Cette traduction française est fournie à titre informatif uniquement. La version anglaise originale fait foi. Le droit néerlandais s'applique; tribunal exclusif: Amsterdam.
Politique de Confidentialité
Date d'entrée en vigueur : 23 avril 2026 · Dernière mise à jour : 24 avril 2026 · Version : 1.2
La présente Politique de Confidentialité explique comment Alpha Digital B.V., opérant sous le nom de Custos AI (« Custos AI », « nous », « notre » ou « nos »), collecte, utilise, stocke et protège les données personnelles lorsque vous utilisez notre plateforme sur app.custosai.eu et notre site web sur custosai.eu (ensemble, le « Service »).
1. Introduction
La présente Politique de Confidentialité explique comment Alpha Digital B.V., opérant sous le nom de Custos AI (« Custos AI », « nous », « notre » ou « nos »), collecte, utilise, stocke et protège les données personnelles lorsque vous utilisez notre plateforme sur app.custosai.eu et notre site web sur custosai.eu (ensemble, le « Service »).
Custos AI est une plateforme de travail multi-LLM conçue pour les petites et moyennes entreprises (PME) européennes. Nous nous engageons à protéger vos données personnelles en pleine conformité avec le Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») et la loi néerlandaise de mise en œuvre du RGPD (Uitvoeringswet AVG, « UAVG »).
En utilisant le Service, vous reconnaissez avoir lu et compris la présente Politique de Confidentialité.
2. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
Alpha Digital B.V. (opérant sous le nom de Custos AI) — Équipe Protection des Données
Stationsplein 26, 6512 AB Nijmegen, Pays-Bas
KvK : 72313129
E-mail :
3. Données personnelles que nous collectons
3.1 Données de compte
Lors de votre inscription au Service, nous collectons :
- Nom complet
- Adresse e-mail
- Mot de passe haché
- Langue préférée (application actuellement disponible en NL et EN ; langues de l'UE supplémentaires en cours de déploiement)
- Nom de l'organisation (le cas échéant)
- Rôle de l'utilisateur au sein de l'organisation (administrateur ou membre)
3.2 Données d'utilisation
Lorsque vous utilisez le Service, nous traitons :
- Les messages de chat envoyés aux fournisseurs LLM via notre plateforme
- L'historique des chats et les métadonnées de conversation (horodatages, modèle utilisé)
- Les fichiers téléversés (PDF, DOCX, images — 20 Mo maximum par fichier)
- Les métriques d'utilisation de l'API (nombre de tokens, coûts estimés par fournisseur)
- Les données de budget et de dépenses
3.3 Données techniques
Nous collectons automatiquement :
- Adresse IP
- Type et version du navigateur
- Système d'exploitation
- Horodatages des accès et des actions
- Journaux d'erreurs (anonymisés)
3.4 Clés API (BYOK)
Vous fournissez vos propres clés API pour les fournisseurs LLM tiers (« Bring Your Own Key »). Ces clés sont chiffrées au repos avec AES-256-GCM et ne sont jamais enregistrées en clair. Custos AI n'utilise vos clés API qu'aux fins de transmission de vos requêtes au fournisseur que vous avez sélectionné.
3.5 Données de paiement
Si vous souscrivez à un abonnement payant, le paiement est traité par Stripe, Inc. Nous ne stockons pas les numéros de carte bancaire ni les coordonnées bancaires sur nos serveurs. Nous ne recevons de Stripe qu'une référence de transaction, le type d'abonnement et le statut de facturation.
4. Finalités et bases légales du traitement
| Finalité | Données concernées | Base légale (RGPD) |
|---|---|---|
| Fourniture et exploitation du Service | Données de compte, messages de chat, fichiers téléversés, clés API | Art. 6(1)(b) — exécution du contrat |
| Authentification et contrôle d'accès | E-mail, mot de passe, tokens MFA, données de session | Art. 6(1)(b) — exécution du contrat |
| Protection des coûts API et application des budgets | Métriques d'utilisation de l'API, données de dépenses | Art. 6(1)(b) — exécution du contrat |
| Facturation | Données de compte, références de transaction Stripe | Art. 6(1)(b) — exécution du contrat |
| Sécurité, prévention de la fraude et détection des abus | Adresse IP, données techniques, journaux d'accès | Art. 6(1)(f) — intérêt légitime |
| Surveillance de la disponibilité et résolution des erreurs | Données techniques, journaux d'erreurs | Art. 6(1)(f) — intérêt légitime |
| Respect des obligations légales | Données de compte, journaux d'accès, relevés de facturation | Art. 6(1)(c) — obligation légale |
| Analyse du site web (custosai.eu) | Pages vues anonymisées via Vercel Analytics | Art. 6(1)(f) — intérêt légitime ; aucun cookie déposé |
| Traitement des demandes d'assistance | Adresse e-mail, contenu des messages | Art. 6(1)(b) — exécution du contrat |
5. Ce que nous NE faisons PAS avec vos données
- Pas d'entraînement IA : Vos données — y compris les messages de chat, les fichiers téléversés et l'utilisation de l'API — ne sont jamais utilisées par Custos AI pour entraîner, affiner ou améliorer un quelconque modèle d'IA.
- Pas de vente de données : Nous ne vendons, ne louons ni ne négocions jamais vos données personnelles à des tiers.
- Pas de profilage à des fins publicitaires : Nous n'utilisons pas vos données pour la publicité ciblée ou le profilage automatisé.
- Pas de marge sur les coûts LLM : Custos AI n'intercepte pas, ne revend pas et ne facture pas de marge sur votre utilisation des fournisseurs LLM. Tous les coûts LLM sont directement entre vous et le fournisseur.
6. Sous-traitants
Nous faisons appel aux sous-traitants suivants pour l'exploitation du Service. Tous les sous-traitants sont liés par des accords de traitement des données garantissant un traitement conforme au RGPD.
| Sous-traitant | Finalité | Localisation | Données traitées |
|---|---|---|---|
| Supabase | Base de données, authentification, stockage de fichiers | Francfort, Allemagne (UE) | Données de compte, historique des chats, fichiers téléversés |
| TransIP B.V. | Hébergement VPS pour le proxy LiteLLM et l'application des budgets | Amsterdam, Pays-Bas (UE) | Routage des requêtes API, métadonnées de budget |
| Vercel, Inc. | Hébergement du frontend du site web et de l'application | Réseau edge UE | Analyses de pages anonymisées |
| Lettermint | Envoi d'e-mails transactionnels | UE | Adresse e-mail, contenu des messages |
| Stripe Payments Europe, Ltd. | Traitement des paiements et Stripe Tax | Dublin, Irlande (UE) | Données de facturation, références de transaction |
Une liste à jour des sous-traitants est publiée sur custosai.eu/sub-processors. Nous vous informerons au moins 30 jours à l'avance de tout changement significatif apporté à notre liste de sous-traitants.
7. Transferts internationaux de données
Tous les traitements primaires de données sont effectués sur des serveurs situés au sein de l'Union européenne — base de données et stockage de fichiers à Francfort (Allemagne) via Supabase, proxy LLM et application des budgets à Amsterdam (Pays-Bas) via TransIP. Nous ne transférons pas vos données personnelles en dehors de l'Espace économique européen (EEE), sauf dans les circonstances suivantes :
- Requêtes vers les fournisseurs LLM : Lorsque vous envoyez un message de chat, celui-ci est transmis au fournisseur LLM associé à votre clé API (par exemple OpenAI, Anthropic, Google). Ces fournisseurs peuvent traiter des données en dehors de l'EEE. Ce transfert est initié par vous, avec votre propre clé API. Custos AI agit en tant que sous-traitant transmettant vos instructions.
- Stripe : Les données de paiement peuvent être traitées dans l'infrastructure européenne de Stripe (Dublin). Dans la mesure où des données sont transférées hors de l'EEE, Stripe s'appuie sur les clauses contractuelles types de la Commission européenne.
8. Durées de conservation
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte | Durée du compte + 12 mois après suppression | Exécution du contrat ; droit fiscal néerlandais |
| Historique des chats | Durée du compte ; supprimé lors de la suppression du compte | Exécution du contrat |
| Fichiers téléversés | 30 jours après le téléversement (configurable par l'administrateur de l'espace de travail) | Gestion du stockage ; minimisation des données |
| Données d'utilisation et de budget de l'API | 12 mois (glissants) | Exécution du contrat ; transparence des coûts |
| Journaux d'audit | 12 mois | Intérêt légitime — sécurité et prévention de la fraude |
| Relevés de facturation | 7 ans après la fin de l'exercice financier | Obligation légale — droit fiscal néerlandais (Art. 52 AWR) |
| Journaux d'erreurs | 90 jours | Intérêt légitime — stabilité du service |
| Correspondance d'assistance | 24 mois après la dernière interaction | Exécution du contrat |
9. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment :
- Chiffrement au repos : Toutes les données stockées dans notre base de données et notre espace de stockage de fichiers sont chiffrées avec AES-256.
- Chiffrement en transit : Toutes les données transmises entre votre navigateur et nos serveurs sont protégées par TLS 1.2 ou supérieur.
- Chiffrement des clés API : Vos clés API de fournisseurs LLM sont chiffrées avec AES-256-GCM avant stockage et ne sont déchiffrées qu'en mémoire au moment de leur utilisation. Elles ne sont jamais écrites dans des journaux.
- Contrôle d'accès : L'accès aux systèmes de production est limité au personnel autorisé selon le principe du moindre privilège.
- MFA : L'authentification multifacteur (TOTP) est disponible pour tous les comptes utilisateurs.
- Sécurité réseau : Supabase impose le chiffrement des connexions et la sécurité au niveau des lignes (RLS) sur tous les accès à la base de données.
- Isolation réseau : Toutes les données clients sont isolées au niveau de la base de données via Supabase Row Level Security (RLS). La séparation multi-locataire est appliquée à chaque requête, et non au niveau de l'application.
- Sauvegardes régulières : Sauvegardes automatisées quotidiennes avec tests de restauration mensuels.
10. Vos droits en tant que personne concernée
En vertu du RGPD, vous disposez des droits suivants concernant vos données personnelles :
| Droit | Description |
|---|---|
| Accès (Art. 15) | Vous pouvez demander une copie des données personnelles que nous détenons à votre sujet. |
| Rectification (Art. 16) | Vous pouvez demander la correction de données inexactes ou incomplètes. |
| Effacement (Art. 17) | Vous pouvez demander la suppression de vos données. Vous pouvez supprimer votre compte et toutes les données associées directement depuis la plateforme. |
| Limitation (Art. 18) | Vous pouvez demander que nous limitions le traitement de vos données dans certaines circonstances. |
| Portabilité (Art. 20) | Vous pouvez exporter vos données dans un format lisible par machine (JSON ou CSV) directement depuis la plateforme. |
| Opposition (Art. 21) | Vous pouvez vous opposer au traitement fondé sur notre intérêt légitime. |
| Retrait du consentement (Art. 7(3)) | Lorsque le traitement est fondé sur le consentement (par exemple les cookies), vous pouvez le retirer à tout moment. |
Pour exercer l'un de ces droits, veuillez nous contacter à . Nous répondrons dans un délai de 30 jours. Nous pourrions vous demander de vérifier votre identité avant de traiter votre demande.
11. Export des données et suppression du compte
- Export des données : Vous pouvez exporter vos données personnelles (y compris l'historique des chats et les informations de compte) à tout moment au format JSON ou CSV via les paramètres de la plateforme.
- Suppression du compte : Vous pouvez supprimer définitivement votre compte et toutes les données associées depuis les paramètres de la plateforme. Après suppression, toutes vos données personnelles sont irrévocablement retirées de nos systèmes dans un délai de 30 jours, sauf si la conservation est requise par la loi.
12. Cookies
12.1 Application (app.custosai.eu)
L'application utilise uniquement des cookies strictement nécessaires pour l'authentification et la gestion des sessions. Aucun cookie d'analyse ou de suivi n'est déposé sur le domaine de l'application.
12.2 Site web (custosai.eu)
Le site web marketing utilise Vercel Analytics, un service respectueux de la vie privée qui n'utilise pas de cookies et ne suit pas les utilisateurs individuellement. Vous pouvez gérer vos préférences en matière de cookies à tout moment via la Politique des cookies.
Plausible Analytics (hébergé dans l'UE en Allemagne) est également utilisé pour des analyses de site web respectueuses de la vie privée et sans cookies. Aucune donnée personnelle n'est collectée ; seules des données agrégées sur les pages vues, les référents et le type de navigateur sont traitées sous forme anonyme. Plausible ne dépose pas de cookies et n'est pas un sous-traitant au sens de la définition du RGPD, car aucune donnée personnelle n'est transférée.
13. Mineurs
Le Service est conçu pour un usage professionnel et ne s'adresse pas aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants. Si vous pensez qu'un enfant nous a fourni des données personnelles, veuillez nous contacter à .
14. Fournisseurs LLM tiers
Lorsque vous utilisez le Service, vos messages de chat sont transmis au fournisseur LLM que vous avez sélectionné en utilisant votre propre clé API. Custos AI ne contrôle pas la manière dont ces fournisseurs traitent vos données. Nous vous recommandons vivement de :
- Consulter la politique de confidentialité de chaque fournisseur LLM avant d'utiliser ses services.
- Vous assurer que le fournisseur propose un accord de traitement des données (ATD) et une garantie de non-entraînement si cela est important pour votre activité.
- Éviter d'envoyer des données personnelles hautement sensibles (telles que des numéros d'identification nationaux, des dossiers médicaux ou des coordonnées bancaires) à un fournisseur LLM sans avoir préalablement évalué les risques associés.
15. Modifications de la présente Politique de Confidentialité
Nous pouvons mettre à jour cette Politique de Confidentialité de temps à autre. Lorsque nous apportons des modifications importantes, nous :
- Mettrons à jour la date de « Dernière mise à jour » en haut de ce document.
- Notifierons les utilisateurs enregistrés par e-mail au moins 14 jours avant l'entrée en vigueur des modifications.
- Publierons la politique mise à jour sur https://custosai.eu/privacy.
16. Autorité de contrôle
Si vous estimez que notre traitement de vos données personnelles enfreint le RGPD, vous avez le droit de déposer une plainte auprès d'une autorité de contrôle. Notre autorité de contrôle principale est :
Autoriteit Persoonsgegevens (AP)
Bezuidenhoutseweg 30, 2594 AV Den Haag, Pays-Bas
Site web : autoriteitpersoonsgegevens.nl
Téléphone : +31 70 888 85 00
Vous pouvez également vous adresser à l'autorité de contrôle compétente pour votre lieu de résidence, par exemple la Commission Nationale de l'Informatique et des Libertés (CNIL) en France (site web : cnil.fr).
17. Contact
Pour toute question, demande ou préoccupation concernant cette Politique de Confidentialité ou nos pratiques en matière de protection des données, veuillez contacter :
Alpha Digital B.V. (opérant sous le nom de Custos AI) — Équipe Protection des Données
Stationsplein 26, 6512 AB Nijmegen, Pays-Bas
KvK : 72313129
E-mail :