PolybrainPolybrain
Connexion

Politique de confidentialite

Cette politique decrit les donnees traitees par Polybrain, l'usage qui en est fait, les sous-traitants impliques et les points restant a confirmer avant lancement public.

Derniere mise a jour

17 mars 2026

Responsable du traitement

Polybrain agit comme responsable du traitement pour les donnees necessaires au fonctionnement du service, a la securite, a la facturation et a la relation avec les utilisateurs.

Societe
Polybrain SA
Site
https://polybrain.ch
Email confidentialite
privacy@polybrain.ch
Adresse postale
Blocage lancement
A completer avant lancement
Representant / DPO
A confirmer avant lancement
A confirmer si applicable

Donnees traitees

  • Donnees de compte: email, nom, statut de verification, dates de creation et de mise a jour, identifiants internes.
  • Donnees d'authentification et de securite: sessions, jetons, adresse IP, user-agent, identifiants client et anonymes, contexte CSRF.
  • Donnees de facturation et d'abonnement: identifiants Stripe, plan, statut, metadata de facturation, moyens de paiement et factures synchronises sans stockage direct des numeros de carte.
  • Donnees produit: titres de conversations, messages, modeles selectionnes, historique, cache, usage des quotas et couts estimes.
  • Donnees invite: identifiant anonyme, espaces de travail invites, indicateurs de migration vers un compte authentifie.
  • Donnees de navigateur: stockage local pour identifiant anonyme, indicateurs de session, preferences UI et IndexedDB pour le cache de conversations.
  • Pieces jointes et objets stockes lorsque l'utilisateur utilise les uploads de chat.

Finalites du traitement

  • Creer et administrer les comptes utilisateurs, verifier les adresses email et gerer les sessions.
  • Fournir le service de conversation et de comparaison de modeles d'IA, y compris le routage des requetes vers les fournisseurs choisis.
  • Mesurer l usage, appliquer les quotas, prevenir les abus et assurer la securite du service.
  • Gerer les abonnements, paiements, factures et portails de facturation via Stripe.
  • Envoyer des emails transactionnels tels que verification de compte et communications de support.
  • Maintenir les journaux techniques, le cache et l'infrastructure necessaires a l'exploitation du service.

Cookies et stockage local

Polybrain utilise un cookie de session/authentification essentiel (pb_session par defaut, ou un nom equivalent configure cote serveur) pour maintenir votre connexion. Ce cookie est HttpOnly et utilise les attributs Secure et SameSite strict en production.

Polybrain n'emploie pas de cookies publicitaires ou d'analyse dans l'etat actuel du depot. Si cela change, cette politique devra etre mise a jour avant activation.

Le navigateur peut egalement stocker un identifiant anonyme (polybrain_anonymous_id), un identifiant client, des preferences d'interface et un cache IndexedDB (polybrain-chat-cache-v1). Le cache local de conversations a une duree maximale de 30 jours cote navigateur.

La protection CSRF repose sur un jeton transmis via l'en-tete x-csrf-token. Il ne s'agit pas d'un cookie distinct dans l'implementation actuelle.

Destinataires et sous-traitants

Stripe

Encaissement des paiements, gestion des abonnements, factures et portail de facturation.

Fournisseur email transactionnel

A confirmer avant lancement

Envoi des emails de verification et de communication de service. Le fournisseur exact doit etre confirme sur l'environnement de production.

Hebergement, base de donnees et stockage objet

A confirmer avant lancement

Execution de l'application, persistance PostgreSQL, journaux techniques et eventuel stockage de pieces jointes. Les noms juridiques exacts doivent etre confirmes avant lancement.

Fournisseurs de modeles d'IA configures par Polybrain (OpenAI, Anthropic, Google Gemini, Mistral, Cohere, xAI, DeepSeek, Perplexity, Apertus/Public AI)

A confirmer avant lancement

Traitement des prompts, pieces jointes et messages selon le modele choisi par l'utilisateur. Le sous-ensemble reellement active en production doit etre confirme avant lancement.

Sous-traitants a verifier

La liste des sous-traitants en production ne peut pas etre certifiee depuis le depot seul. Verifier les fournisseurs effectivement actifs avant publication finale.

Conservation

  • Les donnees de compte, d'abonnement et les conversations sont conservees tant que le compte reste actif, puis selon les obligations legales ou la politique interne de suppression.
  • Les jetons de verification d'email expirent apres 24 heures dans l'implementation actuelle.
  • Le cache local de conversations stocke dans IndexedDB cote navigateur expire apres 30 jours maximum.
  • La retention des donnees invitees est documentee a 90 jours pour les espaces inactifs dans les runbooks, mais ce point doit etre confirme et aligne avec les taches automatisees de production.
  • La retention des logs techniques et des sauvegardes doit etre confirmee sur la plateforme de production avant lancement.

Politique a verrouiller

Les delais de conservation des invites, logs et sauvegardes ne sont pas tous imposes directement par le code actuel. Ils doivent etre verifies avec l'infrastructure de production.

Vos droits

Sous reserve du droit applicable, vous pouvez demander l'acces, la rectification, la suppression, la limitation ou l'export de vos donnees en ecrivant a privacy@polybrain.ch.

Polybrain pourra demander des informations complementaires pour verifier l'identite du demandeur avant de traiter une demande sensible.

A ce stade, la portabilite/export et certaines suppressions etendues peuvent necessiter une intervention manuelle de support ou d'exploitation.

Securite et transferts

  • Les communications HTTP utilisent TLS en transit sur les environnements de production.
  • Les mots de passe sont stockes sous forme de hash, les sessions utilisent un cookie HttpOnly et les operations sensibles sont protegees par un mecanisme CSRF.
  • Selon les fournisseurs d'IA, de facturation, d'email ou d'hebergement utilises, certaines donnees peuvent etre traitees en dehors de Suisse ou de l'Espace economique europeen.
  • Les bases legales et mecanismes de transfert exacts doivent etre confirmes avec la version finale des contrats fournisseurs avant lancement.