1. RESPONSABLE DU TRAITEMENT
Dénomination : Prompt Architect
Site web : https://www.prompt-architect.io
Contact : support@prompt-architect.io
Prompt Architect est actuellement exploité en tant qu'entreprise individuelle. Une immatriculation sous forme de SARL de droit OHADA en Côte d'Ivoire est en cours. Les présentes mentions seront mises à jour dès l'immatriculation effective.
2. DONNÉES COLLECTÉES
Prompt Architect collecte les données suivantes selon les interactions de l'utilisateur :
Données de compte
◈Adresse email (inscription)
◈Nom d'affichage optionnel
◈Mot de passe chiffré (jamais stocké en clair)
Données d'usage
◈Plan souscrit et crédits consommés
◈Prompts générés et sauvegardés
◈Historique des transactions (packs achetés)
Données techniques
◈Adresse IP (non conservée au-delà de la session)
◈Type de navigateur et appareil (via Plausible, sans cookie)
◈Pages visitées et actions (analytics agrégées, non nominatives)
Données de paiement
◈Les données de carte bancaire sont traitées exclusivement par Lemon Squeezy — Prompt Architect ne stocke aucune donnée de paiement.
3. FINALITÉS ET BASE LÉGALE
Fourniture du service
Base : Exécution du contrat
Gestion des comptes, génération des prompts, suivi des crédits.
Facturation et paiement
Base : Exécution du contrat
Traitement des abonnements et packs de crédits via Lemon Squeezy.
Communications transactionnelles
Base : Exécution du contrat
Emails de bienvenue, notifications de crédits, alertes d'expiration.
Amélioration du service
Base : Intérêt légitime
Analytics agrégées et anonymisées via Plausible (sans cookie).
Obligations légales
Base : Obligation légale
Conservation des données de facturation conformément aux obligations fiscales applicables.
4. HÉBERGEMENT ET SOUS-TRAITANTS
Prompt Architect fait appel aux sous-traitants suivants, chacun soumis à des engagements contractuels de protection des données :
Supabase
Base de données et authentification
Région : États-Unis — Virginie du Nord (us-east-1) — transferts UE encadrés par les CCT — supabase.com
VercelRGPD
Hébergement frontend et CDN
Région : Mondial (Edge Network) — données utilisateurs non stockées — vercel.com
Anthropic
Moteur de génération IA (Claude API)
Région : États-Unis — mode commercial (pas de rétention des données) — anthropic.com
Lemon Squeezy
Traitement des paiements par carte
Région : États-Unis — lemonsqueezy.com
Resend
Envoi des emails transactionnels
Région : États-Unis — resend.com
Plausible AnalyticsRGPD
Analytics web (sans cookie, données agrégées)
Région : Europe (Allemagne) — plausible.io
5. DURÉE DE CONSERVATION
Données de compte actifDurée de vie du compte
Données après suppression de compte30 jours (puis suppression définitive)
Données de facturation10 ans (obligation légale fiscale)
Logs de connexionNon conservés au-delà de la session
Analytics Plausible13 mois glissants (données agrégées)
6. VOS DROITS (RGPD)
Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi ivoirienne n°2013-450 du 19 juin 2013, vous disposez des droits suivants :
◈Droit d'accès
Obtenir une copie de vos données personnelles.
◈Droit de rectification
Corriger des données inexactes ou incomplètes.
◈Droit à l'effacement
Demander la suppression de vos données (sauf obligation légale de conservation).
◈Droit à la portabilité
Recevoir vos données dans un format structuré et lisible par machine.
◈Droit d'opposition
Vous opposer au traitement fondé sur l'intérêt légitime.
◈Droit de limitation
Demander la suspension temporaire du traitement.
Pour exercer vos droits : support@prompt-architect.io
Délai de réponse : 30 jours maximum
Autorité de contrôle (UE) : CNIL — www.cnil.fr
Autorité de contrôle (Côte d'Ivoire) : ARTCI — www.artci.ci
7. SÉCURITÉ DES DONNÉES
Prompt Architect met en œuvre les mesures techniques et organisationnelles suivantes :
✓Chiffrement des données en transit (HTTPS/TLS 1.3)
✓Mots de passe hashés (bcrypt via Supabase Auth — jamais stockés en clair)
✓Authentification à deux facteurs disponible
✓Accès à la base de données restreint par Row Level Security (Supabase RLS)
✓Clés API et secrets gérés via les variables d'environnement Vercel (jamais en clair dans le code)
✓Dépôt de code privé avec authentification à deux facteurs
✓Infrastructure reposant sur des sous-traitants certifiés ISO/IEC 27001:2022 et SOC 2 Type II (Supabase, Anthropic)
En cas de violation de données susceptible d'affecter vos droits, Prompt Architect s'engage à vous en informer dans un délai de 72 heures conformément à l'article 33 du RGPD.
8. TRANSFERTS HORS UNION EUROPÉENNE
Certains sous-traitants (Supabase, Anthropic, Lemon Squeezy, Resend) sont basés aux États-Unis (us-east-1 pour Supabase). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne conformément à l'article 46 du RGPD, et/ou par les garanties contractuelles propres à chaque prestataire. Supabase est certifié SOC 2 Type II et ISO/IEC 27001:2022 et dispose d'un Data Processing Agreement (DPA) disponible sur supabase.com/dpa. Anthropic est certifié SOC 2 Type II. Ces certifications concernent les sous-traitants, et non Prompt Architect lui-même. Anthropic opère en mode commercial API sans rétention des données transmises.
9. ANALYSE D'IMPACT (DPIA)
Conformément à l'article 35 du RGPD, Prompt Architect a conduit une analyse d'impact relative à la protection des données (DPIA) pour le traitement suivant à risque élevé :
Traitement analysé : Génération de prompts via l'API Anthropic Claude
Risque identifié : Transmission de données saisies par l'utilisateur à un sous-traitant US
Mesures appliquées : Mode commercial API — Anthropic ne conserve pas les données transmises
Base légale : Exécution du contrat (art. 6.1.b RGPD) + consentement explicite (CGU)
Résultat DPIA : Risque résiduel faible — traitement autorisé avec les garanties en place
Les données saisies dans le générateur (contexte professionnel, secteur, description) sont transmises à l'API Claude d'Anthropic pour la génération du prompt. Elles ne sont pas stockées par Anthropic en mode commercial. Elles ne sont pas utilisées pour l'entraînement des modèles. Prompt Architect ne conserve que le prompt généré (résultat), associé au compte utilisateur.
10. REGISTRE DES TRAITEMENTS
Conformément à l'article 30 du RGPD, Prompt Architect tient un registre des activités de traitement. Principales activités :
Gestion des comptes utilisateurs
Finalité : Accès au service
Base légale : Contrat (art. 6.1.b)
Conservation : 3 ans après dernière connexion
Destinataires : Supabase
Génération de prompts IA
Finalité : Fourniture du service
Base légale : Contrat (art. 6.1.b)
Conservation : Session uniquement (API) + prompt sauvegardé si demandé
Destinataires : Anthropic (API), Supabase
Paiements
Finalité : Traitement des transactions
Base légale : Obligation légale (art. 6.1.c)
Conservation : 10 ans (obligations comptables)
Destinataires : Lemon Squeezy, CinetPay
Emails transactionnels
Finalité : Notifications service
Base légale : Contrat (art. 6.1.b)
Conservation : Durée du compte
Destinataires : Resend
Analytics web
Finalité : Amélioration du service
Base légale : Intérêt légitime (art. 6.1.f)
Conservation : 13 mois (données agrégées)
Destinataires : Plausible (anonymisé, sans cookie)
11. RÉGULATEURS ET CONFORMITÉ
RGPD (Union Européenne) : Règlement (UE) 2016/679 — applicable aux utilisateurs européens
Loi ivoirienne : n°2013-450 du 19 juin 2013 — protection des données personnelles
Régulateur CI : ARTCI — déclaration en cours (M2-M3 selon le plan d'action)
Droit applicable : Province de Québec, Canada (en attendant immatriculation SARL CI)
12. MODIFICATIONS
La présente politique peut être modifiée à tout moment. En cas de modification substantielle, les utilisateurs inscrits seront informés par email au moins 7 jours avant l'entrée en vigueur des nouvelles dispositions. La date de dernière mise à jour est affichée en haut de ce document.