Politique de Confidentialité
Dernière mise à jour : 23 septembre 2025
La présente politique de confidentialité (la « Politique ») décrit les conditions dans lesquelles PROMESIA traite des données à caractère personnel dans le cadre de l’utilisation du service BromeAI accessible à https://brome.ai (le « Service »).
1. Préambule et définitions
Le traitement est réalisé conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française n° 78‑17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).
Aux fins des présentes :
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4.1 RGPD).
- Traitement : toute opération effectuée sur des données personnelles (art. 4.2 RGPD).
- Responsable de traitement : l’entité qui détermine les finalités et les moyens du traitement (PROMESIA).
- Sous‑traitant : prestataire traitant des données pour le compte du responsable de traitement.
- EEE : Espace économique européen.
2. Responsable du traitement et délégué à la protection des données (DPO)
Responsable du traitement
PROMESIA, SAS au capital de 300 €
SIRET : 932 526 932 00011 – TVA : FR25932526932
Siège social : 11 rue Jehan de Marville, 21000 DIJON, France
Contact général : contact@promesia.com
Délégué à la protection des données (DPO)
Nom : Tanguy Jacotot
Contact DPO : dpo@promesia.com
3. Catégories de données traitées
PROMESIA traite les données strictement nécessaires à la fourniture et à l’amélioration du Service.
3.1. Identité et contact
- Nom, prénom, adresse e‑mail.
- Adresse IP.
3.2. Compte et authentification
- Authentification sans mot de passe (magic link par e‑mail) ou via OAuth (Google, Microsoft, GitHub).
- Données reçues via OAuth : nom, prénom, adresse e‑mail, photo de profil (avatar).
3.3. Contenus et historiques
- Prompts/messages, images et fichiers transmis.
- Réponses générées.
- Historique d’utilisation.
3.4. Paiements et facturation
- Données de carte bancaire traitées et stockées exclusivement par Stripe (nous n’y avons pas accès).
- Métadonnées de paiement/abonnement : ID client Stripe, ID abonnement, plan, statut.
- Informations nécessaires à l’émission de factures et reçus dans l’espace personnel.
3.5. Télémétrie et mesures d’usage
- Données techniques et d’usage : navigateur (user‑agent), système d’exploitation, langue, site référent, pages consultées, événements d’interaction (clics, etc.), horodatages, adresse IP et géolocalisation approximative (déduite de l’IP, ou localisation plus précise si autorisée).
- Mesure principalement via PostHog (analytics produit) et dub.co (attribution), sous réserve de votre consentement lorsque requis (cf. § 10).
Note importante : PROMESIA n’exige pas et ne souhaite pas la communication de données sensibles (art. 9 RGPD). Merci de ne pas inclure de telles informations dans vos prompts.
4. Finalités et bases légales
| Finalité | Exemples d’opérations | Base légale (art. 6 RGPD) |
|---|---|---|
| Fourniture du Service | Création/gestion de compte, acheminement des prompts vers les services d’IA, restitution des réponses, historique | Exécution du contrat – art. 6(1)(b) |
| Paiement & abonnements | Facturation, reçus, changement de plan, lutte anti‑fraude | Exécution du contrat – art. 6(1)(b) / Obligation légale – art. 6(1)(c) |
| Support & communications | Assistance, sécurité du compte, informations importantes | Exécution du contrat – art. 6(1)(b) / Intérêt légitime – art. 6(1)(f) |
| Sécurité & continuité | Prévenir abus, spam, incidents et assurer la disponibilité | Intérêt légitime – art. 6(1)(f) |
| Mesure, analytics & attribution | PostHog (événements), dub.co (provenance), amélioration produit | Consentement – art. 6(1)(a) |
| Prospection / newsletter | Envoi d’informations marketing, nouveautés produit | Consentement – art. 6(1)(a) ou Intérêt légitime – art. 6(1)(f) |
| Obligations légales | Comptabilité, fiscalité, réponses aux autorités | Obligation légale – art. 6(1)(c) |
PROMESIA ne vend pas de données personnelles.
5. Destinataires et sous‑traitants
Les traitements peuvent impliquer les prestataires suivants (agissant en qualité de sous‑traitants – art. 28 RGPD).
5.1. Hébergement & réseau
- Neon (PostgreSQL, région UE)
- Cloudflare (CDN, sécurité réseau, anti‑bot)
5.2. Paiements & abonnements
- Autumn
- Stripe
5.3. Authentification
- Google, Microsoft, GitHub
5.4. Attribution & analytics
- dub.co
- PostHog
5.5. Services d’IA et de recherche
- OpenAI
- xAI
- Anthropic
- Mistral AI
- Groq
- Perplexity
- Cerebras
- Black Forest Labs
- Alibaba Cloud (Qwen)
- DeepSeek AI (via Replicate)
- Replicate
- EXA.ai
- Cloudflare (services d’IA et sécurité avancée)
Note confidentialité — services d’IA et de recherche : Afin de fournir les fonctionnalités du Service (génération, compréhension, recherche augmentée), certains prompts, termes de recherche, images et instructions peuvent être transmis aux services concernés. PROMESIA active des paramètres limitatifs lorsque disponibles. Toutefois, certains fournisseurs prévoient contractuellement des usages plus larges (journalisation, sécurité, amélioration de service). PROMESIA demande la non‑réutilisation mais ne peut pas la garantir pour chaque fournisseur. Merci de ne pas inclure d’informations sensibles dans vos prompts ou recherches.
6. Transferts hors de l’EEE
La base de données principale est hébergée en Europe (Neon).
Certains prestataires (par ex. Stripe, Cloudflare, EXA.ai et divers fournisseurs d’IA) sont situés ou peuvent traiter des données en dehors de l’EEE (notamment aux États‑Unis). PROMESIA encadre ces transferts par des garanties appropriées (Clauses Contractuelles Types de la Commission européenne) et, lorsque disponible, par des mécanismes d’adéquation. Informations supplémentaires disponibles auprès du DPO.
7. Durées de conservation
- Compte, contenus et historiques : pendant la durée d’activité du compte.
- Suppression du compte : suppression immédiate et définitive des données (sauf sauvegardes techniques temporaires).
- Pièces comptables : jusqu’à 10 ans pour obligations légales.
8. Sécurité
PROMESIA met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, contrôles d’accès, séparation des environnements, principe du moindre privilège, journalisation raisonnable, protections Cloudflare.
Aucun mot de passe n’est stocké (authentification par magic link ou OAuth).
En cas de violation de données à risque élevé, PROMESIA notifiera l’autorité compétente et les personnes concernées conformément aux articles 33 et 34 RGPD.
9. Prospection et communications
PROMESIA peut adresser :
- Des communications de service (sécurité, notifications, reçus, factures).
- Des communications marketing (newsletter, nouveautés) sur consentement ou sur intérêt légitime (soft opt‑in).
Désinscription possible à tout moment via le lien en bas de chaque e‑mail.
10. Cookies et traceurs
| Nom du cookie | Fournisseur | Finalité | Durée indicative |
|---|---|---|---|
__stripe_mid | Stripe | Identification client et prévention fraude | Durée standard (variable) |
cf_clearance | Cloudflare | Validation anti‑bot et accès continu | Durée standard (variable) |
| Cookies de session/auth | BromeAI | Maintien de la session/authentification | Session à 12–13 mois |
ph_phc_*_posthog | PostHog | Mesure d’usage produit | Durée standard (variable) |
dub_id | dub.co | Attribution provenance/campagne | Durée standard (variable) |
Cookies strictement nécessaires et consentement révocable à tout moment. Durée de vie limitée à 13 mois maximum (CNIL).
11. Décisions automatisées
BromeAI n’effectue pas de décisions automatisées produisant des effets juridiques au sens de l’article 22 RGPD. Les résultats générés par l’IA nécessitent l’appréciation de l’utilisateur.
12. Droits des personnes concernées
Vous disposez des droits prévus aux articles 15 à 22 RGPD : accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement (le cas échéant).
- Suppression : possible directement depuis l’application.
- Portabilité : demandes traitées sur sollicitation.
Exercice des droits : dpo@promesia.com (vérification d’identité possible). Réclamation possible auprès de la CNIL (https://www.cnil.fr).
13. Mineurs
En France, le Service est destiné en priorité aux utilisateurs de 15 ans et plus (ou âge légal de consentement numérique applicable dans l’EEE). En dehors de l’EEE, non destiné aux enfants de moins de 13 ans. PROMESIA peut résilier tout compte non conforme.
14. Modifications
PROMESIA peut modifier la présente Politique en cas d’évolution légale, technique ou organisationnelle. En cas de changement substantiel, une information sera fournie (avis dans l’application et/ou e‑mail). Date de mise à jour en tête du document.
15. Contact
- Contact général : contact@promesia.com
- DPO : dpo@promesia.com (Tanguy Jacotot)
- Adresse postale : PROMESIA – 11 rue Jehan de Marville, 21000 DIJON, France