Mentions légales
Politique de confidentialité
Dernière mise à jour : 1er juin 2026
1. Préambule et principes
HKS (« HKS », « nous ») attache une importance fondamentale au respect de la vie privée des utilisateurs de Vigie.
Principes architecturaux qui réduisent l’exposition aux données :
- Local-first : les emails et événements bruts sont lus directement depuis vos comptes vers votre Mac. Aucune copie n’est conservée sur nos serveurs.
- Minimisation IA : seul un extrait pertinent (sujet + 200 premiers caractères + métadonnées) est envoyé au modèle Claude, jamais le corps complet de l’email.
- Pas de profilage commercial : vos données ne sont pas utilisées pour entraîner des modèles d’IA ni revendues à des tiers.
- Chiffrement : les transferts API utilisent TLS 1.2+. Les mots de passe sont hachés avec bcrypt. Les tokens OAuth sont stockés localement.
2. Responsable de traitement
HKS (forme juridique, raison sociale et coordonnées en cours de finalisation) Email : privacy@hashkey-services.com
3. Données collectées et finalités
3.1 Sur les serveurs HKS
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse email du compte | Authentification, communication transactionnelle | Exécution du contrat |
| Mot de passe haché (bcrypt) | Authentification | Exécution du contrat |
| Clé de licence | Activation du Logiciel | Exécution du contrat |
| Adresse IP des connexions | Sécurité, anti-fraude | Intérêt légitime |
| User-Agent des connexions | Sécurité, support technique | Intérêt légitime |
| Plan d’abonnement, statut | Gestion de la facturation | Exécution du contrat |
| Compteur de quota mensuel | Application des conditions du plan | Exécution du contrat |
| Logs applicatifs (90 jours) | Diagnostic, sécurité | Intérêt légitime |
3.2 Localement sur votre Mac (jamais envoyées à HKS)
| Donnée | Finalité |
|---|---|
| Tokens OAuth Microsoft 365 / Google | Lecture des emails et calendrier |
| Mots de passe d’application Apple (iCloud) | Lecture IMAP/CalDAV |
| Emails lus (sujet, expéditeur, corps) | Génération du briefing (mémoire vive) |
| Événements de calendrier | Génération du briefing |
| Briefings générés | Historique consultable |
| Feedbacks 👍/👎 | Amélioration de la qualité |
3.3 Données transmises à Anthropic (USA)
À chaque génération de briefing, Vigie transmet à l’API d’Anthropic Inc. :
- Le prompt système (rôle, format du briefing) — pas de données personnelles.
- Pour chaque email pertinent : sujet + 200 premiers caractères du corps + nom de l’expéditeur + horodatage.
- Pour chaque événement : titre + heure + participants.
⚠️ Ces données contiennent des informations personnelles. Anthropic est lié contractuellement à ne pas les utiliser pour entraîner ses modèles.
4. Base juridique
Conformément à l’article 6 du RGPD :
- Exécution du contrat (art. 6.1.b) pour les traitements nécessaires à la fourniture du service.
- Intérêt légitime (art. 6.1.f) pour la sécurité, l’anti-fraude et les logs applicatifs.
- Consentement (art. 6.1.a) pour les notifications par email. Retirable à tout moment depuis
/account.
5. Destinataires et sous-traitants
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Anthropic Inc. | Modèle d’IA (génération du briefing) | États-Unis |
| Lemon Squeezy (Merchant of Record) | Paiement, facturation, TVA | États-Unis |
| OVH SAS | Hébergement API et site | France |
HKS ne transmet aucune donnée à des tiers à des fins commerciales ou publicitaires.
6. Transferts hors UE
Certains sous-traitants (Anthropic, Lemon Squeezy) sont situés aux États-Unis. Les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) et une analyse d’impact conforme à l’arrêt Schrems II. HKS met en œuvre des mesures de minimisation (extraits courts, pas de PII étendues) pour réduire ce risque.
7. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur actif | Durée d’utilisation + 3 ans après dernière connexion |
| Données de facturation | 10 ans (obligation comptable) |
| Logs de connexion | 12 mois |
| Logs applicatifs | 90 jours |
| Données locales sur Mac | Jusqu’à désinstallation par l’utilisateur |
| Cookies de session | Durée de la session navigateur |
Après suppression du compte, les données sont effacées sous 30 jours, à l’exception des données soumises à obligation légale.
8. Sécurité
HKS met en œuvre :
- TLS 1.2+ pour tous les transferts ;
- Hachage bcrypt des mots de passe ;
- JWT signés HS256 ;
- Chiffrement Ed25519 des mises à jour de l’application ;
- Stockage des tokens OAuth dans des fichiers locaux à permissions restreintes ;
- Vérification HMAC des webhooks de paiement.
Aucun système n’est invulnérable. En cas de doute : privacy@hashkey-services.com.
9. Vos droits
Conformément aux articles 15 à 22 du RGPD :
- Droit d’accès ;
- Droit de rectification ;
- Droit à l’effacement (« droit à l’oubli ») ;
- Droit à la limitation du traitement ;
- Droit à la portabilité ;
- Droit d’opposition ;
- Droit de retirer le consentement ;
- Droit de définir des directives post mortem.
Pour exercer ces droits : privacy@hashkey-services.com avec une pièce d’identité. Nous répondons sous 30 jours.
10. Cookies et traceurs
Le Site utilise uniquement des cookies strictement nécessaires (session, préférences). Aucun cookie publicitaire ou de tracking tiers.
11. Mineurs
Vigie n’est pas destiné aux mineurs. La création de compte est réservée aux personnes majeures ou agissant dans un cadre professionnel B2B.
12. Notification de violation
En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, HKS s’engage à notifier la CNIL dans les 72 heures et à informer directement les personnes concernées en cas de risque élevé.
13. Modification
HKS peut modifier la présente Politique. Toute modification substantielle est notifiée par email au moins 15 jours avant son entrée en vigueur.
14. Contact et réclamation
- Email : privacy@hashkey-services.com
Vous pouvez également introduire une réclamation auprès de la CNIL : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — cnil.fr.