← Retour à l'accueil

Politique de Confidentialité

Dernière mise à jour : mai 2026

Cette politique explique quelles données Izi SaaS collecte, pourquoi, comment elles sont protégées, et quels sont vos droits. Conforme au RGPD (UE), à la Loi 2008-12 du Sénégal sur la protection des données personnelles, et aux principes généraux de protection de la vie privée.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est l'éditeur d'Izi SaaS, identifié dans les mentions légales. Pour toute question relative à vos données, contactez : privacy@izisaas.com.

2. Données collectées

Lors de votre utilisation d'Izi SaaS, nous collectons :

  • Identification : nom, prénom, adresse email, photo de profil (via Google OAuth si vous choisissez ce mode), pays
  • Profil onboarding : statut professionnel, temps disponible, niveau d'expérience, état de l'idée, WhatsApp (optionnel)
  • Données de projet : noms et descriptions de projets, conversations avec l'IA, documents générés (PRD, design briefs)
  • Clé API Anthropic (BYOK) : chiffrée en AES-256-GCM au repos avant stockage. Jamais visible en clair dans les logs ou réponses API
  • Données techniques : logs d'erreurs, identifiants de session, adresse IP (utilisée pour rate limiting), métriques d'utilisation anonymisées

3. Bases légales (RGPD art. 6)

  • Exécution du contrat (art. 6.1.b) — pour fournir le service que vous demandez
  • Intérêt légitime (art. 6.1.f) — pour la sécurité, le rate limiting, la prévention des abus
  • Consentement (art. 6.1.a) — pour le profilage onboarding (vous fournissez ces infos volontairement)

4. Finalité du traitement

Vos données sont utilisées pour :

  • Fournir et améliorer le service Izi SaaS
  • Personnaliser les conversations IA en fonction de votre pays, statut, expérience (mémoire de projet)
  • Acheminer vos messages vers Anthropic Claude via votre clé BYOK
  • Calculer les embeddings vectoriels via OpenAI pour la recherche dans la base de connaissances (RAG)
  • Assurer la sécurité du service (rate limiting, détection d'abus)

5. Sous-traitants et partage

Vos données ne sont jamais vendues, échangées ou cédées à des fins commerciales. Elles peuvent être traitées par les sous-traitants suivants, agissant strictement sur nos instructions :

  • Anthropic (États-Unis) — votre fournisseur IA. Les messages que vous envoyez à Claude sont transmis à Anthropic via votre clé BYOK. Vos données sont régies par la politique de confidentialité d'Anthropic. Anthropic s'engage à ne pas utiliser les données BYOK pour entraîner ses modèles.
  • OpenAI (États-Unis) — uniquement pour les embeddings (text-embedding-3-small). Ces appels sont initiés côté serveur avec notre clé. Les contenus envoyés sont des extraits textuels pour vectorisation, pas du chat. Politique OpenAI.
  • Neon (États-Unis / UE) — hébergement de la base de données PostgreSQL chiffrée
  • Vercel (États-Unis) — hébergement de l'application web
  • Upstash (États-Unis / UE) — Redis pour le rate limiting (identifiants de session uniquement, pas de contenu)
  • Google (États-Unis) — uniquement si vous choisissez l'authentification Google OAuth, pour vérifier votre identité

Pour les transferts hors UE, des clauses contractuelles types (CCT) ou autres garanties appropriées sont mises en place avec ces sous-traitants conformément aux art. 44-49 du RGPD.

6. Stockage et sécurité

Les données sont stockées sur des serveurs sécurisés (Neon PostgreSQL chiffré, Vercel). Les communications sont chiffrées via HTTPS (TLS 1.3). Les tokens d'authentification sont signés avec JWT (HS256) et stockés dans des cookies HttpOnly + SameSite=Lax. Les clés API BYOK sont chiffrées en AES-256-GCM au repos via une clé maître (BYOK_MASTER_KEY) détenue uniquement par l'éditeur, et ne sont jamais exposées en clair dans les logs ou les réponses API.

7. Durée de conservation

  • Compte actif : tant que votre compte existe
  • Compte supprimé : données personnelles et projets supprimés sous 30 jours
  • Logs techniques : 90 jours maximum, puis suppression automatique
  • Sauvegardes chiffrées : conservées jusqu'à 35 jours puis purgées

8. Vos droits (RGPD art. 15-22 + Loi 2008-12 SN)

Conformément à la réglementation applicable, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données personnelles
  • Rectification : corriger vos informations (nom, pays, profil, etc.)
  • Effacement (« droit à l'oubli ») : demander la suppression de votre compte et données
  • Portabilité : exporter vos données de projet dans un format structuré (JSON)
  • Opposition : vous opposer à un traitement fondé sur l'intérêt légitime
  • Limitation : demander la suspension d'un traitement contesté
  • Retrait du consentement : à tout moment, sans effet rétroactif

Pour exercer ces droits, contactez privacy@izisaas.com. Réponse sous 30 jours maximum. En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (France : cnil.fr) ou de la CDP (Sénégal : cdp.sn).

9. Cookies et traceurs

Izi SaaS utilise un cookie de session technique strictement nécessaire au fonctionnement du service. Aucun cookie publicitaire ni traceur tiers n'est utilisé. Détails complets sur la page Politique de Cookies.

10. Mineurs

Izi SaaS n'est pas destiné aux personnes de moins de 16 ans. Si vous êtes parent ou tuteur et constatez qu'un mineur a créé un compte, contactez-nous pour suppression immédiate.

11. Notification de violation

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, l'éditeur s'engage à notifier l'autorité de contrôle compétente sous 72 heures et à vous informer si le risque vous concerne directement, conformément aux art. 33-34 du RGPD.

12. Modifications

Cette politique peut être modifiée. Les utilisateurs seront informés des modifications substantielles par email ou notification in-app. La date de dernière mise à jour figure en haut de cette page.

13. Contact

Pour exercer vos droits ou poser une question sur la protection de vos données, contactez-nous à privacy@izisaas.com.

Voir aussi : CGU · Mentions Légales · Cookies