Plumestack
Essai gratuit
RGPD

Politique de confidentialité.

Comment nous traitons tes données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.

Dernière mise à jour : 28 avril 2026

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via la plateforme Plumestack est :

Plumestack SAS (en cours d'immatriculation)
Siège social : à compléter, France
Représenté par : Yann Karroum, président
Contact RGPD : privacy@plumestack.fr

Pour toute demande relative à tes données personnelles, écris à privacy@plumestack.fr. Un délégué à la protection des données (DPO) sera désigné dès lors que les seuils réglementaires l'exigeront.

2. Données collectées

Nous traitons les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse email, mot de passe (haché), URL d'avatar.
  • Données d'abonnement : formule choisie, statut, dates, identifiants Stripe (customer ID, subscription ID — aucune donnée bancaire ne transite par nos serveurs).
  • Données d'usage : voice profile éditorial, paramètres de site, articles générés, sujets de veille, logs d'activité, statistiques d'usage agrégées.
  • Données techniques : adresse IP, user-agent, identifiants de session, journaux d'accès et d'erreurs.
  • Données de communication : emails transactionnels (confirmations, alertes), tickets de support.
  • Données des visiteurs des sites éditoriaux : lorsque tu héberges un site éditorial via Plumestack, ses visiteurs peuvent fournir leur email pour s'abonner à une newsletter — le Client en est alors co-responsable conjoint au sens de l'article 26 RGPD.

3. Finalités & bases légales

FinalitéBase légale
Création et gestion du compte, fourniture du serviceExécution du contrat (Art. 6.1.b RGPD)
Facturation et gestion des paiementsExécution du contrat + obligation légale (Art. 6.1.b et 6.1.c)
Support client et communication transactionnelleExécution du contrat (Art. 6.1.b)
Sécurité, prévention de la fraude, modération automatiséeIntérêt légitime (Art. 6.1.f)
Mesure d'audience interne (statistiques anonymisées)Intérêt légitime (Art. 6.1.f)
Conservation des logs et données d'identification des contributeursObligation légale — LCEN art. 6-II (Art. 6.1.c)
Newsletters marketing PlumestackConsentement (Art. 6.1.a)

4. Destinataires & sous-traitants

Les données sont accessibles aux personnels habilités de Plumestack et à nos sous-traitants techniques, qui agissent sur instructions documentées et au titre de contrats conformes à l'article 28 RGPD :

Sous-traitantRôleLocalisation
SupabaseBase de données, authentification, stockageUE — Francfort (DE)
VercelHébergement web, CDN, edge runtimeUSA + edge mondiaux
StripePaiement, facturation, portail clientUE (Stripe Payments Europe Ltd., Dublin)
AnthropicGénération de texte (Claude)USA
Google (Gemini, Search Console)Génération d'images, indexation SEOUSA + UE
OpenAIModèles auxiliaires (classification, embeddings)USA
TavilyVeille web automatiséeUSA
ResendEnvoi d'emails transactionnelsUE / USA
InngestOrchestration de tâches asynchronesUSA

Aucune donnée personnelle n'est revendue ni cédée à des tiers à des fins commerciales. Aucun contenu Client (articles, voice profile) n'est utilisé pour entraîner des modèles d'IA tiers.

5. Transferts hors Union européenne

Certains de nos sous-traitants (Anthropic, OpenAI, Tavily, Vercel, Inngest) sont établis aux États-Unis. Les transferts vers ces destinataires sont encadrés par :

  • la décision d'adéquation de la Commission européenne du 10 juillet 2023 relative au EU-U.S. Data Privacy Framework (DPF), pour les sous-traitants effectivement certifiés DPF ; à la date de mise à jour de cette page : Vercel, Stripe, Google (Gemini, GSC, OAuth). Tu peux vérifier la liste à jour sur dataprivacyframework.gov ;
  • les clauses contractuelles types (CCT) 2021 de la Commission européenne, pour les sous-traitants non-DPF (notamment Anthropic Claude, OpenAI Moderation, Tavily) ; ces clauses imposent contractuellement le même niveau de protection que le RGPD ;
  • à défaut, les clauses contractuelles types (CCT) adoptées par la Commission européenne le 4 juin 2021 ;
  • des mesures techniques complémentaires (chiffrement en transit, minimisation des données transférées, paramètres de non-rétention pour les API IA).

La base de données principale et les données d'authentification sont, elles, hébergées exclusivement en Union européenne (Supabase Francfort). Pour obtenir copie des garanties applicables à un transfert spécifique, écris à privacy@plumestack.fr.

6. Durées de conservation

  • Compte et données associées : pendant toute la durée de l'abonnement actif, puis 1 an en archivage intermédiaire.
  • Articles et contenus publiés : tant que le compte est actif ; suppression dans les 30 jours après résiliation, sauf demande d'export par le Client.
  • Données de facturation : 10 ans (obligation comptable et fiscale, art. L.123-22 du Code de commerce).
  • Données d'identification des contributeurs et logs de connexion : 1 an après la dernière contribution (LCEN art. 6-II et décret n° 2021-1363).
  • Cookies essentiels : durée de session ou maximum 13 mois.
  • Données prospects et newsletter Plumestack : 3 ans à compter du dernier contact, ou jusqu'à désinscription.

7. Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

  • Droit d'accès (Art. 15) : obtenir la confirmation que des données te concernant sont traitées et en obtenir copie.
  • Droit de rectification (Art. 16) : faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (Art. 17) : dit « droit à l'oubli », sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement (Art. 18).
  • Droit à la portabilité (Art. 20) : récupérer tes données dans un format structuré, couramment utilisé et lisible par machine (export markdown / JSON disponible directement depuis le tableau de bord).
  • Droit d'opposition (Art. 21) : au traitement fondé sur l'intérêt légitime, ainsi qu'à la prospection commerciale à tout moment.
  • Droit de retirer ton consentement à tout moment, sans que cela n'affecte la licéité des traitements antérieurs.
  • Droit de définir des directives relatives au sort de tes données après ton décès (art. 85 loi Informatique et Libertés).

Pour exercer ces droits, écris à privacy@plumestack.fren précisant l'objet de ta demande. Une réponse te sera apportée dans un délai d'un mois, prorogeable de deux mois en cas de complexité particulière.

Tu disposes également du droit d'introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

8. Cookies & traceurs

Plumestack utilise uniquement des cookies strictement nécessairesau fonctionnement du Service et exemptés de consentement au sens de la délibération CNIL n° 2020-091 :

  • cookies de session pour l'authentification (Supabase Auth) ;
  • cookies techniques pour le paiement sécurisé (Stripe) ;
  • cookies de préférence d'interface (thème, langue).

Aucun cookie publicitaire, de tracking marketing ou de profilage n'est déposé par Plumestack sur son site institutionnel ni sur les sites éditoriaux clients par défaut. Si un Client active une intégration analytique sur son propre site, il en assume la conformité (consentement préalable, configuration).

9. Sécurité

Plumestack met en œuvre les mesures techniques et organisationnelles appropriées (Art. 32 RGPD) pour protéger tes données : chiffrement TLS 1.3 en transit, isolation par Row Level Security PostgreSQL, hachage des mots de passe, signatures HMAC sur les webhooks, audit logs, sauvegardes chiffrées, gestion stricte des accès. En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés, Plumestack notifiera la CNIL dans les 72 heures et informera les personnes concernées si nécessaire (Art. 33-34 RGPD).

10. Décisions automatisées

La modération des contenus repose sur un dispositif automatisé. Aucune décision produisant des effets juridiques significatifs n'est prise sans intervention humaine : une suspension de compte définitive est toujours validée manuellement par un opérateur Plumestack, et le Client dispose d'un droit de contestation à privacy@plumestack.fr (Art. 22 RGPD).

11. Modifications de la politique

La présente politique peut être amenée à évoluer. Toute modification substantielle sera notifiée par email et/ou via la Plateforme. La date de dernière mise à jour figure en tête de page. Pour toute question, consulte également les mentions légales et les conditions générales de vente.