Politique de confidentialité

Qui sommes-nous ?

Penguin Translator (« nous ») est un service de traduction par IA exploité par Wil, entrepreneur individuel établi en France. La présente politique explique quelles données personnelles nous traitons, pourquoi, combien de temps nous les conservons, avec qui nous les partageons et les droits dont vous disposez au titre du Règlement (UE) 2016/679 (« RGPD »), du UK GDPR, du California Consumer Privacy Act tel que modifié par le CPRA (« CCPA/CPRA ») et des autres lois applicables. Le responsable de traitement est Wil, joignable à wil.8dev@gmail.com. Aucun délégué à la protection des données (DPO) n'a été formellement désigné ; toutes les demandes peuvent être adressées à cette même adresse.

En cas de divergence, la version anglaise de la présente politique prévaut.

L'essentiel

• Nous collectons uniquement ce qui est nécessaire au service : votre adresse e-mail (via Clerk), les textes que vous traduisez, des identifiants de facturation (via Polar) et des journaux techniques basiques.
• Les textes à traduire transitent via la Vercel AI Gateway vers des fournisseurs de modèles configurés afin de produire le résultat. Nous ne vendons pas vos données et nous n'entraînons aucun modèle d'IA sur votre contenu.
• Le trafic anonyme est limité au moyen d'un hash SHA-256 salé de votre adresse IP ; l'IP brute n'est pas conservée durablement.
• Nous utilisons uniquement des cookies essentiels et des analytiques respectueuses de la vie privée. Vercel Analytics ne dépose pas de cookies et ne fait pas de pistage inter-sites.
• Vous pouvez accéder à vos données, les rectifier, les effacer, les exporter ou en limiter le traitement, et déposer une plainte auprès de votre autorité de contrôle (la CNIL en France).

Données collectées

• Données de compte : votre adresse e-mail et un identifiant utilisateur Clerk lors de la création du compte. Si vous vous connectez avec un fournisseur tiers (Google, GitHub, etc.), nous pouvons aussi recevoir vos nom et avatar.
• Contenu des traductions : le texte source que vous saisissez, le contexte optionnel et la traduction générée par l'IA. Les traductions récentes sont conservées dans votre historique privé (Upstash Redis) pour vous permettre de les réutiliser.
• Documents (Pro/Premium) : les fichiers que vous chargez sont stockés dans Vercel Blob pour pouvoir vous renvoyer la traduction. Vous pouvez les supprimer à tout moment depuis la page Documents.
• Données d'usage : horodatages, compteurs de requêtes et de caractères, plan, langue d'interface, user-agent, pays dérivé de l'IP, et compteurs de quotas servant aux limites quotidiennes / par minute.
• Données de facturation : lorsque vous vous abonnez via Polar, Polar traite directement vos informations de paiement. Nous recevons uniquement un identifiant d'abonnement, le plan, le statut et une référence de facture. Nous ne voyons jamais votre numéro de carte.
• Données de diagnostic : rapports d'erreurs collectés par Sentry (traces d'exception, informations sur le navigateur, URL concernée). Sentry est configuré pour expurger les valeurs de formulaire et le corps des requêtes.
• Cookies et stockage local : un cookie de session Clerk (essentiel, uniquement pour les utilisateurs connectés) ; vos préférences de thème et la dernière langue cible sont conservées localement dans votre navigateur. Aucun cookie publicitaire. Aucun pistage inter-sites.

Finalités et bases légales (RGPD art. 6)

• Fournir le service de traduction et gérer votre compte — Exécution du contrat (art. 6.1.b).
• Traiter les paiements et émettre les factures — Exécution du contrat (art. 6.1.b) et Obligation légale (art. 6.1.c) pour la comptabilité et la TVA.
• Sécurité, prévention des abus, rate-limiting — Intérêt légitime (art. 6.1.f) : maintenir le service disponible, lutter contre les bots et les abus de quota.
• Analytique de qualité de service et suivi de bugs (Vercel Analytics, Sentry) — Intérêt légitime (art. 6.1.f).
• E-mails transactionnels liés au service (confirmation, alertes de sécurité, changements de plan) — Exécution du contrat (art. 6.1.b).
• Respect des obligations légales et des demandes d'autorités — Obligation légale (art. 6.1.c).

Sous-traitants et transferts internationaux

Nous utilisons les sous-traitants suivants pour faire fonctionner le service. Chacun est encadré par un Data Processing Agreement (DPA) ou un contrat équivalent.

• Vercel Inc. (États-Unis, régions edge en UE) — hébergement, fonctions serverless, stockage de documents (Vercel Blob), Vercel Analytics, AI Gateway (proxy vers les fournisseurs de modèles).
• Clerk, Inc. (États-Unis) — authentification utilisateur et gestion des sessions.
• Upstash, Inc. (États-Unis, régions UE disponibles) — Redis pour les compteurs de rate-limit, le cache de traduction, l'historique et les métadonnées de documents.
• Fournisseurs de modèles tiers accessibles via la Vercel AI Gateway (États-Unis) — inférence de modèles de langage pour les traductions. Nous configurons des fournisseurs dont les entrées et sorties API ne servent pas à entraîner leurs modèles publics selon leurs conditions API.
• Polar Software Inc. (États-Unis, partenaires de facturation en UE) — checkout, gestion des abonnements, facturation, gestion de la TVA.
• Functional Software, Inc. dba Sentry (États-Unis) — supervision d'erreurs.

Certains de ces sous-traitants sont situés aux États-Unis ou y transfèrent des données. Nous nous appuyons sur la décision d'adéquation de la Commission européenne pour le EU-US Data Privacy Framework lorsque le sous-traitant y est certifié, et sinon sur les Clauses Contractuelles Types de l'UE (Module 2 ou 3) complétées par des mesures techniques et organisationnelles appropriées. Vous pouvez demander une copie du mécanisme de transfert applicable en écrivant à wil.8dev@gmail.com.

Durées de conservation

• Données de compte : conservées tant que votre compte existe. Supprimées dans les 30 jours suivant votre demande de suppression, sauf obligation légale de conservation.
• Historique de traductions : conservé dans Redis avec un plafond glissant (entrées les plus récentes par utilisateur) ; vous pouvez le vider depuis l'interface à tout moment. Le cache de traduction (anonymisé par hash de contenu) est conservé jusqu'à 30 jours pour accélérer les requêtes répétées.
• Documents chargés : conservés jusqu'à votre suppression ; les documents orphelins de plus de 90 jours sont purgés automatiquement.
• Journaux d'usage et de sécurité : les compteurs de rate-limit sont réinitialisés chaque minute / chaque jour ; les journaux d'accès bruts sont conservés jusqu'à 90 jours.
• Données de facturation : conservées 10 ans pour respecter le Code de commerce français (art. L123-22) et les obligations comptables et fiscales.
• Événements d'erreur Sentry : conservés 90 jours puis supprimés automatiquement.
• Identifiants anonymes (hashs IP salés pour anti-abus) : conservés jusqu'à 30 jours.

Vos droits

Si vous résidez dans l'Espace économique européen, au Royaume-Uni ou en Suisse, vous disposez du droit d'accéder à vos données personnelles, de les rectifier, d'en demander l'effacement (« droit à l'oubli »), de limiter ou de vous opposer à certains traitements, de demander la portabilité (copie lisible par machine) et de retirer votre consentement à tout moment lorsque le traitement repose sur le consentement. Vous pouvez exercer ces droits en écrivant à wil.8dev@gmail.com ; nous répondons sous un mois. Vous avez aussi le droit d'introduire une réclamation auprès d'une autorité de contrôle — en France, la CNIL ; au Royaume-Uni, l'ICO ; ou votre autorité locale de protection des données.

Résidents de Californie (CCPA/CPRA) : vous avez le droit de connaître les informations personnelles que nous collectons, d'en demander la suppression, de corriger les informations inexactes, et de vous opposer à toute « vente » ou « partage » d'informations personnelles. Nous ne vendons ni ne partageons vos informations personnelles au sens du CCPA/CPRA, et nous ne les utilisons pas pour de la publicité comportementale inter-contextes. Pour exercer vos droits, écrivez à wil.8dev@gmail.com.

Sécurité

• Tout le trafic est chiffré en transit via HTTPS / TLS 1.2 ou supérieur.
• Les secrets et clés API sont stockés dans l'environnement chiffré de Vercel, jamais dans le code source, et rotés en cas de départ d'un collaborateur.
• Une politique de sécurité de contenu (CSP) stricte, HSTS preload, X-Frame-Options DENY et d'autres en-têtes de défense en profondeur sont appliqués sur chaque réponse.
• L'authentification et la gestion des sessions sont assurées par Clerk, qui propose détection de bots, vérification des mots de passe compromis et MFA optionnelle.
• Le rate-limiting au plus près du edge limite les clients abusifs avant d'atteindre l'application.
• Nous notifions les utilisateurs concernés sans délai injustifié et dans un délai de 72 heures après la prise de connaissance d'une violation de données personnelles, lorsque cela est exigé par les articles 33-34 du RGPD.

Mineurs

Le service n'est pas destiné aux enfants. Vous devez avoir au moins 16 ans (ou l'âge minimum applicable dans votre juridiction, et jamais moins de 13 ans) pour utiliser Penguin Translator. Si nous apprenons que des données personnelles d'un mineur en-dessous de cet âge ont été collectées sans consentement parental vérifiable, nous les supprimons. Contactez wil.8dev@gmail.com pour signaler un tel cas.

Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification importante, nous mettrons à jour la date « Dernière mise à jour » en haut de la page et, pour les utilisateurs connectés, nous enverrons un court avis par e-mail. La poursuite de l'utilisation du service après la nouvelle date d'effet vaut acceptation de la politique mise à jour.

Résumé en français

Penguin Translator est édité par Wil, entrepreneur individuel basé en France. Nous traitons votre adresse e-mail (via Clerk), vos textes et documents traduits (via la Vercel AI Gateway et ses fournisseurs de modèles), des données techniques de sécurité et, si vous êtes abonné, des identifiants de facturation gérés par Polar. Aucune publicité, aucune revente de données, aucun entraînement de modèles publics sur votre contenu selon les conditions API de nos prestataires. Vous disposez des droits RGPD et pouvez nous écrire à wil.8dev@gmail.com.