La présente Politique de confidentialité décrit comment Lumiq IA (ci-après « le Service ») collecte, traite et protège les données personnelles de ses utilisateurs, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
Fabien Deshais
Entrepreneur Individuel — Micro-entreprise
Siège social : 231 rue Saint-Honoré, 75001 Paris, France
Email : legal@lumiq-ia.com
Téléphone : +33 6 77 30 61 98
Pour toute question relative à la protection de vos données personnelles : legal@lumiq-ia.com
Lumiq IA n'a pas désigné de Délégué à la Protection des Données (DPO), cette désignation n'étant pas obligatoire au regard de la taille de la structure et de la nature des traitements effectués (article 37 RGPD).
2. Données collectées
2.1 Données collectées directement auprès de vous
Lors de la création de votre compte :
- Adresse email (obligatoire)
- Mot de passe (chiffré et jamais stocké en clair) OU identifiant Google si vous utilisez l'authentification Google SSO
- Nom d'affichage (facultatif)
- Avatar (facultatif)
Lors de l'utilisation du service :
- Textes que vous soumettez à l'IA pour analyse
- Résultats générés par l'IA à partir de vos textes
- Mode d'analyse choisi (résumer, reformuler, simplifier, points clés)
- Préférences d'interface (langue, mode sombre/clair)
Lors d'un abonnement payant :
- Coordonnées bancaires : JAMAIS collectées ni stockées par Lumiq IA, uniquement traitées par notre prestataire de paiement Stripe
- Adresse de facturation (le cas échéant)
- Historique de facturation
2.2 Données collectées automatiquement
Données techniques :
- Adresse IP (hashée immédiatement, non stockée en clair)
- Type et version du navigateur
- Système d'exploitation
- Date et heure de connexion
- Pages visitées et actions effectuées dans l'application
- Logs techniques (erreurs, performance)
Données d'usage :
- Nombre d'analyses effectuées (pour suivi des quotas de votre plan)
- Date de la dernière activité
- Statistiques anonymisées sur l'utilisation du service
2.3 Données NON collectées
Lumiq IA NE collecte PAS :
- Vos coordonnées bancaires (gérées exclusivement par Stripe)
- Vos contacts ou carnet d'adresses
- Vos données de géolocalisation précise
- Vos données de navigation hors du site Lumiq IA
- Aucune donnée sensible au sens de l'article 9 du RGPD (origine ethnique, opinions politiques, religion, santé, vie sexuelle, etc.)
3. Finalités et bases légales du traitement
Conformément à l'article 6 du RGPD, chaque traitement est fondé sur une base légale spécifique :
| Finalité | Base légale | Article RGPD |
|---|---|---|
| Fourniture du service d'analyse IA | Exécution du contrat | 6.1.b |
| Gestion de votre compte utilisateur | Exécution du contrat | 6.1.b |
| Traitement des paiements et facturation | Exécution du contrat + Obligation légale | 6.1.b + 6.1.c |
| Conservation des factures (10 ans) | Obligation légale (Code de commerce) | 6.1.c |
| Sécurité du service et prévention des abus | Intérêt légitime | 6.1.f |
| Amélioration du produit (statistiques anonymes) | Intérêt légitime | 6.1.f |
| Envoi d'emails transactionnels | Exécution du contrat | 6.1.b |
| Réponse à vos demandes d'exercice des droits RGPD | Obligation légale | 6.1.c |
Intérêt légitime : nos intérêts légitimes (assurer la sécurité du service, prévenir la fraude, améliorer l'expérience utilisateur) sont mis en balance avec vos droits et libertés fondamentaux. Vous pouvez à tout moment vous opposer à ces traitements (voir section 7).
4. Traitement par intelligence artificielle
Lumiq IA utilise des modèles d'intelligence artificielle générative pour analyser et transformer vos textes. Cette section explique précisément comment vos données sont traitées par ces systèmes.
4.1 Modèle d'IA utilisé
Nous utilisons Google Gemini API, fourni par Google LLC, pour effectuer les analyses de texte (résumés, reformulations, simplifications, extractions de points clés).
4.2 Traitement de vos textes
Lorsque vous soumettez un texte à analyser :
- Le texte est temporairement transmis aux serveurs de Google Gemini API
- L'analyse est effectuée par les modèles d'IA de Google
- Le résultat vous est renvoyé via notre application
- Le texte est supprimé des serveurs de Google sous 24 heures maximum
4.3 Engagement de Google sur la non-utilisation des données
Important : nous utilisons Google Gemini API en mode payant (entreprise), ce qui implique l'engagement contractuel suivant de la part de Google :
Vos textes et les résultats générés NE SONT PAS utilisés pour entraîner les modèles d'IA de Google.
Cet engagement est encadré par les conditions d'utilisation de Google Cloud Platform (différentes du mode consumer gratuit).
4.4 Limites et avertissements sur l'IA
L'intelligence artificielle peut produire des erreurs ou des résultats inattendus. Vous reconnaissez que :
- Les résultats générés sont fournis à titre indicatif
- Lumiq IA ne garantit pas l'exactitude absolue des résultats
- Vous êtes responsable de vérifier les résultats avant tout usage critique
- Vous ne devez pas soumettre de données sensibles ou confidentielles (données médicales, secrets industriels, informations bancaires, etc.)
4.5 Droit à l'intervention humaine
Conformément à l'article 22 du RGPD, vous ne faites l'objet d'aucune décision entièrement automatisée produisant des effets juridiques à votre égard. Les résultats de l'IA sont systématiquement à votre disposition sans engagement contraignant. Vous gardez l'entière maîtrise de leur utilisation.
5. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte actif | Tant que le compte est actif |
| Données de compte après suppression | 30 jours (puis effacement définitif) |
| Textes soumis à l'IA et résultats | Selon votre plan : 7 jours (Free) à illimité (Pro) |
| Logs techniques | 12 mois maximum |
| Données de facturation | 10 ans (obligation comptable — Code de commerce art. L.123-22) |
| Logs de sécurité et tentatives d'accès | 12 mois |
| Données analytiques anonymisées | Indéfiniment (anonymisées) |
| Données soumises à Google Gemini API | 24 heures maximum chez Google |
| Logs Sentry (monitoring d'erreurs) | 90 jours |
| Logs Resend (emails transactionnels) | 30 jours |
Passé ces délais, vos données sont automatiquement supprimées ou anonymisées de manière irréversible.
6. Destinataires des données et sous-traitants
6.1 Aucune revente de données
Lumiq IA ne vend, ne loue, ni ne partage vos données personnelles à des tiers à des fins commerciales ou publicitaires.
6.2 Sous-traitants utilisés
Nous faisons appel à des sous-traitants techniques qui agissent uniquement sur nos instructions, conformément à l'article 28 du RGPD. Chaque sous-traitant a signé un Data Processing Agreement (DPA) avec Lumiq IA.
| Sous-traitant | Rôle | Localisation | Cadre juridique |
|---|---|---|---|
| Cloudflare, Inc. | Hébergement de l'application web (Cloudflare Workers) | Réseau edge mondial — traitement principal UE | Clauses Contractuelles Types (Décision UE 2021/914) + DPA signé |
| Supabase Inc. | Base de données et authentification | Stockage en Union européenne (Frankfurt) | Aucun transfert hors UE pour les données stockées |
| Google LLC (Gemini API) | Traitement par IA des textes soumis | USA | Clauses Contractuelles Types + Data Privacy Framework UE-USA |
| Google LLC (OAuth) | Authentification SSO via OAuth 2.0 | USA | Clauses Contractuelles Types + Data Privacy Framework UE-USA |
| Stripe, Inc. | Traitement des paiements et facturation | USA / Irlande | Clauses Contractuelles Types + Data Privacy Framework UE-USA |
| Resend, Inc. | Envoi d'emails transactionnels | USA | Clauses Contractuelles Types + DPA signé |
| Sentry (Functional Software, Inc.) | Monitoring d'erreurs techniques | Région EU (Frankfurt) | Aucun transfert hors UE |
6.3 Transferts de données hors Union européenne
Certains de nos sous-traitants sont situés en dehors de l'Union européenne, principalement aux États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914 du 4 juin 2021)
- L'adhésion de Google et Stripe au Data Privacy Framework UE-USA (décision d'adéquation de la Commission européenne du 10 juillet 2023)
- Les Data Processing Agreements (DPA) signés avec chaque sous-traitant
Vous pouvez obtenir une copie des garanties mises en place en nous écrivant à legal@lumiq-ia.com.
6.4 Communication aux autorités
Vos données peuvent être communiquées aux autorités publiques compétentes uniquement sur réquisition judiciaire et dans le respect strict des procédures légales (articles 60 et suivants du Code de procédure pénale).
7. Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :
7.1 Droit d'accès (article 15 RGPD)
Vous pouvez obtenir la confirmation que vos données sont traitées et en recevoir une copie.
7.2 Droit de rectification (article 16 RGPD)
Vous pouvez demander la correction de données inexactes ou incomplètes vous concernant.
7.3 Droit à l'effacement (article 17 RGPD)
Vous pouvez demander la suppression de vos données personnelles, notamment lorsqu'elles ne sont plus nécessaires.
Pour supprimer votre compte : rendez-vous dans votre Tableau de bord → Paramètres → Supprimer mon compte. La suppression est effective sous 30 jours.
7.4 Droit à la limitation du traitement (article 18 RGPD)
Vous pouvez demander la suspension temporaire du traitement de vos données.
7.5 Droit à la portabilité (article 20 RGPD)
Vous pouvez récupérer vos données dans un format structuré (JSON ou CSV) et les transmettre à un autre service.
Pour exporter vos données : Tableau de bord → Paramètres → Exporter mes données.
7.6 Droit d'opposition (article 21 RGPD)
Vous pouvez vous opposer au traitement de vos données fondé sur notre intérêt légitime (sécurité, amélioration du produit).
7.7 Droit de retirer votre consentement (article 7.3 RGPD)
Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment.
7.8 Droit de définir des directives post-mortem
Vous pouvez définir des directives relatives au sort de vos données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés.
7.9 Comment exercer vos droits
Pour exercer l'un de ces droits, contactez-nous à : legal@lumiq-ia.com
Nous nous engageons à répondre à votre demande dans un délai maximum de 1 mois à compter de sa réception (article 12.3 RGPD). Ce délai peut être prolongé de deux mois en cas de demande complexe.
Aucune pièce d'identité ne vous sera demandée par défaut, sauf en cas de doute raisonnable sur l'identité du demandeur (article 12.6 RGPD).
7.10 Droit de réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL
3 place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : https://www.cnil.fr
8. Mesures de sécurité
Lumiq IA met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité de vos données :
Mesures techniques
- Chiffrement en transit : TLS 1.3 pour toutes les communications
- Chiffrement au repos : AES-256 pour les données stockées
- Hashing des mots de passe : bcrypt avec salt unique
- Row-Level Security (RLS) : isolation stricte des données par utilisateur
- Tokens JWT sécurisés : authentification stateless
- Limitation du débit (rate limiting) : protection contre les abus
- Sauvegardes automatiques : redondance des données critiques
Mesures organisationnelles
- Accès restreint : seules les personnes autorisées peuvent accéder aux données
- Journalisation : tous les accès aux données sont tracés
- Sensibilisation : formation aux bonnes pratiques de sécurité
- Audit régulier : revue périodique des mesures de sécurité
- Sélection rigoureuse des sous-traitants : vérification des certifications (ISO 27001, SOC 2)
En cas de violation de données
Conformément à l'article 33 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance
- Vous informer directement sans délai si la violation présente un risque élevé pour vos droits
- Mettre en place les mesures correctives nécessaires
- Documenter l'incident dans notre registre des violations
9. Mineurs
Lumiq IA n'est pas destiné aux mineurs de moins de 15 ans (article 8.1 du RGPD et article 7-1 de la loi Informatique et Libertés).
Les utilisateurs âgés de 15 à 18 ans peuvent utiliser le service avec l'autorisation parentale.
Si nous découvrons qu'un mineur de moins de 15 ans a créé un compte sans le consentement de ses représentants légaux, nous procéderons à la suppression immédiate de ce compte et des données associées.
Si vous êtes le représentant légal d'un mineur et que vous souhaitez nous signaler un compte créé sans votre autorisation : legal@lumiq-ia.com
10. Cookies et technologies similaires
L'utilisation des cookies sur notre site est détaillée dans notre Politique cookies.
En résumé :
- Lumiq IA utilise uniquement des cookies strictement nécessaires(authentification, session, préférences linguistiques)
- Aucun cookie publicitaire ou de tracking tiers n'est utilisé
- Vous n'avez donc pas besoin de consentir à des cookies non essentiels
11. Modifications de la présente politique
Lumiq IA se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour :
- Refléter des évolutions de la législation applicable
- Prendre en compte de nouvelles fonctionnalités du service
- Améliorer la transparence sur nos pratiques
En cas de modification substantielle, les utilisateurs inscrits seront informés par email au moins 30 jours avant l'entrée en vigueur des modifications. La date de dernière mise à jour est indiquée en haut de cette page.
12. Contact
Pour toute question relative à cette politique ou à la protection de vos données personnelles :
Email : legal@lumiq-ia.com
Téléphone : +33 6 77 30 61 98
Courrier postal : 231 rue Saint-Honoré, 75001 Paris, France
Nous nous engageons à répondre à toute demande dans un délai maximum de 1 mois.
Voir également nos mentions légales.