Politique de Confidentialité & RGPD
1. Responsable du traitement
PulsiForms — contact DPO : [email protected]
Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.
2. Données collectées
- Données d'identification : adresse email, nom d'affichage, avatar
- Données de projet : projets PulsiForms (.pfp), contrôles, scripts générés
- Données de connexion : adresse IP (logs Netlify, durée 30 jours), timestamps de connexion
- Données de collaboration : identifiant utilisateur visible des collaborateurs d'un projet partagé
- Clés API IA (BYOK) : jamais stockées côté serveur. Côté client : mémoire volatile pure par défaut, ou sessionStorage chiffré AES-256-GCM dérivé du JWT si l'option « Mémoriser » est activée (expiration 8 h, effacement à la déconnexion)
3. Finalités du traitement
- Authentification et gestion du compte (base légale : exécution du contrat)
- Sauvegarde et synchronisation des projets cloud (base légale : exécution du contrat)
- Collaboration en temps réel (base légale : consentement)
- Amélioration du Service et détection de fraudes (base légale : intérêt légitime)
4. Sous-traitants et transferts hors UE
⚠️ Hébergement hors Europe : PulsiForms utilise les services suivants, dont certains traitent des données hors de l'Union Européenne :
- Supabase (authentification, base de données) — serveurs AWS us-east-1 (Virginie, USA). Transfert encadré par des Clauses Contractuelles Types (CCT/SCC) conformes à l'article 46 du RGPD.
- Netlify (hébergement, fonctions serverless) — USA. Transfert encadré par CCT.
- Anthropic / Mistral AI (IA, BYOK uniquement) — USA / Europe. Données transmises uniquement si vous activez l'assistant IA avec votre propre clé. Aucune donnée de projet n'est envoyée sans action explicite.
En vous inscrivant, vous reconnaissez avoir été informé(e) de ces transferts hors UE et de leurs garanties appropriées.
5. Durée de conservation
- Données de compte : durée de vie du compte + 30 jours après résiliation
- Projets supprimés : 30 jours (corbeille) puis suppression définitive
- Logs techniques : 30 jours (Netlify)
- Données de sauvegarde : 90 jours maximum
6. Vos droits (RGPD articles 15 à 22)
Vous disposez des droits suivants, exercables à [email protected] :
- ✅ Accès — obtenir une copie de vos données
- ✏️ Rectification — corriger des données inexactes
- 🗑️ Effacement — demander la suppression de votre compte et données
- 📦 Portabilité — exporter vos projets au format JSON/.pfp
- ⛔ Opposition — s'opposer au traitement à des fins de prospection
- 🔒 Limitation — demander la suspension temporaire du traitement
- ↩️ Retrait du consentement — à tout moment, sans effet sur les traitements antérieurs
Délai de réponse : 30 jours. Réclamation possible auprès de la CNIL (cnil.fr).
7. Cookies et technologies similaires
PulsiForms n'utilise aucun cookie de tracking, de publicité ou d'analyse d'audience. Le seul cookie déposé est strictement nécessaire au fonctionnement du Service :
| Nom | Type | Durée | Finalité | Base légale |
|---|---|---|---|---|
pf_session |
HttpOnly · Secure · SameSite=Strict | 7 jours | Maintien de la session d'authentification. Le cookie est illisible par JavaScript (protection XSS). Il ne contient que les tokens Supabase chiffrés. | Strictement nécessaire — exécution du contrat (article 82 loi Informatique et Libertés, directive ePrivacy) |
pf_cookie_notice |
localStorage (pas un cookie) | 1 an | Mémorisation de la prise de connaissance de la notice cookie. Valeur : horodatage uniquement. | Intérêt légitime (UX) |
pf_ck / pf_mk |
sessionStorage chiffré AES-256-GCM (pas un cookie) | 8 h max — effacé à la déconnexion | Clés API IA (BYOK) chiffrées côté client, uniquement si l'option « Mémoriser » est activée par l'utilisateur. Illisibles sans le JWT de session actif. | Consentement explicite (opt-in) |
ℹ️ Consentement non requis : conformément aux recommandations de la CNIL (délibération n°2020-091), le cookie pf_session est exempté de consentement car il est strictement nécessaire à un service explicitement demandé par l'utilisateur (authentification). Vous en êtes simplement informé(e).
Préférences d'interface (thème, disposition) : stockées en localStorage — jamais transmises à des tiers.
Aucune donnée n'est transmise à des régies publicitaires ou outils d'analyse tiers.
8. Sécurité des données
Les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256 via Supabase/AWS). L'authentification supporte le MFA (TOTP). Mesures de sécurité applicatives :
- 🔒 Cookie HttpOnly
pf_session— inaccessible à JavaScript, protégé contre le vol XSS - 🧠 JWT en mémoire volatile — le token d'accès n'est jamais écrit dans le DOM storage (localStorage/sessionStorage)
- 🔄 Rotation automatique — le token est renouvelé toutes les heures ; le cookie est mis à jour côté serveur (PATCH via Netlify Function)
- 🚪 Révocation à la déconnexion — le cookie est effacé côté serveur (Max-Age=0) à chaque logout
- 🛡️ Content Security Policy (CSP) stricte — aucun script inline autorisé (
'unsafe-inline'absent) ; chargement limité aux origines explicitement whitelistées (esm.sh, cdnjs, Cloudflare Turnstile) - 🔗 Isolation cross-origin — en-têtes COOP (
same-origin-allow-popups), CORP (same-site) et HSTS (max-age=31536000) actifs sur toutes les pages - 🌐 CORS géré dynamiquement — origine strictement whitelistée côté serveur (Netlify Functions), jamais de
*
9. Décisions automatisées & intelligence artificielle (Article 22 RGPD)
L'assistant IA de PulsiForms (BYOK — Anthropic Claude / Mistral) est un outil d'aide à la génération de code PowerShell/WinForms. Il n'effectue aucune décision automatisée ayant un effet juridique ou significatif sur les utilisateurs (pas de scoring, pas de profiling décisionnel). L'utilisateur reste seul décisionnaire du code produit et de son exécution. En conséquence, les dispositions de l'article 22 RGPD relatives au droit de ne pas faire l'objet d'une décision automatisée ne s'appliquent pas dans ce cadre.
10. Modifications
Cette politique peut être mise à jour. Toute modification substantielle fera l'objet d'une notification par email avec un préavis de 30 jours.
Dernière mise à jour : 14 mai 2026 — Version 1.3 (CSP strict Palier 3B · COOP/CORP · décisions automatisées art. 22 · médiation litiges)