En résumé : Vos données vous appartiennent. Nous les hébergeons en Europe, nous les chiffrons, nous ne les revendons jamais, nous ne les utilisons jamais pour entraîner un modèle public. Vous pouvez tout exporter ou tout supprimer en 1 clic.
1. Qui est responsable de vos données ?
Le responsable de traitement est Luscia SAS, 42 rue d'Hauteville, 75010 Paris, France.
Notre Délégué à la Protection des Données (DPO) est joignable à dpo@luscia.ai.
2. Quelles données collectons-nous ?
Données fournies par vous
- Identité : nom, prénom, email, mot de passe (haché)
- Entreprise : raison sociale, secteur, effectif
- Paiement : géré par Stripe (nous ne stockons pas vos numéros de CB)
- Contenus que vous importez : emails, contacts CRM, documents
Données collectées automatiquement
- Logs techniques (IP, navigateur, horodatage) pour la sécurité
- Métriques d'usage anonymisées (pages visitées, agents utilisés)
- Cookies essentiels uniquement
3. Pourquoi traitons-nous ces données ?
- Fournir le service (base légale : exécution du contrat)
- Facturation (base légale : obligation légale)
- Sécurité (base légale : intérêt légitime)
- Amélioration produit (base légale : intérêt légitime, données anonymisées)
- Communication marketing (base légale : consentement, opt-out à tout moment)
4. Combien de temps conservons-nous vos données ?
- Compte actif : pendant toute la durée de l'abonnement
- Compte inactif : 12 mois, puis suppression automatique
- Logs techniques : 12 mois maximum
- Données comptables : 10 ans (obligation légale)
5. Avec qui partageons-nous vos données ?
Uniquement avec nos sous-traitants techniques, tous situés en Union Européenne :
- OVH SAS (FR) — hébergement
- Scaleway SAS (FR) — hébergement
- Stripe Payments Europe (IE) — paiements
- Brevo SAS (FR) — emails transactionnels
- Mistral AI (FR) — inférence IA (sans rétention de vos données)
Nous ne vendons jamais vos données. Nous ne les partageons jamais à des fins publicitaires.
6. Vos données sortent-elles d'Europe ?
Non. Vos données sont stockées et traitées exclusivement en France et dans l'Union Européenne. Aucun transfert hors UE n'est effectué pour le service principal.
7. Vos données entraînent-elles des modèles d'IA ?
Jamais de modèles publics. Nos partenaires IA sont contractuellement engagés à zéro rétention sur vos données.
8. Quels sont vos droits ?
- Accès : obtenir la copie de toutes vos données
- Rectification : corriger toute donnée inexacte
- Effacement ("droit à l'oubli")
- Portabilité : récupérer vos données
- Limitation et opposition au traitement
- Retrait du consentement
Pour exercer un droit : dpo@luscia.ai. Réponse sous 30 jours.
Vous pouvez également déposer une plainte auprès de la CNIL.
9. Comment protégeons-nous vos données ?
- Chiffrement AES-256 at rest et TLS 1.3 in transit
- Authentification à 2 facteurs obligatoire pour les administrateurs
- Audits de sécurité réguliers par un tiers indépendant
- Politique de gestion des incidents (notification CNIL sous 72h)
- Certification ISO 27001 en cours
10. Utilisation des Google API Services et données Google
Luscia utilise certaines API Google (Gmail, Google Calendar) pour fournir ses services d'agents IA, notamment Tim (assistant email) et Aria (agent voix avec prise de rendez-vous).
Données collectées via les API Google
Lorsque vous connectez votre compte Google à Luscia, nous accédons à :
- Vos emails entrants (
gmail.readonly) : Tim lit les nouveaux emails pour les classer (urgent / standard / spam) et générer des brouillons de réponse contextuels. - Envoi d'emails (
gmail.send) : Tim envoie uniquement les réponses que vous avez explicitement validées par un clic « Approuver & envoyer ». Aucun envoi automatique. - Modification d'emails (
gmail.modify) : Tim marque comme lus les emails traités et applique des labels pour suivre les conversations en cours. Pas de suppression. - Paramètres de base (
gmail.settings.basic) : Tim lit uniquement votre signature native Gmail pour l'inclure dans les brouillons. Aucune modification. - Google Calendar (
calendar.events) : pour la prise de rendez-vous d'Aria. - Email et profil de base (
userinfo.email,openid) : pour identifier votre compte.
Comment vos données Google sont utilisées
Vos données Google sont utilisées exclusivement pour fournir les fonctionnalités visibles dans l'interface Luscia. Concrètement :
- ✅ Lecture en temps réel via API pour générer une réponse
- ✅ Stockage temporaire des brouillons IA (30 jours puis suppression auto)
- ✅ Stockage chiffré des tokens OAuth (AES-256-GCM)
- ❌ Aucune donnée Google n'entraîne de modèles d'IA, qu'ils soient propriétaires ou tiers (Anthropic, OpenAI)
- ❌ Aucune vente, partage marketing, ou monétisation de vos données
- ❌ Aucun usage pour de la publicité ciblée ou du profilage
- ❌ Aucune lecture humaine de vos emails, sauf si vous nous y autorisez explicitement pour un incident support
Limited Use Disclosure (conformité Google)
L'utilisation par Luscia des informations reçues des Google APIs respecte intégralement la Google API Services User Data Policy, y compris les exigences de Limited Use.
Voir notre page dédiée : Limited Use — Données Google.
Révocation
Vous pouvez révoquer l'accès Luscia à vos données Google à tout moment :
- Depuis Luscia : Intégrations → Gmail → Déconnecter
- Depuis Google : myaccount.google.com/permissions
Cette révocation entraîne la suppression immédiate de votre token OAuth chiffré et de tous les brouillons IA stockés.
11. Modifications
Cette politique peut évoluer. En cas de modification substantielle, vous serez prévenu par email au moins 30 jours avant la prise d'effet.
12. Contact
Une question ? Notre DPO vous répond personnellement : dpo@luscia.ai