Politique de Confidentialité

La société MACHINA (ci-après "nous", "notre" ou "Machina IA") s'engage à protéger la vie privée de ses utilisateurs. La présente politique décrit les données personnelles que nous collectons, comment nous les utilisons, les partageons et les protégeons, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi française Informatique et Libertés.

1. Responsable du traitement

• Société : MACHINA, SASU au capital de 1 000 euros
• SIRET : 984 093 948 00011
• Siège social : 60 rue François Ier, 75008 Paris
• Représentant : Teddy Leclerc, Président
• Contact données personnelles : dpo@machina-ia.com

2. Données personnelles collectées

2.1 Données fournies par l'utilisateur

• Nom et prénom (optionnel)
• Adresse email
• Mot de passe (stocké sous forme de hash bcrypt, jamais en clair)
• Photo de profil (si connexion Google OAuth ou upload manuel)
• Contenu des conversations avec les modèles IA (messages, fichiers uploadés, documents créés)

2.2 Données collectées automatiquement

• Adresse IP
• Type de navigateur et système d'exploitation
• Données de session (cookies fonctionnels d'authentification)
• Données d'usage anonymisées (fonctionnalités utilisées, erreurs rencontrées)

2.3 Données de facturation

• Historique de consommation de crédits et transactions
• Informations de paiement (traitées directement par Stripe, nous ne stockons jamais vos numéros de carte bancaire)

3. Finalités et bases légales du traitement

4. Utilisation de vos données par les modèles IA

Machina IA n'utilise jamais vos conversations, fichiers ou documents pour entraîner des modèles d'intelligence artificielle.

Vos messages sont transmis aux fournisseurs d'IA (Anthropic, OpenAI, Google, Mistral, Perplexity et xAI) uniquement pour générer une réponse. Chaque fournisseur a sa propre politique concernant l'utilisation des données transmises via API. Nous utilisons exclusivement les accès API professionnels de ces fournisseurs, qui excluent généralement l'entraînement de modèles sur les données clients.

Notre système SENTINEL (voir section 9) permet en outre d'anonymiser automatiquement vos données sensibles avant leur transmission aux fournisseurs d'IA.

5. Sous-traitants et destinataires des données

Vos données peuvent être transmises aux sous-traitants suivants, dans le strict cadre de la fourniture du service :

CCT = Clauses Contractuelles Types approuvées par la Commission Européenne (RGPD art. 46).

Machina IA ne vend, ne loue et ne partage jamais vos données personnelles à des fins publicitaires ou de marketing. Aucune publicité n'est affichée dans le service.

6. Transferts de données hors Union Européenne

Certains sous-traitants sont situés hors de l'Union Européenne (principalement aux États-Unis). Ces transferts sont encadrés par :

• Les décisions d'adéquation de la Commission Européenne (RGPD art. 45), lorsqu'elles existent.
• Les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (RGPD art. 46), qui imposent aux destinataires un niveau de protection équivalent à celui du RGPD.

Les requêtes envoyées aux fournisseurs d'IA sont préalablement anonymisées par notre système SENTINEL, réduisant ainsi la quantité de données personnelles transmises hors UE.

Transfer Impact Assessment (TIA)— Conformément à l'arrêt CJUE C-311/18 (Schrems II) et aux Recommandations 01/2020 du CEPD, un TIA est documenté pour chaque transfert vers un pays tiers. Ce document est disponible sur demande auprès du DPO.

7. Durée de conservation des données

8. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès (art. 15) — Obtenir une copie de l'ensemble de vos données personnelles. Disponible directement depuis les Réglages de l'application (export en un clic).
• Droit de rectification (art. 16) — Corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) — Demander la suppression de vos données. Disponible directement depuis les Réglages (suppression de compte). Les données de facturation sont conservées conformément aux obligations légales.
• Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).
• Droit d'opposition (art. 21) — Vous opposer au traitement de vos données fondé sur l'intérêt légitime.
• Droit à la limitation du traitement (art. 18) — Demander la suspension temporaire du traitement de vos données.
• Droit relatif à la décision automatisée (art. 22) — Machina IA produit des brouillons et assistances à la rédaction, jamais de décision produisant des effets juridiques automatiques. Une validation humaine reste toujours requise avant tout usage externe. Vous pouvez nous demander à tout moment de ne pas soumettre vos requêtes à un profilage automatisé.
• Directives post-mortem — Conformément à la loi pour une République Numérique, vous pouvez définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, contactez-nous à dpo@machina-ia.com. Nous répondrons dans un délai maximum de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr.

9. Protection des données sensibles — SENTINEL

Machina IA intègre un système propriétaire de protection des données personnelles appelé SENTINEL. Ce système détecte et anonymise automatiquement les données sensibles (noms, emails, numéros de téléphone, adresses, identifiants, données financières, etc.) avant leur envoi aux fournisseurs d'IA.

• Détection en temps réel de 58 types d'entités sensibles, réparties en 9 catégories.
• Anonymisation automatique par remplacement des données par des jetons (tokens) avant transmission aux modèles IA.
• Restauration transparente des données dans les réponses affichées à l'utilisateur.
• Configurable par l'utilisateur dans les Réglages de l'application (activation, désactivation, mode de protection).

10. Cookies

Machina IA utilise exclusivement :

• Cookies strictement nécessaires — Session d'authentification, protection CSRF. Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas de consentement.
• Analytics (PostHog) — Collecte anonymisée de données d'usage pour améliorer le service. PostHog est configuré en mode conforme au RGPD (hébergement UE, pas de tracking cross-site, pas de partage avec des tiers).

Machina IA n'utilise aucun cookie publicitaire, aucun traceur de ciblage comportemental et aucun cookie tiers à des fins marketing.

11. Mesures de sécurité

Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

• Chiffrement des communications en transit (SSL/TLS)
• Authentification à deux facteurs (2FA TOTP) disponible
• Hébergement en France sur serveur dédié (datacenter certifié ISO 27001)
• Isolation des données entre utilisateurs (Row Level Security au niveau base de données)
• Hachage des mots de passe (bcrypt avec sel)
• Monitoring continu des erreurs et alertes de sécurité
• Journalisation des accès et actions sensibles (audit trail)
• Protection contre les attaques par force brute (rate limiting)

12. Notification en cas de violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD. Si la violation est susceptible d'engendrer un risque élevé, vous serez également informé directement par email dans les meilleurs délais (RGPD art. 34).

13. Modifications de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité. En cas de modification substantielle, nous vous en informerons par email ou notification dans l'application au moins 15 jours avant l'entrée en vigueur des changements. La date de dernière mise à jour figure en haut de cette page.