Politique de confidentialité
Conforme au RGPD (UE) 2016/679 — Dernière mise à jour : février 2026
1. Responsable du traitement
LabTwist — [Forme juridique + adresse à compléter]
Email DPO : dpo@LabTwist.fr
En l'absence de DPO désigné formellement, le dirigeant assure cette fonction.
2. Données personnelles collectées
| Catégorie | Données | Base légale |
|---|---|---|
| Identification | Nom, prénom, email, mot de passe (hashé bcrypt) | Exécution du contrat (art. 6.1.b) |
| Organisation | Nom d'organisation, rôle, membres | Exécution du contrat (art. 6.1.b) |
| Exercices | Scénarios, équipes, timelines, évaluations | Exécution du contrat (art. 6.1.b) |
| Facturation | ID Stripe, historique de paiement (pas de n° de carte) | Obligation légale (art. 6.1.c) |
| Technique | Adresse IP, user-agent, logs de connexion | Intérêt légitime — sécurité (art. 6.1.f) |
| Cookie de langue | Préférence de locale (fr/en/es/de) | Intérêt légitime — fonctionnement (art. 6.1.f) |
3. Finalités du traitement
- •Fourniture du service SaaS de génération d'exercices de crise
- •Gestion des comptes utilisateurs et des organisations
- •Traitement des paiements et facturation
- •Génération de contenu par IA (scénarios, injects, RETEX)
- •Amélioration du service et statistiques d'usage agrégées
- •Sécurité du système (rate limiting, détection d'abus)
4. Sous-traitants et transferts hors UE
| Prestataire | Finalité | Localisation | Garantie |
|---|---|---|---|
| Neon | Base de données PostgreSQL | Frankfurt, Allemagne (UE) | RGPD natif |
| Vercel | Hébergement application | USA + Edge EU | DPA + SCCs |
| Stripe | Paiements | Irlande (UE) | RGPD natif |
| Google (Gemini) | Génération IA | USA | DPA + SCCs |
| Resend | Emails transactionnels | USA | DPA + SCCs |
Pour les transferts hors UE, des Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne sont en place. L'option « Mode local » de LabTwist permet de travailler entièrement dans le navigateur, sans aucun transfert de données vers des serveurs tiers.
5. Durées de conservation
| Données | Durée | Justification |
|---|---|---|
| Compte utilisateur | Durée de la relation + 3 ans | Prescription civile |
| Exercices et contenus | Durée de la relation + 1 an | Service + archivage |
| Factures et paiements | 10 ans | Obligation comptable (art. L123-22 Code de commerce) |
| Logs de connexion | 12 mois | LCEN art. 6 II |
| Cookie de langue | 12 mois | Fonctionnement du service |
6. Vos droits (RGPD art. 15 à 22)
Vous disposez des droits suivants sur vos données personnelles :
Droit d'accès
Obtenir une copie de vos données
Droit de rectification
Corriger des données inexactes
Droit à l'effacement
Supprimer votre compte et vos données
Droit à la portabilité
Exporter vos données en format structuré
Droit d'opposition
S'opposer au traitement (intérêt légitime)
Droit à la limitation
Geler le traitement de vos données
Pour exercer vos droits : dpo@LabTwist.fr. Réponse sous 30 jours maximum.
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
7. Sécurité des données
- ✓Chiffrement en transit (TLS 1.3) et au repos
- ✓Mots de passe hashés avec bcrypt (facteur 12)
- ✓Rate limiting sur les endpoints sensibles
- ✓Headers de sécurité (CSP, HSTS, X-Frame-Options, etc.)
- ✓Isolation multi-tenant (données cloisonnées par organisation)
- ✓Sanitisation des entrées IA contre l'injection de prompts
- ✓Aucun stockage de données bancaires (Stripe PCI DSS Level 1)
8. Utilisation de l'intelligence artificielle
LabTwist utilise l'API Google Gemini pour générer des scénarios, des injects et des analyses RETEX. Les données envoyées à l'API sont :
- Le contexte de l'exercice (type, domaine, durée, objectifs)
- Les noms et rôles des participants (pour personnaliser les injects)
- Les données de jeu (réponses, chronologie) pour l'analyse RETEX
Conformément aux conditions de Google, les données envoyées via l'API payante ne sont pas utilisées pour entraîner les modèles. Aucune décision automatisée au sens de l'art. 22 du RGPD n'est prise — l'IA est un outil d'aide à la rédaction, pas un décideur.
9. Modifications de cette politique
Nous nous réservons le droit de modifier cette politique. En cas de changement substantiel, vous serez notifié par email ou par bannière dans l'application. La date de mise à jour en haut de cette page fait foi.