POLITIQUE DE CONFIDENTIALITÉ – ALIX

Version en vigueur au 17/02/2026

1. Responsable de traitement

Le site/application « ALIX » est édité par :

BLACK DIAMOND LABS (SASU, RCS Cannes n° [à compléter], siège social : 34 Chemin des Gourguettes – 06150 Cannes – France)

Email : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. – Téléphone : +33 (0)6 95 01 01 90

Contact RGPD / DPO (si applicable) : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. (ou adresse dédiée à compléter)

2. Portée et rôles RGPD

Cette politique décrit comment nous traitons les données personnelles lorsque nous agissons en tant que responsable de traitement (ex. création de compte, gestion de l’abonnement, facturation, sécurité, support, prospection).

Lorsque vous utilisez le Service pour traiter des données personnelles contenues dans vos Contenus (ex. documents chargés, prompts, pièces), nous pouvons agir en tant que sous‑traitant au sens du RGPD. Dans ce cas, les engagements applicables sont décrits dans l’Annexe « Données personnelles / DPA » des CGV.

3. Données traitées

Selon votre usage du Service, nous pouvons traiter notamment :

• Données d’identification et de contact : nom, prénom, email professionnel, organisation, fonction, téléphone.
• Données de compte : identifiant, mot de passe (haché), paramètres de compte, rôles/habilitations.
• Données de facturation : adresse de facturation, informations de paiement, historique des transactions (selon l’offre).
• Données d’usage et de sécurité : journaux de connexion, événements de sécurité, détection d’abus, métadonnées techniques (horodatage, identifiant de session, adresse IP).
• Contenus : textes saisis, prompts, conversations, documents et fichiers éventuellement chargés dans le Service.

4. Finalités et bases légales

Nous traitons vos données personnelles pour les finalités suivantes :
• Création et gestion du Compte (base légale : exécution du contrat).
• Fourniture du Service, exécution de la Période d’essai et de l’Abonnement (base légale : exécution du contrat).
• Gestion administrative et commerciale (devis, facturation, comptabilité, relation client) (base légale : exécution du contrat et obligations légales comptables/fiscales).
• Paiement et prévention de la fraude (base légale : exécution du contrat et intérêt légitime).
• Support, assistance, gestion des incidents (base légale : exécution du contrat et intérêt légitime).
• Sécurité du Service, authentification, journalisation, détection d’abus et prévention des attaques (base légale : intérêt légitime).
• Mesure d’audience et amélioration du site (base légale : consentement lorsque requis, notamment via cookies/traceurs).
• Communications relatives au Service (information, notifications, mises à jour) (base légale : exécution du contrat).
• Prospection (newsletter/offres) le cas échéant (base légale : consentement ou intérêt légitime selon le contexte et la réglementation applicable).

5. Destinataires et sous‑traitants

Vos données personnelles peuvent être accessibles : (i) à nos équipes habilitées (support, technique, administratif), (ii) à nos sous‑traitants (hébergement, inférence IA, paiement, emailing, support, mesure d’audience), strictement pour exécuter leurs prestations, et (iii) aux autorités lorsque la loi l’exige.

Hébergement (France) : l’infrastructure du Service (hors inférence IA) est hébergée chez OVHcloud sur des serveurs situés en France.

Traitements IA – fournisseurs LLM : pour exécuter certaines fonctionnalités d’IA (inférence), nous pouvons transmettre des requêtes/Contenus à des fournisseurs donnant accès à des modèles de langage (notamment Mistral AI et/ou Microsoft Azure – régions France). Ces fournisseurs n’utilisent pas les requêtes et Contenus pour entraîner ou améliorer leurs modèles destinés à d’autres clients et ne conservent pas de façon persistante les données issues des requêtes, au‑delà du temps strictement nécessaire à l’exécution technique, sauf obligation légale.

Principaux sous‑traitants (indicatif, susceptible d’évoluer) :
• OVHcloud : hébergement (France).
• Mistral AI : fournisseur de modèles LLM (inférence) via API (France/EEE selon configuration).
• Microsoft Azure : fournisseur de services cloud et/ou accès à des modèles LLM (inférence) (régions France selon configuration).
• Stripe Payments Europe, Ltd : prestataire de paiement.
• Google Analytics 4 (Google) : mesure d’audience du site, si activée et avec votre consentement.
• [À compléter] Outil d’emailing/support (si utilisé).

6. Transferts hors EEE

Nous privilégions un hébergement et des sous‑traitants situés dans l’Espace économique européen (EEE), en particulier en France.

Si certains prestataires impliquent un transfert hors EEE (ex. certains outils de mesure d’audience, support ou emailing), nous mettons en place des garanties appropriées (ex. clauses contractuelles types) et, si nécessaire, des mesures complémentaires. Des informations complémentaires peuvent être fournies sur demande.

7. Durées de conservation

Nous conservons les données pendant des durées proportionnées à la finalité. À titre indicatif :
• Contenus (prompts, conversations, documents chargés) : 30 jours glissants à compter de la dernière activité, puis suppression/anonymisation (sauf obligations légales ou nécessité liée à la sécurité/litige).
• Données de compte (profil, paramètres) : pendant la durée du compte, puis suppression/archivage selon nécessité (ex. preuve, litige) ; suppression effective au plus tard sous 30 jours après fermeture, hors obligations légales.
• Données de facturation/comptabilité (factures, écritures) : conservation légale jusqu’à 10 ans.
• Logs et données de sécurité (authentification, détection d’abus) : jusqu’à 12 mois, sauf nécessité particulière (incident/sécurité).
• Support : jusqu’à 3 ans après le dernier échange, sauf litige.
• Cookies/traceurs : voir l’article 10 (durées variables, en principe 13 mois maximum pour les cookies soumis à consentement).

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables et proportionnées (ex. chiffrement des communications, contrôle d’accès, journalisation, sauvegardes, durcissement, gestion des vulnérabilités).

Aucun système n’étant totalement sécurisé, nous vous invitons à protéger vos identifiants, activer les mesures de sécurité disponibles et nous signaler toute suspicion d’accès non autorisé.

9. Vos droits

Pour exercer vos droits : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. (ou adresse dédiée à compléter). Nous pouvons demander une preuve d’identité en cas de doute raisonnable.

Si nous traitons des Données Client en qualité de sous‑traitant, vos demandes concernant ces Données doivent en principe être adressées au responsable de traitement (le Client), qui nous transmettra ses instructions si nécessaire.

Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).

10. Cookies et traceurs

Le site/application peut utiliser :
• des cookies strictement nécessaires au fonctionnement (authentification, sécurité, maintien de session) ;
• des cookies de mesure d’audience (ex. Google Analytics 4) si activés ;
• et, le cas échéant, d’autres cookies optionnels (personnalisation), uniquement avec votre consentement lorsque requis.

Lorsque la réglementation l’exige, votre consentement est recueilli via un bandeau ou un module de gestion (CMP). Vous pouvez accepter/refuser par finalité, retirer votre consentement à tout moment et accéder à la configuration via le lien/bouton dédié. Les cookies soumis à consentement sont conservés en principe 13 mois maximum (selon configuration).

11. Mise à jour de la politique

Nous pouvons mettre à jour la présente politique, notamment en cas d’évolution légale, technique ou organisationnelle. La version applicable est celle publiée sur le site/application à la date de votre utilisation.