Politique de confidentialité

1. Responsable du traitement

Le responsable de traitement des données personnelles collectées via le site et le service Quillmule est l'éditeur identifié dans les mentions légales : [À COMPLÉTER : NOM HUMAIN + STATUT JURIDIQUE].

Contact dédié pour les questions vie privée : fred-ai-company@proton.me.

Note Fred : nous ne sommes pas tenus de désigner un Délégué à la Protection des Données (DPO) à ce stade — pas de traitement à grande échelle, pas de données sensibles au sens de l'article 9 RGPD. Si l'activité change d'échelle, on désigne. En attendant, l'adresse ci-dessus est le point de contact unique.

2. Données collectées et finalités

Quillmule ne collecte que les données nécessaires à la fourniture du service. Détail par catégorie :

Données de paiement : aucune information de carte bancaire n'est stockée par Quillmule. Le traitement du paiement est intégralement délégué à Stripe Inc. (cf. §5).

3. Finalités générales

• Production des newsletters et livrables associés.
• Facturation et tenue de comptabilité.
• Support client (réponses aux demandes, gestion des révisions).
• Amélioration interne du service (analyse qualitative anonymisée des retours).
• Respect des obligations légales applicables (commerciales, fiscales).

Aucune donnée client n'est utilisée à des fins de prospection commerciale auprès de tiers, ni vendue, ni cédée.

4. Durées de conservation

• Email waitlist : jusqu'à demande de suppression, ou retrait automatique 24 mois après la dernière interaction.
• Données client actives : pendant toute la durée du contrat.
• Données client après résiliation : conservées 3 ans à des fins probatoires (contentieux commercial), 10 ans pour les pièces comptables et factures (obligation fiscale — art. L. 123-22 Code de commerce français).
• Inputs hebdomadaires (notes, transcripts) : supprimés sur demande client à tout moment, sinon archivés 12 mois après la fin du contrat puis effacés.
• Logs techniques : 12 mois maximum.

5. Sous-traitants (article 28 RGPD)

Quillmule s'appuie sur les sous-traitants suivants. Chaque sous-traitant est lié contractuellement et présente des garanties suffisantes au sens de l'article 28 RGPD.

• Stripe Inc. (paiement) — États-Unis. Politique : stripe.com/privacy. Aucune donnée bancaire stockée par Quillmule.
• Vercel Inc. (hébergement du site) — États-Unis. vercel.com/legal/privacy-policy.
• OpenAI, L.L.C. (génération assistée de drafts via API) — États-Unis. openai.com/policies/row-privacy-policy. Aucun input client n'est utilisé pour l'entraînement des modèles — Quillmule utilise l'API en mode opt-out par défaut.
• Anthropic PBC (génération assistée de drafts via API) — États-Unis. anthropic.com/legal/privacy. Mêmes garanties d'opt-out modèle.
• Fournisseur d'emails transactionnels (envois de confirmations, livraisons) : [À COMPLÉTER : Resend / Postmark / autre — préciser nom, adresse, lien politique de confidentialité, une fois choisi].
• Tally (formulaires intake / waitlist) — Belgique (UE). tally.so/help/privacy-policy.
• Calendly (planification intake, si utilisé) — États-Unis. calendly.com/privacy.

6. Transferts de données hors Union européenne

Plusieurs sous-traitants (Stripe, Vercel, OpenAI, Anthropic, Calendly) sont établis aux États-Unis. Les transferts de données s'appuient sur :

• Les clauses contractuelles types (CCT) de la Commission européenne, version 2021/914, intégrées aux contrats de sous-traitance ;
• Lorsqu'applicable, l'adhésion du sous-traitant au EU-U.S. Data Privacy Framework (cadre adopté par la Commission européenne en juillet 2023).

Vous pouvez demander une copie des garanties applicables en écrivant à l'adresse de contact ci-dessus.

7. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès à vos données.
• Droit de rectification en cas d'inexactitude.
• Droit à l'effacement (« droit à l'oubli »), dans les limites des obligations légales de conservation.
• Droit à la portabilité (récupération dans un format structuré).
• Droit d'opposition au traitement fondé sur l'intérêt légitime.
• Droit à la limitation du traitement.
• Droit de définir des directives sur le sort de vos données après votre décès (loi française Informatique et Libertés).

Pour exercer ces droits : fred-ai-company@proton.me. Réponse sous 30 jours maximum (prolongeable de 60 jours en cas de demande complexe, avec information préalable). Une preuve d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.

8. Cookies et traceurs

Le site Quillmule utilise uniquement des cookies strictement nécessaires à son fonctionnement (session utilisateur, jeton anti-CSRF). Ces cookies ne nécessitent pas de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy).

Aucun cookie de mesure d'audience marketing, de publicité ou de profilage n'est déposé par défaut. Si un outil d'analyse respectueux de la vie privée (Plausible, PostHog en mode anonymisé, ou équivalent) venait à être déployé, [À COMPLÉTER : préciser ici l'outil retenu, sa finalité, la durée de conservation, et la procédure de consentement applicable].

9. Mention spécifique pour les utilisateurs californiens (CCPA / CPRA)

Si vous résidez en Californie, le California Consumer Privacy Act (tel que modifié par le CPRA) vous reconnaît des droits équivalents : droit de savoir, droit d'accès, droit de suppression, droit de rectification, droit d'opposition à la "vente" ou au "partage" de données.

Quillmule ne vend ni ne partage de données personnelles au sens du CCPA / CPRA. Pour exercer vos droits : fred-ai-company@proton.me.

10. Mention spécifique pour les utilisateurs canadiens (LPRPDE / PIPEDA)

Les utilisateurs résidant au Canada bénéficient des protections prévues par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE / PIPEDA) et, le cas échéant, des lois provinciales équivalentes (Loi 25 au Québec).

11. Réclamation auprès d'une autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :

• France : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, 75007 Paris — cnil.fr.
• Autre État membre de l'UE : autorité de contrôle de votre lieu de résidence ou de travail.
• Canada : Commissariat à la protection de la vie privée du Canada — priv.gc.ca.
• Californie : California Privacy Protection Agency (CPPA) — cppa.ca.gov.

12. Sécurité

Les données sont protégées par des mesures techniques et organisationnelles raisonnables : chiffrement TLS en transit, chiffrement au repos chez les sous-traitants concernés, moindre privilège sur les accès internes, journalisation des accès sensibles, sauvegardes régulières. En cas de violation susceptible d'engendrer un risque pour vos droits, vous serez informés conformément à l'article 34 RGPD.

13. Modifications

La présente politique peut être mise à jour pour refléter des évolutions du service ou de la réglementation. Toute modification substantielle sera notifiée par email aux clients actifs au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de ce document.