Politique de confidentialité

Le responsable de traitement au sens du RGPD est la société éditrice du Service, identifiée dans nos mentions légales. Pour toute question relative aux données personnelles : privacy@muzewriter.com.

Données de compte — adresse email, mot de passe hashé (jamais en clair), nom d’affichage, avatar facultatif. Base légale : exécution du contrat (art. 6.1.b RGPD).

Contenus créés — manuscrits, plans, personnages, univers, historique de versions. Base légale : exécution du contrat.

Données d’usage — journaux de génération IA (modèle, nombre de jetons, latence, fonction utilisée) à des fins de facturation et d’amélioration produit. Un court extrait des invites (≤ 200 caractères) est conservé pour le débogage. Base légale : intérêt légitime (art. 6.1.f) pour l’amélioration du Service et la détection d’abus.

Données de paiement — Stripe traite les paiements. Nous recevons les confirmations de transaction, l’état de l’abonnement et l’adresse de facturation (nécessaire au calcul TVA). Nous ne voyons ni ne stockons aucun numéro de carte. Base légale : exécution du contrat ; obligation légale (conservation des factures).

Clés API BYOM — si vous fournissez vos propres clés de fournisseurs IA, elles sont chiffrées au repos (AES-256-GCM) et utilisées uniquement en tant que relais vers le fournisseur choisi. Elles ne sont jamais renvoyées via notre API ni partagées. Base légale : exécution du contrat.

Préférences marketing — l’état de votre opt-in ou opt-out aux actualités produit ainsi que l’horodatage de ces décisions. Ces données nous permettent d’honorer votre choix à chaque envoi et d’en démontrer la conformité. Base légale : intérêt légitime (art. 6.1.f) et opt-in implicite pour services analogues prévu à l’article L. 34-5 CPCE pour les comptes antérieurs ; consentement explicite (art. 6.1.a) pour les comptes créés à compter du 20 mai 2026.

• Fournir et améliorer le Service
• Traiter les paiements, calculer la TVA, gérer votre solde de crédits et votre abonnement
• Envoyer les emails transactionnels (réinitialisation de mot de passe, factures, rappels obligatoires de reconduction loi Châtel)
• Envoyer ponctuellement des actualités produit et des contenus rédactionnels sur Muze Writer, chaque e-mail comportant un lien de désinscription en un clic (cf. article 8 des CGU/CGV)
• Détecter les abus et faire respecter les CGU/CGV
• Produire des statistiques anonymisées agrégées (sans profilage individuel)

Nous n’utilisons pas vos contenus pour entraîner nos modèles d’IA. Les contenus que vous créez sont transmis aux fournisseurs IA tiers uniquement pour générer la sortie demandée.

Lorsque vous utilisez la fonction « Bring Your Own Model », vos invites sont envoyées directement au fournisseur via votre propre clé API. Nous agissons alors uniquement en tant que relais.

Nous ne vendons aucune donnée personnelle. Les sous-traitants à qui nous transmettons des données sont :

• Anthropic, OpenAI, Google, DeepSeek — traitement des requêtes IA (certaines opérations hors UE/EEE, voir article 8)
• Stripe Payments Europe Ltd. — paiements, facturation des abonnements, calcul TVA
• Resend — envoi des e-mails transactionnels et marketing, gestion des listes d’abonnés et traitement des désinscriptions en un clic
• Vercel Inc. — hébergement applicatif et observabilité
• L’hébergeur de base de données indiqué dans nos mentions légales — stockage persistant

Vos données de compte et vos contenus sont conservés tant que votre compte est actif. Si vous supprimez votre compte, vos données personnelles sont effacées dans un délai de 30 jours, sous réserve des obligations légales de conservation (les factures et données comptables sont conservées 10 ans conformément au Code de commerce).

Les projets archivés sont conservés 90 jours avant suppression définitive, pour vous permettre de les restaurer.

Les mots de passe sont hashés avec bcrypt. Les clés API BYOM sont chiffrées au repos avec AES-256-GCM. L’ensemble des échanges est en HTTPS. Nous mettons en œuvre les mesures techniques et organisationnelles raisonnables pour protéger vos données contre les accès non autorisés.

Certains fournisseurs IA (notamment Anthropic, OpenAI, Google) traitent des données aux États-Unis. Ces transferts sont couverts par le cadre EU-US Data Privacy Framework lorsqu’applicable, ou par les Clauses Contractuelles Types avec garanties supplémentaires. Vous pouvez éviter tout traitement aux États-Unis en utilisant « Bring Your Own Model » avec un fournisseur de votre choix, ou en configurant votre projet pour n’utiliser que des modèles hébergés en UE lorsqu’ils sont disponibles.

Conformément au RGPD et à la loi française Informatique et Libertés, vous disposez du droit :

• D’accéder aux données personnelles que nous détenons (art. 15 RGPD)
• De rectifier les données inexactes (art. 16)
• D’obtenir l’effacement de vos données (art. 17), sous réserve des obligations légales
• De vous opposer ou de limiter certains traitements (art. 18 et 21)
• À la portabilité — recevoir vos données dans un format lisible par machine (art. 20)
• De retirer votre consentement à tout moment, pour les traitements fondés sur le consentement (art. 7.3)
• De définir des directives relatives au sort de vos données après votre décès (loi française)

Pour exercer ces droits : privacy@muzewriter.com. Nous répondons dans un délai de 30 jours.

Si vous estimez que le traitement de vos données n’est pas conforme au RGPD, vous avez le droit d’introduire une réclamation auprès de la CNIL — cnil.fr/fr/plaintes.

Nous utilisons un unique cookie de session pour vous maintenir connecté (NextAuth.js). Nous n’utilisons pas de cookies publicitaires ni de traceurs. Vercel Analytics enregistre des statistiques de trafic anonymes et agrégées, sans cookie.

Nous pouvons mettre à jour la présente politique de temps à autre. Les modifications substantielles vous seront notifiées par email au moins trente jours à l’avance. Votre utilisation continue du Service vaut acceptation de la version mise à jour.

Pour toute question ou exercice de droits : privacy@muzewriter.com.