← Retour à l'accueil

Politique de confidentialité

Version 1.0-draft · Dernière mise à jour : 17.04.2026

Statut juridique : version de travail avant validation par un avocat spécialisé LPD/RGPD. Les engagements techniques décrits ici sont réels et appliqués dans le code du Service. La rédaction juridique définitive pourra préciser certains points sans changer le fond.

1. Responsable de traitement

MadStudio, studio créatif suisse établi à Genève, est le responsable du traitement des données personnelles collectées via MadChatBot.

Délégué à la protection des données : privacy@madchatbot.ch

2. Données collectées

2.1 Compte Client

  • Identification : nom, email, entreprise (optionnel)
  • Authentification : mot de passe hashé bcrypt, codes 2FA (si activés)
  • Facturation : via Stripe (MadStudio ne stocke aucune donnée carte bancaire)
  • Préférences : notifications email, paramètres 2FA, acceptation CGU

2.2 Utilisation du Service

  • Configuration des Bots : nom, couleurs, message d'accueil, prompt système
  • Documents RAG : fichiers PDF/TXT/CSV uploadés par le Client
  • Conversations Visiteurs : messages échangés, IP (rate limiting), ID visiteur, dates
  • Leads : coordonnées laissées par les Visiteurs (nom, email, téléphone, message)
  • Usage technique : tokens LLM consommés, latences, providers utilisés

2.3 Données Visiteurs (sur les sites clients)

Quand un Visiteur interagit avec le Widget sur le site d'un Client, les données suivantes sont collectées :

  • IP (pour rate limiting anti-abus, purgée après 30 jours)
  • ID visiteur anonyme (cookie localStorage, permet de retrouver son historique)
  • Contenu des messages échangés (conservé 90 jours par défaut, configurable par le Client)
  • Coordonnées optionnellement laissées via formulaire de contact

Un avis de confidentialité est affiché dans chaque Widget informant le Visiteur que sa conversation peut être enregistrée.

3. Finalités et bases légales

FinalitéBase légaleDurée
Fourniture du ServiceContratDurée du compte
FacturationObligation légale10 ans
Sécurité (logs, rate limit)Intérêt légitime30 jours
Emails transactionnelsContrat
Analytics (agrégées)Intérêt légitime12 mois

4. Hébergement et sous-traitants

Sous-traitantRôleLocalisation
InfomaniakHébergement web + mail🇨🇭 Suisse
StripePaiement (PCI-DSS)🇮🇪 Irlande / 🇺🇸 US
OpenAI (plans standards)LLM (GPT)🇺🇸 US
Anthropic (plans standards)LLM (Claude)🇺🇸 US
Infomaniak Euria (plans Sovereign)LLM souverain🇨🇭 Suisse

Plans Sovereign : aucune donnée ne transite vers des serveurs non-suisses. Le choix de la formule Sovereign permet au Client d'éviter tout traitement hors Suisse.

Pour les transferts vers des pays hors EEE/CH (OpenAI, Anthropic, Stripe), MadStudio s'appuie sur les clauses contractuelles types (CCT) de la Commission européenne.

5. Vos droits (RGPD art. 15-22 / LPD art. 25-28)

En tant que personne concernée, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données via Mon compte → Exporter mes données
  • Droit de rectification : modifier vos infos depuis votre compte
  • Droit à l'effacement : Mon compte → Supprimer mon compte. Effacement complet sous 30 jours (sauf obligations légales de conservation)
  • Droit à la portabilité : export JSON structuré téléchargeable à tout moment
  • Droit d'opposition : désactivation des emails viaMon compte → Notifications
  • Droit à la limitation : contactez privacy@madchatbot.ch
  • Droit de réclamation : auprès du Préposé fédéral à la protection des données (PFPDT, Suisse) ou de la CNIL (France) / APD (Belgique) / autre autorité nationale

6. Sécurité

  • Mots de passe hashés bcrypt (12 rounds) — jamais stockés en clair
  • Clés API hashées SHA-256 — la clé en clair n'est montrée qu'une seule fois
  • Authentification à deux facteurs (TOTP) disponible
  • Connexions en HTTPS/TLS uniquement
  • Rate limiting sur les tentatives de login et les endpoints sensibles
  • Alertes email en cas de tentatives d'intrusion détectées
  • Backups quotidiens de la base de données

7. Cookies

Le Service utilise uniquement des cookies techniques nécessaires :

  • mcb_client_token : jeton de session JWT (localStorage)
  • mcb_cookie_consent : mémorisation du choix utilisateur
  • mcb_visitor_id : ID anonyme pour regrouper les conversations d'un même visiteur sur un site client

Aucun cookie publicitaire ou de tracking tiers n'est déposé sur votre navigateur par MadChatBot.

8. Conservation et suppression

Les données sont conservées le temps strictement nécessaire aux finalités :

  • Compte actif : jusqu'à suppression par le Client
  • Conversations : 90 jours par défaut (configurable par le Client, 1 à 365 jours)
  • Leads (coordonnées laissées par les visiteurs) : 90 jours par défaut, supprimés ensuite par cron de purge automatique
  • Logs de sécurité (IP rate limit) : 30 jours
  • Données de facturation : 10 ans (obligation légale CO art. 958f)

Après suppression du compte, toutes les données sont effacées dans les 30 jours, à l'exception de celles soumises à obligation légale.

9. Contact

Pour exercer vos droits ou toute question : privacy@madchatbot.ch

Réponse garantie sous 30 jours (délai légal RGPD/LPD).