Politique de Confidentialité
Dernière mise à jour : juin 2026
1. Responsable du traitement
iojik SAS, RCS Paris 994 122 018.
Contact : dpa@corelayer0.com
2. Données collectées et finalités
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse e-mail, nom | Création et gestion du compte | Exécution du contrat |
| Adresse e-mail, nom (acheminés via notre prestataire d'envoi) | Envoi d'e-mails transactionnels liés au compte (bienvenue, réinitialisation de mot de passe, notifications de sécurité) | Exécution du contrat |
| Consentement marketing (opt-in) + date | Envoi des nouveautés et mises à jour produit (désinscription à tout moment) | Consentement |
| Mot de passe (haché Argon2, jamais en clair) | Authentification | Exécution du contrat |
| Spécifications OpenAPI importées | Génération et exécution des serveurs MCP | Exécution du contrat |
| Tokens MCP (hash Argon2) et credentials API (chiffrés AES-256-GCM) | Authentification MCP et injection d'auth sortante | Exécution du contrat |
| Compteurs d'appels | Application des limites du plan | Intérêt légitime |
| Données de session (cookie HttpOnly) | Maintien de la session utilisateur | Exécution du contrat |
| Données de mesure d'audience (Matomo) : pages visitées, événements produit (inscription, création de projet, copie d'URL MCP, etc.), adresse IP anonymisée (2 derniers octets masqués), user-agent, langue, site référent | Mesure d'audience et amélioration du service | Intérêt légitime |
Nous ne collectons pas de traceurs publicitaires, de profilage cross-site, ni d'informations de paiement (aucune offre payante active à ce stade).
La mesure d'audience s'appuie sur Matomo auto-hébergé sur notre propre infrastructure OVH, en configuration sans cookieset avec anonymisation des adresses IP. Cette configuration relève de l'exemption de consentement prévue par la CNIL pour les outils de mesure d'audience strictement nécessaires au fonctionnement du service. Aucune donnée n'est partagée avec un tiers ni utilisée à des fins de profilage individuel.
3. Durée de conservation
- Données de compte : conservées pendant la durée d'activité du compte, puis supprimées dans les 30 jours suivant la demande de suppression.
- Projets et specs OpenAPI : supprimés immédiatement à la suppression du projet ou du compte.
- Sessions : expiration automatique après 30 jours d'inactivité.
- Journaux techniques : conservés 30 jours à des fins de débogage, sans données personnelles identifiables.
- Données de mesure d'audience Matomo : conservées 13 mois conformément à la recommandation de la CNIL, puis purgées automatiquement.
4. Sous-traitants et destinataires
Nous faisons appel aux sous-traitants suivants :
| Sous-traitant | Localisation | Rôle |
|---|---|---|
| OVH Cloud SAS — VPS | Strasbourg, France | Hébergement du serveur applicatif (API) |
| OVH Cloud SAS — Cloud Databases | Gravelines, France | Base de données PostgreSQL |
| OVH Cloud SAS — KMS | Paris, France (eu-west-par, 3-AZ, certifié HDS) | Gestion des clés de chiffrement (Key Management Service) — les clés maîtres ne quittent jamais le HSM OVH |
| OVH Cloud SAS — VPS Matomo | Strasbourg, France | Hébergement de l'instance Matomo auto-hébergée utilisée pour la mesure d'audience (aucun tiers analytique n'est sollicité) |
| Scaleway SAS — Transactional Email (TEM) | Paris, France | Envoi des e-mails transactionnels du service. Infrastructure souveraine européenne, aucun sous-traitant américain. |
Aucune donnée personnelle n'est transférée hors de l'Union européenne. Aucun fournisseur cloud américain n'est utilisé dans notre infrastructure.
5. Sécurité
Mesures techniques mises en œuvre :
- Mots de passe hachés (jamais stockés en clair).
- Credentials API chiffrés au repos sous clés gérées par OVH KMS.
- Tokens MCP stockés sous forme de hash, jamais en clair.
- Communication chiffrée TLS sur l'ensemble des flux.
- Isolation par projet : chaque projet dispose de sa propre clé de chiffrement.
6. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), vous disposez des droits suivants :
- Accès : obtenir une copie des données vous concernant.
- Rectification : corriger des données inexactes.
- Effacement : demander la suppression de vos données (« droit à l'oubli »).
- Portabilité : recevoir vos données dans un format structuré et lisible.
- Opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Limitation : demander la suspension d'un traitement contesté.
Pour exercer ces droits : dpa@corelayer0.com. Nous répondons dans un délai maximum de 30 jours.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL.
7. Cookies
Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service :
- Cookie de session : expire après 30 jours d'inactivité.
- Cookie de consentement OAuth : expire après 10 minutes.
Notre outil de mesure d'audience (Matomo) est configuré sans cookies : aucun identifiant n'est stocké côté navigateur entre deux visites. Aucun cookie publicitaire ni traceur tiers n'est déposé.
8. Modifications
Nous nous réservons le droit de mettre à jour cette politique. La date de dernière mise à jour figure en haut de ce document. Pour les modifications substantielles, nous vous informerons par e-mail.