Politique de confidentialite

Version 2.2 • Derniere mise a jour : 4 avril 2026 • Luxembourg, UE

1. Responsable du traitement

Aux fins du Reglement general sur la protection des donnees (RGPD), le responsable du traitement est :

Pupin Labs
62 Rue Marie-Adelaide
2128, Luxembourg, Luxembourg
Email: [email protected]

PrivateNote.ai n'est pas destine aux utilisateurs de moins de 16 ans. Nous ne collectons pas sciemment de donnees personnelles concernant des enfants.

2. IA optionnelle (sur l'appareil)

PrivateNote.ai peut proposer des fonctions optionnelles d'aide a la redaction ou a la revision par IA dans votre navigateur (par exemple via une execution locale de modele). Veuillez lire attentivement :

  • Lieu du traitement : pour ces fonctions, le contenu que vous envoyez a l'assistant est traite sur votre appareil. Il n'est pas envoye aux serveurs de PrivateNote.ai pour l'inference IA. Le chiffrement de bout en bout de la note stockee reste inchange ; le texte en clair n'existe dans votre navigateur que pendant l'utilisation de la fonctionnalite.
  • Activite reseau : votre navigateur peut tout de meme contacter des hebergeurs tiers pour telecharger des modeles ou dependances (par exemple un CDN ou un registre de modeles). Ces requetes sont regies par les politiques de ces operateurs et vos parametres de navigateur.

Si vous n'utilisez pas les fonctions IA, vous pouvez creer des notes standard qui restent chiffrees cote client pour le stockage et ne sont pas traitees par l'assistant sur l'appareil.

Base legale par finalite : le traitement du texte dans les fonctions IA optionnelles sur l'appareil repose sur votre consentement (art. 6, par. 1, a) RGPD) lorsque vous les activez. Les metadonnees de securite pour la prevention des abus et la protection du service reposent sur l'interet legitime (art. 6, par. 1, f) RGPD).

3. Quelles donnees nous collectons et pourquoi

Notes chiffrees (donnees stockees)

Les notes sont stockees dans un format chiffre que nous ne pouvons pas lire. Les notes sont supprimees automatiquement a l'expiration ou apres consultation, selon les parametres choisis.

Metadonnees techniques (donnees de trafic)

Les adresses IP, metadonnees d'appareil et de requete peuvent etre traitees par nos fournisseurs d'infrastructure (par ex. Cloudflare) pour la securite, la protection DDoS, la prevention des abus et la limitation de debit (art. 6, par. 1, f) RGPD).

Les metadonnees liees a la securite sont conservees uniquement le temps necessaire pour assurer la securite du service et prevenir les abus, generalement pour une periode limitee de quelques jours a quelques semaines, puis supprimees ou anonymisees automatiquement.

Cookie first-party de limitation de debit (pn_client_id)

Notre API peut definir un petit cookie first-party, HttpOnly nomme pn_client_id. Il contient un identifiant aleatoire utilise uniquement pour separer les quotas anti-abus et de limitation de debit-notamment sur les reseaux ou de nombreuses personnes partagent une meme IP publique (par exemple ecoles ou bureaux). Lorsque votre IP est disponible pour notre infrastructure, nous combinons IP et ce cookie pour le comptage ; nous ne l'utilisons pas pour la publicite, le profilage ou l'analyse. Le cookie est renouvelle avec une duree de vie d'environ 30 jours ; vous pouvez le supprimer a tout moment dans votre navigateur (un nouvel identifiant peut etre cree a la prochaine visite). Base legale : art. 6, par. 1, f) RGPD - interets legitimes a exploiter un service securise et resistant aux abus.

Communications d'assistance (si vous nous contactez)

Si vous contactez notre support ou notre service juridique par e-mail, nous traitons les informations fournies uniquement pour repondre a votre demande (art. 6, par. 1, b) et/ou art. 6, par. 1, f) RGPD).

Base legale par finalite de traitement

  • Traitement optionnel du texte via IA sur l'appareil : art. 6, par. 1, a) RGPD (consentement).
  • Metadonnees de securite, prevention des abus, limitation de debit et protection reseau : art. 6, par. 1, f) RGPD (interet legitime).
  • Communications support/juridique initiees par vous : art. 6, par. 1, b) et/ou art. 6, par. 1, f) RGPD.

Durees de conservation (minimisation des donnees)

  • Contenu de note chiffre : conserve jusqu'a expiration ou suppression declenchee par le mode lecture unique.
  • Metadonnees de securite (logs anti-abus IP/requetes) : conservation jusqu'a 30 jours puis suppression ou anonymisation.
  • Cookie de limitation de debit (pn_client_id) : environ 30 jours depuis le dernier renouvellement.
  • E-mails support/juridique : conservation jusqu'a 24 mois apres resolution, sauf obligation legale plus longue.

4. Transferts internationaux de donnees

En tant que service base au Luxembourg, nous privilegions un traitement dans l'UE. Toutefois, selon votre localisation et le routage de l'infrastructure, certaines donnees techniques peuvent etre traitees hors UE :

Sous-traitants et roles

Nous utilisons des sous-traitants d'infrastructure pour exploiter et securiser le service. Le role exact depend du contexte de traitement.

  • Cloudflare : sous-traitant pour l'hebergement, la diffusion CDN et la securite edge ; peut traiter des metadonnees techniques de requete.
  • Fournisseurs de modeles/CDN charges par le navigateur : fournisseurs independants contactes uniquement lors du telechargement d'assets IA optionnels sur l'appareil.
  • Nous mettons en place des accords de traitement lorsque requis et appliquons des garanties de type SCC pour les transferts transfrontieres.
  • Cloudflare : utilise pour la diffusion mondiale de contenu et la securite. Les donnees peuvent etre traitees dans le reseau mondial de Cloudflare.
  • IA sur l'appareil : si vous utilisez l'IA optionnelle dans le navigateur, les fichiers de modele peuvent etre charges depuis des CDN ou hebergeurs repartis mondialement, potentiellement hors UE, selon la facon dont votre navigateur les recupere.

Lorsque cela est requis pour des transferts hors EEE, nous nous appuyons sur les clauses contractuelles types (SCC) approuvees par la Commission europeenne et/ou d'autres garanties appropriees afin d'assurer un niveau eleve de protection des donnees.

5. Vos droits RGPD

Au titre du RGPD, vous disposez notamment des droits d'acces, de rectification, d'effacement, de limitation, de portabilite et d'opposition.

Droit d'acces
Droit de rectification
Droit a l'effacement
Droit a la limitation du traitement
Droit a la portabilite des donnees
Droit d'opposition

Nous repondons aux demandes RGPD verifiees dans un delai d'un mois (art. 12, par. 3 RGPD). Pour les demandes complexes, ce delai peut etre prolonge de deux mois supplementaires avec information prealable. Afin d'eviter toute divulgation non autorisee, nous pouvons demander des elements de verification (par ex. URL de la note concernee et metadonnees de contexte que vous nous avez fournies).

Pour exercer ces droits, contactez [email protected]. Comme nous n'utilisons pas de comptes utilisateur, nous pouvons demander l'URL precise de la note (ou toute autre information fournie) pour identifier les donnees liees a votre demande.

6. Limites de securite

Nous utilisons une cryptographie moderne (par ex. AES-GCM) et des controles de securite (par ex. en-tetes stricts de Content Security Policy) pour proteger le service. Cependant, aucun systeme n'est securise a 100%. L'IA optionnelle sur l'appareil s'execute dans votre navigateur et peut charger des ressources depuis des reseaux tiers ; les utilisateurs exigeant une confidentialite maximale peuvent utiliser la creation de notes chiffrees cote client sans activer les fonctions IA.

Vous avez le droit d'introduire une reclamation aupres de l'autorite luxembourgeoise de protection des donnees (CNPD - Commission Nationale pour la Protection des Donnees).

[email protected]