Tout, sans le jus de citron.
Ce site est tenu par une personne physique. Pas de société, pas d'équipe juridique, pas de double-discours. Juste un dev qui essaie d'être utile sans trahir tes données métier.
Qui édite ce site
Ce qu'on fait avec tes données
- On chiffre tout ce que tu envoies (messages, fichiers) en ML-KEM-768 dans ton navigateur, avant que ça quitte ta machine.
- On déchiffre uniquement en RAM, le temps strictement nécessaire pour transmettre la requête à Mistral et te renvoyer la réponse.
- Ta session vit dans Redis (Upstash, région UE) le temps de la conversation, et un cron purge la base toutes les 15 minutes.
- On signe le PDF que tu télécharges avec une clé ML-DSA-65, vérifiable à vie.
- On limite la dépense Mistral à 10 €/jour côté serveur via un kill-switch atomique (pour éviter qu'une attaque draine la clé).
Ce qu'on ne fait PAS avec tes données
- Pas de compte utilisateur, pas de cookie d'identification.
- Pas de log applicatif du contenu de tes messages ou de tes fichiers. Métadonnées techniques uniquement (timestamps, tailles).
- Pas de revente, pas de partage à des tiers, pas d'analytics comportemental.
- Pas de stockage long terme — la base est purgée toutes les 15 min.
- Pas d'entraînement de modèle sur tes données (ni de notre côté, ni du côté Mistral, voir ci-dessous).
- Pas de pixel de tracking, pas de fingerprinting, pas de Google Analytics.
Mistral AI — ce qu'il faut savoir
Pour répondre, on appelle l'API de Mistral AI (société française, Paris). Mistral est le seul tiers qui voit le contenu de ta conversation, et uniquement pour générer la réponse.
Mistral conserve 30 jours
Par défaut, Mistral garde les inputs et outputs envoyés à son API pendant 30 jours glissants, pour des raisons d'abuse-monitoring (sécurité juridique). Cette conservation est documentée dans leur privacy policy. Tu peux demander un "Zero Data Retention" (ZDR) pour ton organisation directement à Mistral.
Mistral n'entraîne PAS
Mistral n'utilise pas tes données pour entraîner ses modèles via leur API La Plateforme. Le programme "Anonymized Improvement Data" est un opt-in séparé, désactivé par défaut côté éditeur de ce site.
Le seul moment où tes données ne sont PAS chiffrées
Soyons précis. Le PQC applicatif chiffre tes données du navigateur jusqu'à notre RAM serveur. Mais Mistral ne supporte pas (encore) le PQC sur son API. Donc il existe une fenêtre de quelques millisecondes où ton message est en clair, en RAM, le temps d'être transmis à Mistral en TLS 1.3 standard. Voilà à quoi ça ressemble :
zeroize()-é dans le finallydu handler. Aucun stockage disque, aucun log de contenu. Si Vercel relit notre code, ils peuvent vérifier que le contenu n'est jamais persisté.Cookies & traceurs
On utilise un seul cookie : sid, httpOnly, sameSite=strict. Il sert à associer ton navigateur à ta session éphémère côté serveur. Pas de cookie publicitaire, pas de cookie analytique, pas de cookie tiers.
Pas de bandeau cookie nécessaire (CNIL : pas requis pour cookies strictement nécessaires au service).
Tes droits RGPD
Comme la base est purgée toutes les 15 minutes, le droit à l'effacement est natif et automatique. Le droit d'accès et de portabilité est… un peu théorique vu qu'il n'y a rien à porter.
Pour toute question : alexis.hessler@protonmail.com — l'éditeur répond directement, sans formulaire.
Tu peux aussi déposer une réclamation auprès de la CNIL (autorité française de protection des données).
Limitations & honnêteté
- · Le PQC ne couvre pas le hop vers Mistral (voir schéma ci-dessus). On ne pretend pas le contraire.
- ·Mistral est un tiers de confiance — pas un saint. On t'encourage à lire leurs CGU.
- ·Ce projet est personnel et fourni "tel quel" — pas de SLA, pas de garantie de disponibilité.
- · Si tu travailles dans un secteur sensible (santé, défense, finance), parle à ton DPO/DSI avant.
Dernière mise à jour : 06/05/2026 · v1.0