Politique de confidentialite

Derniere mise a jour : 9 mai 2026

1. Qui sommes-nous

IA Cloud Memory (ci-apres « le Service ») est un service de stockage memoire chiffre de bout en bout pour agents IA, exploite a partir de la Suisse. Le responsable du traitement est le proprietaire du compte utilisateur, et l'exploitant technique est l'equipe IA Cloud Memory (ia-cloud-memory.ilygo-app.ch).

2. Principe directeur : zero-knowledge

Le Service est concu pour ne jamais voir le contenu de vos donnees. Toutes les operations de chiffrement et de dechiffrement se deroulent dans votre navigateur ou sur votre machine locale. Le serveur ne stocke que des ciphertexts AES-256-GCM, ainsi que des metadonnees techniques minimales (voir section 4).

3. Donnees personnelles que nous collectons

• Adresse email : utilisee comme identifiant de compte et pour vous envoyer les emails transactionnels (verification, reinitialisation de mot de passe). Conservee jusqu'a la suppression du compte.
• Hash du mot de passe de compte : derive via scrypt (N=32768, r=8, p=1) avant stockage. Le mot de passe en clair n'est jamais stocke ni transmis hors HTTPS.
• Sel cryptographique par utilisateur (16 octets aleatoires) : utilise cote navigateur pour deriver votre cle maitre a partir de votre passphrase de chiffrement. Le sel n'est pas un secret ; il sert uniquement a empecher les attaques par dictionnaire pre-calculees.
• Metadonnees techniques : nombre, taille et horodatages des objets chiffres, graphe des commits (liens parent-enfant par hash), nom et derniere date d'utilisation des cles API.
• Logs serveur : adresse IP, user-agent, methode HTTP et code de reponse. Conserves 30 jours en rotation, utilises pour le diagnostic et la detection d'abus uniquement.

4. Donnees personnelles que nous NE collectons PAS

• Le contenu de vos fichiers (chiffre dans votre navigateur, indechiffrable cote serveur).
• Votre passphrase de chiffrement (jamais transmise au serveur, sous aucune forme).
• Les noms ou chemins de vos fichiers (chiffres dans le manifest).
• Les messages de commit (chiffres dans l'objet commit).
• De cookies de tracking ou d'analytics tiers. Aucun script tiers n'est charge sur ce site.

5. Bases legales du traitement (RGPD art. 6)

• Execution du contrat (art. 6.1.b) : email, hash de mot de passe, sel et metadonnees techniques sont necessaires pour fournir le service.
• Interet legitime (art. 6.1.f) : logs serveur pour la securite et la prevention d'abus.

6. Sous-traitants

Liste des prestataires techniques avec acces (chiffre) a vos donnees, a date :

• Hebergeur infrastructure : OVH (France) — serveurs dedies, juridiction UE, conforme RGPD. Heberge les ciphertexts et la base de donnees.
• Registrar / DNS : Infomaniak (Suisse) — gestion du domaine et des enregistrements DNS, juridiction CH/LPD.
• Email transactionnel : a confirmer (Mailgun / Postmark / AWS SES) — uniquement pour envoyer les liens de verification email et de reinitialisation de mot de passe.

Tous les transferts sont chiffres en transit (TLS 1.2+).

7. Vos droits (RGPD art. 12 a 22)

Vous disposez des droits suivants, exercables depuis votre tableau de bord ou par email a l'adresse ci-dessous :

• Acces : votre tableau de bord affiche en permanence l'ensemble de vos donnees. Un export brut chiffre sera bientot disponible (RGPD art. 20, portabilite).
• Rectification : modifiez votre email ou mot de passe depuis les parametres du compte.
• Effacement : supprimez votre compte depuis les parametres. La suppression est immediate et irreversible : tous les ciphertexts, metadonnees, sessions et cles API sont effaces.
• Limitation et opposition : contactez-nous.
• Portabilite : export brut chiffre disponible (en cours de finalisation).

8. Securite

La securite est detaillee dans le modele de securite. En resume : AES-256-GCM pour le contenu, PBKDF2-SHA256 a 600 000 iterations pour la derivation de cle, isolation par utilisateur enforcee au niveau SQL, sessions HttpOnly+Secure+SameSite=Lax, hash scrypt cote serveur pour le mot de passe de compte.

9. Cookies

Le Service utilise un seul cookie : icm_sess, un identifiant de session strictement necessaire (HttpOnly, Secure, SameSite=Lax, TTL 30 jours coulissant). Aucun cookie tiers, aucun cookie de mesure d'audience.

10. Conservation des donnees

• Compte : jusqu'a suppression par l'utilisateur.
• Sessions : 30 jours apres la derniere utilisation.
• Cles API : jusqu'a revocation par l'utilisateur.
• Logs : 30 jours en rotation.
• Tokens de verification email / reinitialisation : 24 h / 60 minutes respectivement.

11. Notification de breach

En cas de violation de donnees affectant nos systemes, nous notifions l'autorite de controle competente sous 72 h conformement au RGPD art. 33, et les utilisateurs concernes par email sans delai indu.

12. Modifications

Toute modification substantielle de cette politique sera notifiee par email avec un preavis d'au moins 30 jours.

13. Contact

Pour toute question relative a vos donnees, contactez : privacy@ia-cloud-memory.ilygo-app.ch.

Vous pouvez egalement deposer une reclamation aupres de votre autorite de controle (CNIL en France, PFPDT en Suisse, etc.).