Politique de confidentialité

SafePrompt agit en qualité de sous-traitant (Processor) au sens de l'article 4(8) du RGPD pour le traitement des données de vos utilisateurs finaux. Votre organisation (le Client) est le responsable du traitement (Controller).

Pour les données de vos propres collaborateurs utilisant SafePrompt, SafePrompt agit en qualité de responsable de traitement conjoint ou sous-traitant selon les modalités décrites dans le DPA (Data Processing Agreement).

Contact : [email protected]

SafePrompt collecte uniquement des métadonnées d'usage anonymisées :

• Type d'événement de détection (ex : SECRET_DETECTED, PII_TOKENIZED)
• Nombre de tokens détectés par session
• Version de l'extension et plan d'abonnement
• Horodatage des événements
• Identifiant pseudonymisé de session

SafePrompt ne collecte jamais le contenu de vos prompts, vos secrets API, vos données personnelles redactées ou le contenu de vos conversations LLM. Ce traitement s'effectue intégralement dans votre navigateur.

• Article 6.1.b RGPD — Exécution du contrat : traitement nécessaire à la fourniture du service SafePrompt (statistiques d'usage pour la facturation et le support).
• Article 6.1.f RGPD — Intérêt légitime : amélioration du service, détection d'anomalies techniques, sécurité de la plateforme.

Les données de métadonnées d'usage sont conservées 12 mois à compter de leur collecte, puis supprimées automatiquement. Les données de compte (email, plan) sont conservées pendant la durée de l'abonnement et 3 ans après résiliation à des fins comptables.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès (art. 15) : obtenir une copie de vos données
• Droit de rectification (art. 16) : corriger vos données inexactes
• Droit à l'effacement (art. 17) : supprimer vos données
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
• Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime

Pour exercer vos droits : Envoyez un email à [email protected] avec l'objet « Exercice de droits RGPD » et votre identifiant de compte. Nous répondons sous 30 jours.

Tous nos sous-traitants sont hébergés en Union Européenne et liés par des DPA conformes au RGPD :

• Supabase (base de données & auth) — Frankfurt/Amsterdam
• Vercel (hébergement) — EU
• Stripe (paiement) — Dublin
• Resend (emails) — EU
• Sentry (monitoring) — EU opt-in

Les clients Business disposent d'un Data Processing Agreement (DPA) standard conforme au RGPD. Ce document formalise les obligations respectives du Controller (votre organisation) et du Processor (SafePrompt). Contactez-nous à [email protected] pour le DPA.

SafePrompt est en cours de désignation d'un DPO externe (consultant spécialisé RGPD, prévu M+3). En attendant, toutes les demandes relatives à la protection des données sont traitées directement par le fondateur à l'adresse : [email protected]

Pour les entreprises déployant SafePrompt auprès de leurs collaborateurs :

• Une charte d'utilisation des outils LLM intégrant SafePrompt doit être mise en place et communiquée aux employés (recommandation CNIL sur l'IA en entreprise).
• La consultation du Comité Social et Économique (CSE) est recommandée avant tout déploiement à grande échelle (art. L. 2312-8 Code du travail — systèmes de surveillance).
• SafePrompt ne constitue pas un outil de surveillance des employés : seules des statistiques anonymisées sont collectées. Cette clarification doit figurer dans la charte.
• Information des collaborateurs (Code du travail, Art. L.1222-4) : toute collecte de données personnelles impliquant les salariés (y compris via un outil de protection au niveau du navigateur) fait l'objet d'une information préalable individuelle et loyale, par tout moyen écrit (charte IT, livret d'accueil, note de service). SafePrompt fournit un modèle de notice téléchargeable depuis nos guides de déploiement Business.

Nous pouvons mettre à jour cette politique. En cas de modification substantielle, nous vous notifierons par email (clients) ou via le dashboard. La date de dernière mise à jour figure en haut de cette page.