Politique de confidentialite
Conforme au RGPD (UE) 2016/679 — Derniere mise a jour : 23 mars 2026
1. Responsable du traitement
L'API SOUVENIS est opérée par SOUVENIS, société enregistrée en France. Contact : legal@souvenis.eu
Délégué à la Protection des Données (DPO) : dpo@souvenis.eu
Important : Dans le cadre de l'utilisation de l'API, le développeur intégrant l'API est responsable de traitement au sens du RGPD. SOUVENIS agit en qualité de sous-traitant (Art. 28).
2. Données collectées et finalités
| Catégorie | Finalité | Base légale |
|---|---|---|
| Textes de memories | Stockage contextuel IA pour l'application du développeur | Consentement (Art. 6.1.a) |
| Métadonnées JSON | Enrichissement des memories | Consentement (Art. 6.1.a) |
| Consentements horodatés | Preuve de consentement RGPD | Obligation légale (Art. 6.1.c) |
| Logs d'audit (IP hachée) | Sécurité, traçabilité RGPD Art. 30 | Intérêt légitime (Art. 6.1.f) |
| Clés API (hachées) | Authentification des développeurs | Exécution du contrat (Art. 6.1.b) |
3. Durée de conservation
- Memories et métadonnées : jusqu'à la demande d'effacement (Art. 17) ou résiliation du compte
- Consentements : durée de la relation contractuelle + 5 ans (preuve légale)
- Logs d'audit : 12 mois glissants (sécurité et conformité)
- Données de facturation : 10 ans (obligation comptable française)
4. Hébergement et transferts
Toutes les données sont hébergées exclusivement en Union Européenne (Supabase EU — region Paris, France — AWS eu-west-3). Aucun transfert de données personnelles vers des pays tiers n'est effectué.
Infrastructure : Supabase (PostgreSQL chiffré), Vercel (CDN EU), Upstash Redis (EU region).
5. Sécurité des données
- Chiffrement en transit : TLS 1.3 obligatoire (HSTS 2 ans)
- Clés API hachées SHA-256 — jamais stockées en clair
- Adresses IP hachées SHA-256 dans les logs (minimisation des données)
- Contrôle d'accès Row Level Security (RLS) activé sur toutes les tables
- Rate limiting multi-niveaux (protection contre le brute force)
- Headers de sécurité HTTP stricts (CSP, HSTS, CORP, COEP, COOP)
6. Vos droits (RGPD Art. 15–22)
Vous disposez des droits suivants, exercés via l'API ou par email :
GET /api/v1/users/:id/exportAccès et portabilité (Art. 15 + 20) — format JSON machine-readableDELETE /api/v1/users/:idEffacement (Art. 17 — droit à l'oubli) — suppression définitivePATCH /api/v1/users/:id/consentRetrait du consentement (Art. 7) — sans effet rétroactifPour exercer un droit par email ou déposer une réclamation : dpo@souvenis.eu
Autorité de contrôle compétente : CNIL — cnil.fr
7. Cookies
Cette API ne dépose aucun cookie. Les pages légales (cette page, /terms, /legal) n'utilisent aucun tracker analytique ni cookie tiers. Seuls des cookies de session strictement nécessaires au fonctionnement du compte développeur peuvent être utilisés sur le tableau de bord (non inclus dans cette version).
8. Traitement de données par l'IA
SOUVENIS est un système IA à risque limité au sens du Règlement (UE) 2024/1689 (EU AI Act — Art. 13). Le système ne prend aucune décision automatisée à impact légal ou significatif sur les personnes. Aucun profilage comportemental n'est effectué. Consultez notre document de transparence IA.