Biofibers

Politique de Confidentialité

Dernière mise à jour : 20 mars 2026

14
Sections
RGPD
Conforme
FR
Droit applicable
UE
Hébergement
01 Identité du Responsable de Traitement

Le responsable du traitement de vos données personnelles est H4LL4Y, Entreprise Individuelle. Voir nos mentions légales pour l’identification complète.

S’agissant d’une micro-entreprise, aucun DPO formel n’est requis (Art. 37 RGPD). Le responsable du traitement reste joignable à l’adresse ci-dessus pour toute demande relative aux données personnelles.

02 Données Collectées & Finalités

Biofibers applique une politique de minimisation stricte : nous ne collectons que les données strictement nécessaires au fonctionnement du service.

2.1 Mode Light (Anonyme)

  • Adresse IP : Conservée temporairement dans les logs serveur (7 jours maximum) pour la sécurité et le debug
  • Métadonnées techniques : Navigateur, système d'exploitation, résolution d'écran (statistiques agrégées uniquement)
  • Requêtes anonymisées : Le contenu de vos questions est transmis aux API d'IA mais non stocké de manière identifiable

Finalité : Fourniture du service, sécurité, amélioration technique.

2.2 Mode CIA (Authentifié)

  • Email : Obligatoire pour l'authentification sans mot de passe (magic link ou code de vérification à usage unique envoyé par email)
  • Historique des requêtes : Vos questions et réponses du Conseil des IA, stockées dans une base PostgreSQL hébergée sur le serveur européen (Finlande), avec purge automatique
  • Journaux d'audit : Connexions, actions sensibles et événements de sécurité, conservés 90 jours maximum puis purgés automatiquement
  • Préférences utilisateur : Paramètres de personnalisation (optionnel)

Finalité : Authentification, fourniture du service, optimisation de l'expérience utilisateur, support.

2.3 Module PAPI (Prompt Architect Pro Iterator)

PAPI est un outil avancé d'optimisation de prompts disponible pour les utilisateurs authentifiés. Dans le cadre de son utilisation, les données suivantes sont traitées :

  • Instructions système et projet : Les prompts que vous rédigez ou optimisez sont stockés côté serveur (templates, presets, profils) et peuvent être transmis aux fournisseurs d'IA pour audit et amélioration
  • Clés API personnelles : Si vous ajoutez vos propres clés API au coffre-fort, elles sont chiffrées en AES-256-GCM avant stockage en base de données — elles ne sont jamais accessibles en clair
  • Historique des itérations : Scores, critères d'audit et résultats des optimisations, stockés pour suivi de progression
  • Stockage local (navigateur) : État de l'interface, historique de session et préférences — chiffrés en AES-GCM dans le localStorage de votre navigateur, ces données restent sur votre appareil

Finalité : Optimisation de prompts, audit qualité, suivi de performance.

2.4 Orchestration n8n (Auto-hébergé)

Certaines fonctionnalités avancées de PAPI utilisent un moteur d'orchestration n8n auto-hébergé sur le même serveur européen. Dans ce cadre :

  • Vos instructions et requêtes transitent en clair entre le serveur API et le moteur n8n, mais restent dans le réseau interne du serveur (communication Docker locale, jamais exposée sur Internet)
  • Les journaux d'exécution n8n peuvent contenir le texte de vos requêtes — ils sont conservés sur le serveur et soumis aux mêmes durées de conservation que les autres données
  • Aucune donnée n'est transmise à n8n GmbH ou à un service cloud tiers — l'instance est intégralement auto-hébergée

⚡ Transparence sur le Transit des Données

Lorsque vous utilisez les fonctionnalités d'IA, vos instructions et requêtes sont transmises en clair (texte non chiffré) aux fournisseurs d'IA via des connexions HTTPS sécurisées (chiffrement en transit TLS 1.3). Ces fournisseurs peuvent traiter vos données conformément à leurs propres politiques de confidentialité (voir section 4). Biofibers ne procède à aucune anonymisation du contenu de vos prompts avant transmission — le service nécessite l'envoi du texte original pour fonctionner.

🔒 Données NON Collectées

Nous ne collectons JAMAIS : mot de passe (authentification sans mot de passe uniquement), numéro de téléphone, adresse postale, carte bancaire, données biométriques, localisation GPS précise, données de santé, opinions politiques ou religieuses.

03 Base Légale du Traitement

Conformément au RGPD (Règlement Général sur la Protection des Données), nos traitements reposent sur les bases légales suivantes :

  • Exécution du contrat : Fourniture du service Biofibers que vous avez sollicité (Art. 6.1.b RGPD)
  • Consentement : Accord explicite pour tout traitement supplémentaire (Art. 6.1.a RGPD)
  • Intérêt légitime : Sécurité du système, prévention de la fraude, amélioration du service (Art. 6.1.f RGPD)
  • Obligation légale : Conservation des journaux de sécurité et coopération avec les autorités en cas de réquisition judiciaire (Art. 6.1.c RGPD)
04 Destinataires des Données

Vos données peuvent être transmises aux catégories de destinataires suivantes, uniquement dans la mesure nécessaire :

4.1 Fournisseurs d'IA (Sous-traitants)

Pour fonctionner, Biofibers transmet vos requêtes aux API des modèles d'IA. Ces fournisseurs agissent en qualité de sous-traitants et appliquent leurs propres politiques de confidentialité :

IMPORTANT : Nous recommandons la lecture de ces politiques pour comprendre comment ces tiers traitent vos données.

Non-entraînement : Les API utilisées par Biofibers sont configurées avec l'option de non-entraînement lorsqu'elle est disponible. Vos données ne sont pas utilisées pour entraîner les modèles des fournisseurs.

4.2 Hébergement & Infrastructure

  • Serveur dédié : Ubuntu 24.04 LTS, auto-hébergé et situé physiquement en Union Européenne (Finlande)
  • Cloudflare : DNS, registrar domaine et certificat SSL (siège aux États-Unis — voir section Transferts)
  • Serveur email : Postfix auto-hébergé sur le même serveur européen, signé DKIM — utilisé uniquement pour les emails transactionnels (magic links, codes de vérification)
  • SimpleLogin : Service de gestion d'alias email pour la réception du courrier entrant (siège en France)
  • Stripe (Stripe Payments Europe, Ltd) : Processeur de paiement pour les abonnements — conforme PCI DSS, siège en Irlande (UE). Biofibers ne stocke aucune donnée bancaire. Privacy Policy
  • Hébergeur : Hetzner Online GmbH — Industriestr. 25, 91710 Gunzenhausen, Allemagne. Datacenter situé à Helsinki, Finlande (UE). Tous les traitements de données sont effectués exclusivement au sein de l'Union européenne.

4.2.1 Cadre contractuel hébergeur

  • Data Processing Agreement (Art. 28 RGPD) en vigueur entre H4LL4Y et Hetzner Online GmbH — version 1.2 du 16 février 2026
  • Traitement exclusivement UE/EEE — aucun transfert hors Union européenne (§ 3 du DPA)
  • Mesures techniques et organisationnelles (TOMs) documentées conformément à l'Art. 32 RGPD

4.2.2 Certifications hébergeur

  • ISO/IEC 27001 — Certifié depuis octobre 2016, valide jusqu'en septembre 2028. Couvre l'ensemble des services d'hébergement et des data centers.
  • BSI C5 Type 2 — Certificat obtenu en décembre 2025 (Cloud Computing Compliance Criteria Catalogue)
  • Audit TÜV Rheinland — Revue indépendante des TOMs des data centers (Helsinki, Nuremberg, Falkenstein). Résultat : aucune déviation identifiée (février 2026)

Les documents contractuels (DPA, rapport d'audit) sont conservés en interne et disponibles sur demande légitime.

🛡️ Engagement de Non-Vente

Biofibers ne vend JAMAIS vos données personnelles à des tiers. Aucune transmission à des fins publicitaires, marketing ou commerciales externes.

05 Durée de Conservation

Vos données sont conservées uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :

  • Logs serveur (IP) : 7 jours maximum
  • Historique des requêtes (Mode CIA) : Jusqu'à suppression du compte ou sur demande
  • Journaux d'audit : 90 jours (connexions, actions sensibles), purgés automatiquement
  • Magic links et codes de vérification : 10 minutes maximum après émission
  • Sessions JWT : Access token 15 minutes, refresh token 7 jours
  • Cookies : Durée variable selon le type (voir section Cookies)

Au-delà de ces durées, les données sont supprimées définitivement ou anonymisées de manière irréversible.

06 Mesures de Sécurité

Biofibers met en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, altération ou divulgation :

  • Chiffrement : HTTPS/TLS pour toutes les communications, chiffrement au repos pour les données sensibles
  • Authentification sans mot de passe : Magic links et codes de vérification à usage unique — aucun mot de passe n'est stocké
  • Tokens sécurisés : JWT HttpOnly, Secure, SameSite — non accessibles par JavaScript
  • Rate limiting : Protection anti brute-force sur les points d'authentification
  • Isolation réseau : Infrastructure Docker Compose avec segmentation réseau interne
  • Monitoring : Surveillance continue des métriques de sécurité et alertes automatiques
  • Mises à jour régulières : Système Ubuntu 24.04 LTS maintenu à jour
  • Accès restreint : Seul l'opérateur unique a accès aux serveurs de production
Aucun Système n'est Infaillible. Malgré nos efforts, aucune transmission de données sur Internet n'est garantie 100% sécurisée. En cas de faille de sécurité affectant vos données, nous nous engageons à vous notifier dans les 72 heures conformément au RGPD.
07 Vos Droits RGPD

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles. La majorité de ces droits sont exerçables directement depuis l'interface, sans avoir à nous contacter.

Droit d'accès (Art. 15 RGPD)

Vous pouvez obtenir une copie complète de toutes les données personnelles que nous détenons sur vous. Concrètement :

  • Ouvrez le module PAPI ou CIA, cliquez sur le bouton 👤 Compte, puis sur « Exporter mes données »
  • Un fichier JSON est téléchargé immédiatement contenant : votre profil, vos conversations et messages, vos sessions, vos runs PAPI (100 derniers) et votre journal d'audit (1000 dernières entrées)

Droit de rectification (Art. 16 RGPD)

Vous pouvez corriger vos données personnelles directement depuis l'interface :

  • Description de profil, fuseau horaire et ton préféré : modifiables depuis les paramètres de votre compte CIA
  • Instructions système et projet PAPI : éditables à tout moment via les profils systèmes et projets
  • Pour rectifier votre adresse email (identifiant unique), contactez-nous à [email protected]

Droit à l'effacement / « Droit à l'oubli » (Art. 17 RGPD)

Vous pouvez supprimer vos données à deux niveaux :

  • Suppression sélective : conversations, données PAPI (runs, templates, presets), clés API — chacune individuellement depuis l'interface
  • Suppression totale du compte : bouton « Supprimer mon compte » dans la modale Compte, protégé par une double confirmation (saisie du mot SUPPRIMER). Cette opération supprime irréversiblement toutes vos données en transaction atomique (voir section 11 pour le détail)

Droit à la limitation du traitement (Art. 18 RGPD)

Vous pouvez demander le gel temporaire du traitement de vos données (contestation de l'exactitude, traitement illicite, etc.). Cette demande s'effectue par email à [email protected] et sera traitée sous 30 jours.

Droit à la portabilité (Art. 20 RGPD)

Le bouton « Exporter mes données » (modale Compte) télécharge l'intégralité de vos données dans un format JSON structuré et lisible par machine, conforme aux exigences de l'Art. 20 RGPD. Le fichier est nommé biofibers-export-YYYY-MM-DD.json et contient :

  • Profil utilisateur (email, description, fuseau horaire, ton préféré)
  • Conversations et messages associés
  • Sessions d'authentification (IP, user-agent, dates)
  • Historique des itérations PAPI (mode, modèles, requête, prompts, score)
  • Journal d'audit (actions, horodatage)

De plus, le module PAPI propose un export dédié de vos prompts via le menu « ⬇ Exporter » en formats Markdown et JSON (ensemble ou séparé).

Droit d'opposition (Art. 21 RGPD)

Vous pouvez vous opposer à certains traitements fondés sur l'intérêt légitime. Biofibers ne pratiquant aucune prospection commerciale ni profilage, ce droit s'exerce principalement par email à [email protected].

📧 Exercer vos Droits

Les droits d'accès, de rectification, d'effacement et de portabilité sont exerçables en libre-service depuis l'interface (bouton 👤 Compte). Pour les droits nécessitant une intervention manuelle (limitation, opposition, rectification d'email), contactez : [email protected]
Délai de réponse : 30 jours maximum (prolongeable de 2 mois si complexité, conformément à l'Art. 12 RGPD).

08 Cookies & Technologies de Stockage

Biofibers utilise exclusivement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, analytique ou de suivi tiers n'est déposé.

Cookies Strictement Nécessaires (exemptés de consentement)

  • access_token : Jeton d'authentification JWT — HttpOnly, Secure, SameSite=Lax — durée : 15 minutes — permet d'identifier votre session active
  • refresh_token : Jeton de renouvellement JWT — HttpOnly, Secure, SameSite=Strict — durée : 7 jours — permet de prolonger votre session sans ré-authentification

Ces cookies sont HttpOnly (inaccessibles par JavaScript) et Secure (transmis uniquement via HTTPS). Ils ne contiennent aucune donnée personnelle en clair — uniquement un identifiant chiffré.

Stockage Local (localStorage)

Le navigateur stocke localement vos préférences d'interface et l'état de vos outils (Prompt Architect). Ces données restent exclusivement sur votre appareil et ne sont jamais transmises au serveur. Vous pouvez les supprimer à tout moment via les paramètres de votre navigateur.

🚫 Aucun Cookie Tiers

Biofibers n'utilise aucun service d'analytique (Google Analytics, Matomo, etc.), aucun pixel de suivi, aucun cookie publicitaire. Aucune bannière de consentement cookies n'est nécessaire car seuls des cookies strictement nécessaires sont utilisés.

09 Transferts Internationaux

Certains de nos sous-traitants (fournisseurs d'IA) sont situés en dehors de l'Union Européenne, notamment aux États-Unis.

Ces transferts sont encadrés par :

  • EU-US Data Privacy Framework (DPF) : Cadre de protection des données UE-États-Unis adopté par la Commission Européenne (décision d'adéquation du 10 juillet 2023). OpenAI, Google et Cloudflare sont certifiés DPF.
  • Clauses Contractuelles Types (CCT) : Pour les fournisseurs non couverts par le DPF, les transferts sont encadrés par les CCT approuvées par la Commission Européenne
  • Évaluation des garanties : Nous vérifions que chaque sous-traitant offre un niveau de protection conforme au RGPD avant toute transmission de données

Sous-traitants concernés : OpenAI, Anthropic, Google, xAI, Perplexity (fournisseurs d'IA — États-Unis), Cloudflare (DNS/SSL — États-Unis), SimpleLogin (aliases email — France/UE).

10 Modifications de la Politique

Cette Politique de Confidentialité peut être modifiée pour refléter les évolutions légales, techniques ou organisationnelles.

Toute modification substantielle sera notifiée via :

  • Bandeau visible sur la plateforme (7 jours minimum)
  • Email pour les utilisateurs authentifiés (mode CIA)
  • Mise à jour de la date « Dernière modification » en haut de cette page

Nous vous encourageons à consulter régulièrement cette politique.

11 Contrôle de vos Données & Suppression

Vous disposez d'un contrôle total sur votre compte et vos données. Biofibers vous permet d'exercer ce contrôle directement depuis l'interface, sans avoir à contacter le support.

Suppression sélective

  • Conversations : Supprimez individuellement chaque conversation depuis l'interface — suppression immédiate et définitive en base de données
  • Données PAPI : Purgez l'ensemble de vos runs, templates, presets et paramètres Prompt Architect en un clic depuis la section Compte
  • Clés API : Supprimez vos clés du coffre-fort à tout moment — la clé chiffrée est immédiatement effacée de la base
  • Données locales : Videz le stockage local de votre navigateur (localStorage) depuis les paramètres de votre navigateur

Suppression totale du compte (Droit à l'oubli)

Vous pouvez demander la suppression complète et irréversible de votre compte. Cette opération, protégée par une double confirmation, entraîne :

  • Suppression de tous vos messages et conversations
  • Suppression de toutes vos sessions et tokens d'authentification
  • Suppression de toutes vos données PAPI (runs, templates, presets, paramètres)
  • Suppression de vos données chiffrées et codes de vérification
  • Suppression de votre compte utilisateur (email)

L'opération est exécutée en transaction atomique : soit tout est supprimé, soit rien ne l'est (aucun état intermédiaire possible).

📋 Rétention légale et anonymisation

Conformément aux obligations légales de sécurité, les journaux d'audit (connexions, événements de sécurité) sont conservés jusqu'à 90 jours après la suppression du compte. Ces journaux sont anonymisés lors de la suppression : votre identité est dissociée des entrées, qui ne contiennent plus que des métadonnées techniques non identifiantes. Au-delà de 90 jours, ces journaux sont purgés automatiquement.

12 Décision Automatisée & Profilage

Conformément à l'article 22 du RGPD, Biofibers ne prend aucune décision entièrement automatisée produisant des effets juridiques ou vous affectant de manière significative.

Les modèles d'IA utilisés par Biofibers génèrent des réponses textuelles à vos requêtes. Ces réponses sont de nature informative et consultative — elles ne constituent ni un avis juridique, médical ou financier, ni une décision vous concernant.

Aucun profilage n'est effectué à partir de vos données. L'historique des requêtes est utilisé uniquement pour vous permettre de retrouver vos conversations passées, et non pour adapter le service à un profil comportemental.

13 Protection des Mineurs

Biofibers est un service destiné aux personnes âgées de 15 ans et plus (article 8 du RGPD, seuil abaissé à 15 ans par l'article 45 de la loi Informatique et Libertés pour la France).

Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 15 ans. Si nous apprenons qu'un mineur de moins de 15 ans a fourni des données personnelles sans le consentement d'un titulaire de l'autorité parentale, nous supprimerons ces données dans les meilleurs délais. Vous pouvez nous signaler un tel cas à [email protected].

14 Contact & Réclamations

Contact Direct

Pour toute question concernant vos données personnelles ou cette politique :
Email : [email protected]
Délai de réponse : 30 jours maximum

Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle française :

CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr

Confiance & Transparence. Cette Politique de Confidentialité n'est pas qu'un document légal : elle matérialise notre engagement envers une IA éthique et respectueuse. Vos données nourrissent notre système nerveux collectif, mais elles restent vôtres. Vous gardez le contrôle, toujours.
Δ Historique des Modifications

Chaque modification apportée à cette politique est documentée ci-dessous, conformément à notre engagement de transparence.

Audit RGPD complet — Section 7 concrétisée 26 février 2026
  • correction — Section 7 : remplacement du texte juridique générique par les actions concrètes implémentées (bouton export, profil éditable, suppression sélective et totale)
  • correction — Section 7 Art. 20 : mention « JSON, CSV » remplacée par « JSON » (seul format réellement implémenté)
  • correction — Section 7 : distinction entre droits exerçables en libre-service et droits nécessitant un contact email
  • retrait — En-tête : « Conseil des Intelligences Artificielles » remplacé par « Politique de Confidentialité »
  • ajout — Section Historique des Modifications (cette section)
Transparence PAPI, n8n et contrôle utilisateur 25 février 2026
  • ajout — Section 2.3 : traitement des données du module PAPI (instructions, clés API chiffrées, historique des itérations, localStorage)
  • ajout — Section 2.4 : orchestrateur n8n (auto-hébergé, transit en clair sur réseau Docker interne, rétention des logs)
  • ajout — Carte transparence : divulgation honnête du transit des prompts en clair vers les fournisseurs IA via HTTPS
  • ajout — Section 11 : Contrôle de vos Données & Suppression (suppression sélective, suppression totale du compte, anonymisation audit_log 90 jours)
  • ajout — Section 12 : Décision Automatisée & Profilage (Art. 22 — aucune décision automatisée)
  • ajout — Section 13 : Protection des Mineurs (Art. 8 — seuil 15 ans, législation française)
Audit initial — Mise en conformité RGPD 25 février 2026
  • retrait — Prénom du responsable de traitement (données personnelles exposées)
  • correction — Section 4 : « Docker Swarm » remplacé par « Docker Compose » (technologie réellement utilisée)
  • retrait — Mentions fictives : facturation, newsletter, données bancaires (fonctionnalités inexistantes)
  • correction — Section 2.2 : ajout des détails d'authentification réels (magic links, JWT HttpOnly)
  • correction — Section 8 : remplacement des cookies vagues par la liste réelle (access_token, refresh_token) + localStorage
  • correction — Section 5 : durées de conservation alignées sur l'implémentation (audit 90j, magic links 10min, JWT 15min/7j)
  • correction — Section 6 : mesures de sécurité concrètes (passwordless, JWT HttpOnly, rate limiting, Docker Compose)
  • ajout — Section 9 : cadre EU-US Data Privacy Framework (2023) et liste des sous-traitants US
  • ajout — Table des matières mise à jour (14 sections)
Version initiale Janvier 2026
  • ajout — Publication initiale de la Politique de Confidentialité
  • ajout — Sections 1 à 10 : identité, collecte, base légale, destinataires, conservation, sécurité, droits, cookies, transferts, modifications