Passer au contenu
LucidFlow

Politique de confidentialité

Dernière mise à jour : 12 mai 2026

1. Identité et contact

LucidFlow (lucidflow.ai) est une plateforme de cartographie et d’optimisation de processus BPMN propulsée par l’IA.

Pour toute question relative à la confidentialité, contactez-nous à : privacy@lucidflow.ai

2. Données que nous collectons

Données de compte

  • Adresse e-mail et identifiants d’authentification (gérés par Supabase Auth)
  • Nom, photo de profil et identifiant fournisseur si vous vous connectez avec Google OAuth ou LinkedIn (scope LinkedIn OIDC : openid, profile, email)

Données de processus

  • Documents que vous téléversez (stockés dans Supabase Storage)
  • Texte extrait de vos documents (stocké dans notre base de données pour l’analyse)
  • Diagrammes BPMN générés, résultats d’optimisation et historique des conversations

Données de paiement

Les paiements sont traités par Stripe. Nous stockons votre identifiant client Stripe et le statut de votre abonnement, mais jamais vos coordonnées bancaires.

Données techniques

  • Adresse IP (utilisée pour la limitation de débit et la prévention des abus)
  • En-têtes HTTP standard (type de navigateur, préférences linguistiques)

3. Comment nous utilisons vos données

  • Pour fournir le service de cartographie et d’optimisation BPMN
  • Pour traiter les paiements via Stripe
  • Pour appliquer les limites d’utilisation selon votre plan d’abonnement
  • Pour protéger contre les abus (vérification CAPTCHA, limitation de débit)
  • Pour analyser l'utilisation du produit et améliorer le service. Les analytics côté client détaillés (pages vues, clics auto-capturés, enregistrements de session) ne s'exécutent qu'avec votre consentement aux cookies. Les données minimales d'événements produit côté serveur (compte, plan, utilisation des fonctionnalités) sont traitées au titre de notre intérêt légitime (RGPD Art. 6(1)(f)) sans adresse IP, géolocalisation ni empreinte d'appareil. Vous pouvez désactiver les analytics côté serveur à tout moment depuis Paramètres → Confidentialité & Analytics.

4. Sous-traitants tiers

  • Supabase: Base de données, authentification et stockage de fichiers (régions disponibles dans l’UE)
  • Stripe: Traitement des paiements (conforme PCI DSS)
  • Google Gemini API: Analyse de documents par IA. Les documents sont envoyés pour analyse et le texte extrait est conservé dans notre base de données pour la continuité de session. Les fichiers bruts sont stockés dans Supabase Storage et supprimés lorsque vous supprimez une session.
  • Anthropic Claude API: Fournisseur IA de secours (Anthropic, États-Unis). Utilisé uniquement lorsqu’une requête à Google Gemini échoue : le contenu du document est alors envoyé à l’API Anthropic Claude pour cette requête. Configuré en zero data retention (ZDR) : Anthropic ne conserve ni les prompts ni les sorties et ne les utilise pas pour entraîner ses modèles.
  • Render: Hébergement de l’application
  • Cloudflare Turnstile: Vérification CAPTCHA pour la prévention des abus
  • PostHog: Analytique produit. Deux canaux : (1) les analytics détaillés côté client (pages vues, clics auto-capturés) ne fonctionnent que si vous acceptez les cookies analytiques ; (2) des événements minimaux côté serveur (compte, plan, utilisation des fonctionnalités) sont envoyés sans adresse IP ni empreinte d'appareil au titre de l'intérêt légitime, avec opt-out explicite dans Paramètres → Confidentialité & Analytics. Données hébergées dans l'UE (eu.i.posthog.com). Voir la politique de confidentialité de PostHog : https://posthog.com/privacy
  • LinkedIn: Fournisseur d’identité pour la connexion LinkedIn (LinkedIn Ireland Unlimited Company / Microsoft). Utilisé uniquement si vous choisissez de vous connecter avec LinkedIn. Voir la politique de confidentialité de LinkedIn : https://www.linkedin.com/legal/privacy-policy

5. Transferts internationaux de données

Certains de nos sous-traitants opèrent en dehors de l’Union européenne, du Royaume-Uni, de la Suisse et du Canada (notamment Google Gemini, Anthropic, Stripe et LinkedIn aux États-Unis). Lorsque nous transférons vos données personnelles hors de ces juridictions, nous nous appuyons sur des garanties appropriées :

  • Clauses contractuelles types (CCT) approuvées par la Commission européenne, avec l’addendum britannique le cas échéant
  • Certifications EU-US Data Privacy Framework (DPF) et Swiss-US DPF lorsque le destinataire y est inscrit
  • Garanties contractuelles équivalentes pour les transferts encadrés par la Loi 25 du Québec (évaluation des facteurs relatifs à la vie privée documentée) et la nLPD suisse

Vous pouvez demander une copie du mécanisme de transfert pour un sous-traitant spécifique à privacy@lucidflow.ai.

6. Décisions automatisées et IA

LucidFlow utilise l’IA (Google Gemini comme fournisseur principal, Anthropic Claude en secours lorsqu’une requête Gemini échoue) pour générer des diagrammes BPMN, des suggestions d’optimisation, des plans de transformation IA et des recommandations d’outils à partir des documents que vous fournissez.

Ces sorties générées par IA sont des suggestions destinées à vous assister dans vos décisions. Elles ne produisent pas d’effets juridiques ni d’effets significatifs comparables à votre égard au sens de l’article 22 du RGPD, de l’article 12.1 de la Loi 25 du Québec ou de l’article 21 de la nLPD suisse. Vous gardez le contrôle total : vous pouvez modifier, accepter, refuser ou ignorer toute sortie IA avant qu’elle ne soit appliquée à votre activité.

Si vous avez des questions sur la production d’une suggestion IA ou souhaitez qu’une personne humaine examine une sortie spécifique, contactez privacy@lucidflow.ai.

7. Conservation des données

  • Vos données sont conservées tant que votre compte est actif.
  • Lorsque vous supprimez une session, tous les documents, textes extraits, résultats BPMN et historiques de conversation associés sont définitivement supprimés.
  • Vous pouvez supprimer votre compte à tout moment depuis la page Paramètres. Toutes les données sont définitivement supprimées.
  • Après la suppression du compte, vos enregistrements de processeur de paiement (identifiant client Stripe et historique de facturation) sont conservés conformément aux obligations légales de tenue de registres financiers et pour prévenir les abus. Aucune donnée personnelle au-delà de votre association email dans Stripe n’est conservée.

8. Vos droits (RGPD / UE & R.-U.)

  • Droit d’accès: Vous pouvez consulter toutes vos données au sein de l’application.
  • Droit à l’effacement: Vous pouvez supprimer des sessions individuelles et toutes les données associées. Vous pouvez également supprimer l’intégralité de votre compte depuis la page Paramètres.
  • Droit à la portabilité: Exportez gratuitement l’intégralité des données personnelles que nous détenons sur vous (sessions, contenus BPMN, conversations, abonnement) au format JSON structuré depuis Paramètres → Exporter vos données. Les exports visuels (PNG, SVG, PDF) sont des fonctionnalités produit payantes, distinctes de ce droit légal.
  • Droit de rectification: Contactez-nous pour corriger toute donnée personnelle inexacte.
  • Droit d’opposition et de limitation: Vous pouvez vous opposer à tout moment au traitement fondé sur l’intérêt légitime (par ex. les analytics côté serveur) depuis Paramètres → Confidentialité & Analytics.
  • Droit d’introduire une réclamation: Vous pouvez introduire une réclamation auprès de votre autorité de contrôle nationale (par ex. la CNIL en France, l’AEPD en Espagne, l’ICO au Royaume-Uni ou toute autre autorité européenne de protection des données).

Pour exercer l’un de ces droits, contactez : privacy@lucidflow.ai

9. Résidents du Québec (Loi 25)

Si vous résidez au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi 25 ») vous accorde, en plus des droits décrits ci-dessus, les droits qui suivent.

Personne responsable de la protection des renseignements personnels

Notre responsable désigné de la protection des renseignements personnels peut être joint à privacy@lucidflow.ai. Les demandes écrites doivent contenir suffisamment d’informations pour permettre la vérification de votre identité.

Vos droits sous la Loi 25

  • Droit d’accès et d’information: Vous pouvez demander une copie des renseignements personnels que nous détenons à votre sujet, ainsi que des informations sur leur utilisation et les personnes auxquelles ils sont communiqués. Une copie complète et lisible par machine est disponible gratuitement depuis Paramètres → Exporter vos données.
  • Droit de rectification: Vous pouvez faire rectifier tout renseignement personnel inexact, incomplet ou équivoque.
  • Droit à la désindexation et à la cessation de diffusion: Vous pouvez demander que nous cessions la diffusion de renseignements personnels vous concernant ou que tout hyperlien donnant accès à ces renseignements par un moyen technologique soit désindexé, lorsque les conditions de l’article 28.1 de la Loi 25 sont remplies.
  • Droit relatif aux décisions automatisées: Lorsqu’une décision produisant des effets juridiques ou vous touchant de manière significative est fondée exclusivement sur un traitement automatisé, vous pouvez obtenir les renseignements personnels utilisés et les raisons ayant mené à cette décision. Comme indiqué à la section 6, les sorties IA de LucidFlow sont des suggestions et ne constituent pas de telles décisions.

Les renseignements personnels des résidents du Québec peuvent être transférés hors Québec, vers les États-Unis et l’Union européenne, pour traitement par nos prestataires. Une évaluation des facteurs relatifs à la vie privée a été réalisée pour ces transferts ; un résumé peut être fourni sur demande.

Vous pouvez déposer une plainte auprès de la Commission d’accès à l’information du Québec (CAI) : https://www.cai.gouv.qc.ca

10. Résidents suisses (nLPD)

Si vous résidez en Suisse, la nouvelle Loi fédérale sur la protection des données (nLPD, en vigueur depuis le 1er septembre 2023) s’applique au traitement de vos données personnelles. Les droits décrits à la section 8 (accès, rectification, effacement, portabilité, opposition) s’appliquent à vous de manière équivalente.

Lorsque des données personnelles sont transférées vers les États-Unis ou d’autres pays sans décision d’adéquation reconnue par la Suisse, nous nous appuyons sur les Clauses contractuelles types ou, le cas échéant, sur le Swiss-US Data Privacy Framework.

Vous pouvez déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) : https://www.edoeb.admin.ch

11. Droits des résidents de Californie (CCPA / CPRA)

Si vous êtes résident de Californie, le California Consumer Privacy Act tel que modifié par le California Privacy Rights Act (CCPA / CPRA) vous accorde les droits qui suivent.

Catégories d’informations personnelles collectées

  • Identifiants : adresse e-mail, identifiants de compte, adresse IP, identifiant fournisseur OAuth (Google, LinkedIn)
  • Informations commerciales : statut d’abonnement, historique de facturation, registres d’utilisation
  • Activité Internet : type de navigateur, préférences linguistiques, interaction avec notre service
  • Informations professionnelles : documents de processus métier et diagrammes BPMN générés

Informations personnelles sensibles

Nous ne collectons pas d’informations personnelles sensibles au sens du CPRA (telles que numéros de sécurité sociale, géolocalisation précise, données biométriques ou de santé, origine raciale, religion, orientation sexuelle, ou contenu de communications privées).

Finalités commerciales de la collecte

  • Fourniture et amélioration du service de cartographie BPMN, d’optimisation et de transformation IA
  • Traitement des paiements et gestion des abonnements via Stripe
  • Protection contre les abus, application des limites et sécurité du service

Pas de vente, partage limité

LucidFlow ne vend pas d’informations personnelles. Le seul « partage » au sens du CCPA / CPRA correspond aux analytics produit (PostHog) lorsque vous acceptez les cookies analytiques. Vous pouvez retirer ce consentement à tout moment depuis Paramètres → Confidentialité & Analytics ou en refusant la bannière de cookies.

Vos droits CCPA / CPRA

  • Droit de savoir: Vous pouvez demander des détails sur les catégories et les informations personnelles spécifiques que nous avons collectées. Une copie complète et lisible par machine est disponible gratuitement depuis Paramètres → Exporter vos données.
  • Droit de suppression: Vous pouvez demander la suppression de vos informations personnelles via la page Paramètres ou en nous contactant.
  • Droit de rectification: Vous pouvez demander la correction des informations personnelles inexactes que nous détenons à votre sujet.
  • Droit de refus de vente / partage: Comme indiqué ci-dessus, nous ne vendons pas d’informations personnelles. Pour vous opposer au « partage » lié aux analytics, refusez les cookies analytiques ou utilisez Paramètres → Confidentialité & Analytics.
  • Droit à la non-discrimination: Nous ne vous discriminerons pas pour l’exercice de vos droits CCPA / CPRA.
  • Mandataire autorisé: Les résidents de Californie peuvent désigner un mandataire autorisé pour soumettre des demandes en leur nom, sur présentation d’une preuve d’autorisation vérifiable.

Comment exercer vos droits

Pour exercer ces droits, contactez-nous à privacy@lucidflow.ai ou utilisez les fonctions d’export et de suppression dans vos Paramètres.

Nous répondons aux demandes vérifiables dans un délai de 45 jours calendaires. Si nous avons besoin de plus de temps (jusqu’à 90 jours), nous vous informerons.

12. Cookies

Nous utilisons deux catégories de cookies :

Cookies essentiels

Requis pour la gestion de session d’authentification (Supabase Auth). Ces cookies ne peuvent pas être désactivés.

Cookies analytiques (optionnels)

Lorsque vous acceptez les cookies analytiques, nous utilisons PostHog pour collecter des données d’utilisation anonymisées telles que les pages vues, les interactions avec les fonctionnalités et les parcours de navigation. Cela nous aide à améliorer LucidFlow. Les données analytiques sont hébergées dans l’UE (eu.i.posthog.com). Vous pouvez vous désinscrire à tout moment en refusant les cookies analytiques ou en contactant privacy@lucidflow.ai.

Nous n’utilisons pas de cookies publicitaires ou marketing.

13. Sécurité et notification de violation

  • Toutes les données sont transmises via HTTPS avec chiffrement TLS.
  • L’accès à la base de données est protégé par des politiques de sécurité au niveau des lignes (RLS).
  • L’authentification est gérée par Supabase Auth avec prise en charge de Google OAuth et LinkedIn OIDC.
  • Les données de paiement sont traitées exclusivement par Stripe et ne transitent jamais par nos serveurs.
  • En cas de violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés, nous notifierons l’autorité de contrôle compétente dans un délai de 72 heures et informerons les utilisateurs concernés sans retard injustifié, conformément aux articles 33-34 du RGPD, à l’article 3.5 de la Loi 25 du Québec et à l’article 24 de la nLPD suisse.

14. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps en temps. Les modifications seront publiées sur cette page avec une date de mise à jour.

← Retour à l’accueil