation
- Données de compte : conservées pendant toute la durée d'activité du compte, puis effacées dans un délai de 30 jours après sa fermeture (sauf prolongation justifiée par une obligation légale).
- Projets et historiques de chat : conservés pendant la durée d'activité du compte ; un export complet peut être demandé à tout moment.
- Logs techniques et de sécurité : 90 jours glissants.
- Factures et justificatifs comptables : 10 ans à compter de leur émission, conformément à l'article L. 123-22 du Code de commerce.
- Données de prospection : 3 ans à compter du dernier contact actif.
7. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir copie des données vous concernant ;
- Droit de rectification : corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données sous réserve des obligations légales de conservation ;
- Droit à la limitation du traitement ;
- Droit d'opposition au traitement fondé sur l'intérêt légitime ou la prospection ;
- Droit à la portabilité : recevoir vos données dans un format structuré, ou demander leur transmission directe à un autre responsable de traitement ;
- Droit de définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, écrivez à privacy@bavini.app en joignant un justificatif d'identité si nécessaire. Nous nous engageons à répondre dans un délai d'un mois, prorogeable de deux mois en cas de complexité particulière. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL, 3 place de Fontenoy, 75007 Paris, www.cnil.fr).
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au regard du risque, notamment : chiffrement des données en transit (TLS 1.3) et au repos (AES-256), authentification forte des accès administrateurs, journalisation des événements de sécurité, séparation des environnements, sauvegardes chiffrées, revues de code et audits de sécurité périodiques. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifions la CNIL dans un délai de 72 heures et vous en informons sans délai injustifié.
9. Cookies et traceurs
BAVINI n'utilise que des cookies strictement nécessaires au fonctionnement du Service (cookie de session, mémorisation des préférences de langue et de thème, mémorisation du consentement). Ces cookies sont dispensés du recueil du consentement préalable au titre de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire, aucun pixel de mesure d'audience tiers et aucun traceur de réseaux sociaux n'est déployé. Si nous devions un jour activer des traceurs soumis à consentement, un bandeau de consentement granulaire serait affiché conformément aux recommandations de la CNIL.
10. Contact et réclamations
Pour toute question, demande ou réclamation relative au traitement de vos données, vous pouvez nous contacter aux adresses suivantes :
- DPO / protection des données : privacy@bavini.app
- Sécurité (incident, vulnérabilité) : security@bavini.app
- Autorité de contrôle : CNIL, www.cnil.fr/fr/plaintes