Document légal

Politique de confidentialité

Comment Soufflit collecte, utilise et protège tes données personnelles.

Dernière mise à jour : 25 avril 2026 · Version 1.0

i
En résumé : on n'enregistre jamais ton audio, on n'utilise pas tes textes pour entraîner des modèles, l'hébergement est en Europe et tu peux supprimer ton compte à tout moment.

1. Qui sommes-nous ?

Cette politique s'applique à l'application Soufflit et au site soufflit.app, édités par Grégoire Laboulet (entreprise individuelle), domicilié en France. Pour toute question relative à cette politique : hello@soufflit.app.

Le délégué à la protection des données (DPO) est joignable à la même adresse.

2. Données que nous collectons

2.1 Données de compte

  • Email (obligatoire pour créer un compte)
  • Prénom (optionnel, sert à personnaliser les communications)
  • Mot de passe (haché via PBKDF2 SHA-256 600 000 itérations + sel aléatoire 32 octets, jamais stocké en clair)
  • Identifiant Stripe Customer ID (pour les abonnements)

2.2 Données d'usage techniques

  • Compteurs de quota : nombre de dictées et minutes audio dans la période en cours (pour appliquer ton quota)
  • Logs techniques anonymisés : codes erreur, latence, version d'app — conservés 30 jours pour debug
  • Adresse IP : anonymisée à la fin de chaque session, jamais corrélée à ton identité

2.3 Données de paiement

Les paiements sont gérés par Stripe. Soufflit ne voit jamais tes coordonnées bancaires. Stripe nous communique uniquement : statut d'abonnement, tier (Basic/Pro), date de prochaine facturation, factures au format PDF.

2.4 Ce que nous NE collectons PAS

  • Audio : envoyé chiffré à Groq/OpenAI, transcrit, puis détruit. Jamais stocké chez nous.
  • Texte transcrit : retourné à ton Mac, jamais conservé côté serveur.
  • Historique de dictée : stocké uniquement en local, sur ton Mac (~/Library/Application Support/Soufflit/).
  • Cookies tiers tracking : aucun (pas de Google Analytics, pas de Meta Pixel).

3. Pourquoi nous collectons ces données (bases légales)

DonnéeFinalitéBase légale (RGPD)
Email + mot de passeIdentification du compteExécution du contrat (art. 6.1.b)
Compteurs de quotaFaire respecter ton plan d'abonnementExécution du contrat (art. 6.1.b)
Email (notifications produit)Annonces majeures, facturesIntérêt légitime (art. 6.1.f)
Logs techniques anonymisésSécurité, debug, lutte contre l'abusIntérêt légitime (art. 6.1.f)
Données fiscales (Stripe)Conformité TVA et comptabilitéObligation légale (art. 6.1.c)

4. Sous-traitants et transferts

Soufflit utilise les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :

  • Cloudflare Workers (Paris, EU) — backend API et base de données D1.
  • Stripe Payments Europe (Irlande) — paiements et facturation.
  • Groq (USA, Standard Contractual Clauses) — transcription Whisper. Aucun audio stocké, traité en mémoire.
  • OpenAI Ireland Ltd. (Irlande) — fallback transcription / nettoyage IA. EU Data Residency activé.
  • Resend (USA, SCC) — emails transactionnels (factures, reset mot de passe).

4.1 Transferts hors UE

Les transferts vers les USA (Groq, Resend) sont encadrés par les Clauses Contractuelles Types de la Commission Européenne et les sous-traitants sont certifiés EU-US Data Privacy Framework.

5. Durée de conservation

  • Données de compte : tant que ton compte est actif. Suppression immédiate à ta demande (anonymisation des données identifiantes en base). Les factures et données fiscales liées sont conservées 10 ans pour respecter l'obligation comptable légale, mais ne sont plus reliées à ton identité.
  • Logs techniques : 30 jours, puis purge automatique.
  • Factures et données fiscales : 10 ans (obligation légale comptable).
  • Backups chiffrés : 7 jours rolling.

6. Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

  • Droit d'accès : obtenir une copie de toutes tes données.
  • Droit de rectification : corriger une donnée inexacte.
  • Droit à l'effacement ("droit à l'oubli") : supprimer ton compte et toutes données associées.
  • Droit à la portabilité : récupérer tes données dans un format structuré (JSON).
  • Droit d'opposition : refuser le traitement basé sur l'intérêt légitime.
  • Droit à la limitation : geler le traitement le temps d'une vérification.

Pour exercer ces droits : hello@soufflit.app. Réponse sous 30 jours maximum. La majorité des actions (suppression compte, export données) est aussi disponible en self-service depuis ton espace client.

7. Réclamation

Si tu estimes que le traitement de tes données ne respecte pas le RGPD, tu peux introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

8. Sécurité

  • Mots de passe hachés via PBKDF2 SHA-256, 600 000 itérations + sel aléatoire 32 octets (recommandations OWASP 2024).
  • Tous les flux HTTP sont en HTTPS / TLS 1.3 obligatoire.
  • Base de données chiffrée au repos (Cloudflare D1).
  • Authentification par cookie de session aléatoire (32 octets) côté web et token Bearer haché côté app Mac.
  • Tokens app Mac révocables à tout moment depuis l'espace client, expiration automatique après 90 jours d'inactivité.
  • Comparaison des mots de passe et des signatures Stripe en temps constant pour empêcher les timing attacks.
  • Audit de sécurité interne avant chaque release majeure.

9. Cookies

Soufflit utilise un seul cookie strictement nécessaire : sf_session (session de connexion, durée 30 jours, HttpOnly, Secure, SameSite=None — requis pour le partage entre soufflit.app et api.soufflit.app). Aucun cookie tiers, aucun cookie publicitaire, aucun tracker. Voir notre politique cookies pour le détail.

10. Modifications de cette politique

Toute modification substantielle te sera notifiée par email au moins 15 jours avant son entrée en vigueur. La version courante est toujours disponible à cette adresse, datée en haut de page.

Si tu as une question sur cette politique : hello@soufflit.app. On répond sous 48h ouvrées.