Politique de confidentialité.
Dernière mise à jour : 11 mars 2026
RGPD / GDPR
Conforme — Certification en cours
EU AI Act
Conforme — Certification en cours
ISO 27001
Certification en cours
ISO 42001
Certification en cours
ISO 27701
Certification en cours
NIS2
Certification en cours
SOC 2 Type II
Certification en cours
Zero Data Retention
Vos données ne sont jamais utilisées pour l'entraînement de modèles d'IA. Nous appliquons une politique stricte de Zero Data Retention auprès de tous nos fournisseurs d'API. Vos conversations et documents restent votre propriété exclusive.
1. Responsable du traitement
STELLARR STUDIO
SAS au capital de 1 000 000,00 €
SIREN : 101 691 103 — RCS Bernay
SIRET : 101 691 103 00010
TVA : FR76101691103
163 Rue du Canal, 27500 Pont-Audemer, France
Téléphone : +33 2 32 20 54 84
Contact données personnelles : contact@stellarrstudio.com
2. Données collectées
Nous collectons les catégories de données suivantes, selon le principe de minimisation (RGPD art. 5.1.c) :
Données d'identification
Nom, prénom, adresse email, lors de la création de compte ou de l'authentification OAuth.
Données de connexion et techniques
Adresse IP, type et version du navigateur, système d'exploitation, horodatage des connexions, pages consultées.
Données d'utilisation de la Plateforme
Conversations IA (chiffrées), documents générés, fichiers uploadés, préférences, configurations de workflows.
Données de paiement
Traitées exclusivement par Stripe, Inc. (certifié PCI DSS Level 1). STELLARR STUDIO ne stocke jamais vos données bancaires (numéro de carte, CVV, etc.).
Données d'organisation
Nom de l'organisation, membres, rôles et permissions, codes d'invitation.
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture des services IA (chat, génération, workflows) | Art. 6.1.b — Exécution du contrat |
| Gestion du compte et authentification | Art. 6.1.b — Exécution du contrat |
| Traitement des paiements et facturation | Art. 6.1.b — Exécution du contrat |
| Anonymisation des données via Moon Guard | Art. 6.1.f — Intérêt légitime (protection) |
| Sécurité et prévention des fraudes | Art. 6.1.f — Intérêt légitime |
| Amélioration et optimisation du service | Art. 6.1.f — Intérêt légitime |
| Statistiques de visite (site vitrine) | Art. 6.1.a — Consentement |
| Obligations légales et comptables | Art. 6.1.c — Obligation légale |
4. Moon Guard — Protection des données IA
Moon AI intègre Moon Guard, un système propriétaire d'anonymisation en 5 couches qui intercepte et protège automatiquement les données personnelles avant leur envoi aux modèles d'IA tiers.
Scan & détection PII
Détection de 50+ catégories de données personnelles (email, téléphone, IBAN, numéro de sécu, etc.)
Tokenisation réversible
Remplacement par des tokens anonymes ([EMAIL_1], [PHONE_1], etc.) permettant la reconstruction
Injection de leurres
Ajout de faux tokens pour empêcher toute tentative de reconstruction par les modèles
Envoi chiffré au modèle IA
Transmission sécurisée (TLS 1.3) du message anonymisé au modèle sélectionné par Moon Auto
Restructuration en aval
Reconstruction de la réponse avec les données originales — uniquement côté client
Résultat : Les fournisseurs d'API (OpenAI, Anthropic, Google, OpenRouter, Fireworks AI) ne reçoivent jamais vos données personnelles en clair. Seuls des tokens anonymisés et des leurres sont transmis.
5. Destinataires et sous-traitants
| Destinataire | Finalité | Localisation | Données transmises |
|---|---|---|---|
| OpenAI | API modèles IA | USA (DPA signé) | Anonymisées via Moon Guard |
| Anthropic | API modèles IA | USA (DPA signé) | Anonymisées via Moon Guard |
| Google (Gemini) | API modèles IA | UE / USA (DPA signé) | Anonymisées via Moon Guard |
| OpenRouter | Routage API modèles IA | USA (DPA signé) | Anonymisées via Moon Guard |
| Fireworks AI | API modèles IA | USA (DPA signé) | Anonymisées via Moon Guard |
| OVHcloud | Hébergement & GPU | France / UE | Chiffrées au repos |
| Stripe | Paiements | UE (Dublin) | Données de paiement uniquement |
Les autres modèles d'IA (vidéo, images, etc.) sont hébergés sur nos propres serveurs GPU chez OVHcloud — aucun transfert de données vers des tiers.
Zero Data Retention auprès de tous les fournisseurs d'API
OpenAI, Anthropic, Google, OpenRouter et Fireworks AI se sont contractuellement engagés à ne pas conserver ni utiliser les données transmises via nos API pour l'entraînement de leurs modèles.
Aucune donnée personnelle n'est vendue à des tiers. Aucun transfert hors UE n'est effectué sans garanties appropriées (clauses contractuelles types de la Commission européenne ou décision d'adéquation).
6. Durée de conservation
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte | Durée du compte + 3 ans | Prescription légale |
| Conversations IA | Durée du compte | Supprimables à tout moment |
| Documents / fichiers | Durée du compte | Supprimables à tout moment |
| Logs de connexion | 12 mois | LCEN art. 6-II |
| Données de facturation | 10 ans | Code de commerce art. L.123-22 |
| Cookies analytiques | 13 mois maximum | Recommandation CNIL |
| Consentement cookies | 13 mois | Recommandation CNIL |
Les données anonymisées et agrégées de manière irréversible (statistiques d'usage globales, métriques de performance, volumes de requêtes) ne constituent pas des données personnelles au sens du RGPD (considérant 26) et peuvent être conservées et utilisées sans limitation de durée à des fins d'amélioration des services, de recherche, d'analyse de tendances et de reporting.
7. Sécurité des données
STELLARR STUDIO met en oeuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour protéger vos données. L'ensemble de la plateforme Moon AI a été conçu dès l'origine selon les principes de privacy by design (art. 25 RGPD) et de security by design, dans le respect des exigences du RGPD, de l'EU AI Act et des normes ISO 27001/27701/42001. Les processus de certification formelle sont en cours :
Chiffrement en transit
TLS 1.3 sur toutes les connexions
Chiffrement au repos
AES-256 sur l'ensemble du stockage
Moon Guard
Anonymisation en 5 couches avant envoi IA
Hébergement souverain
Serveurs OVHcloud en France / UE
Contrôle d'accès
RBAC, MFA, principe du moindre privilège
Journalisation
Audit trail sur tous les accès aux données
PRA / PCA
Plans de Reprise et de Continuité d'Activité supervisés par des experts (+30 ans d'expérience)
8. Décision automatisée et profilage
Conformément à l'article 22 du RGPD, vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques vous concernant.
Moon AI utilise les traitements automatisés suivants :
Moon Auto (routage intelligent)
Sélection automatique du modèle d'IA le plus adapté à votre requête en fonction de critères techniques (type de contenu, langue, complexité). Ce traitement ne produit pas d'effets juridiques et n'affecte pas significativement les utilisateurs.
Moon Guard (anonymisation)
Détection et anonymisation automatique de données personnelles dans vos messages avant envoi aux modèles d'IA. Ce traitement vise exclusivement la protection de vos données.
Recommandations de modèles
Suggestions de modèles d'IA basées sur votre historique d'utilisation. Ces recommandations sont purement indicatives et n'ont aucun effet juridique.
Aucun de ces traitements ne constitue une décision automatisée au sens de l'article 22 du RGPD. Toutefois, vous pouvez à tout moment demander une intervention humaine, exprimer votre point de vue ou contester un traitement en nous contactant à contact@stellarrstudio.com.
9. Transferts internationaux de données
Certaines données anonymisées sont transmises à des fournisseurs d'API situés aux États-Unis (OpenAI, Anthropic, OpenRouter, Fireworks AI). Ces transferts sont encadrés par :
Clauses Contractuelles Types (CCT)
De la Commission européenne (Décision d'exécution 2021/914 du 4 juin 2021)
Data Processing Agreements (DPA)
Signés avec chaque fournisseur — Consulter notre DPA
Mesures complémentaires
Anonymisation via Moon Guard avant tout transfert, chiffrement TLS 1.3 en transit, politique Zero Data Retention contractuellement imposée
Pour Google (Gemini), les données peuvent être traitées au sein de l'UE conformément au Data Processing Addendum de Google Cloud.
L'hébergement principal (OVHcloud) est exclusivement situé en France et en Union européenne. Aucune donnée personnelle en clair ne quitte le territoire de l'UE.
Vous pouvez obtenir une copie des garanties appropriées en nous contactant.
10. Notification de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, STELLARR STUDIO s'engage à :
Notification à la CNIL (art. 33)
Dans un délai de 72 heures suivant la prise de connaissance de la violation
Information des personnes (art. 34)
Vous informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés
Registre des violations (art. 33.5)
Documenter toute violation dans un registre interne, conformément à l'article 33.5
Mesures correctives
Mettre en oeuvre les mesures correctives nécessaires pour remédier à la violation et en atténuer les effets
11. Protection des données des mineurs
Moon AI n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans.
Pour les mineurs âgés de 16 à 18 ans, le consentement d'un titulaire de l'autorité parentale est requis pour l'utilisation de la plateforme, conformément à notre politique interne de protection des mineurs et à l'esprit de l'article 8 du RGPD.
Si nous apprenons que des données personnelles d'un enfant de moins de 16 ans ont été collectées, nous prendrons les mesures nécessaires pour les supprimer dans les meilleurs délais. Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données personnelles, contactez-nous à contact@stellarrstudio.com.
12. Analyse d'impact (DPIA)
Conformément à l'article 35 du RGPD, STELLARR STUDIO réalise des analyses d'impact relatives à la protection des données (AIPD/DPIA) pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes.
Une analyse d'impact a été menée notamment pour :
Conversations IA
Le traitement des conversations IA et leur anonymisation via Moon Guard
Routage automatisé
Le routage automatisé des requêtes via Moon Auto
API de fournisseurs tiers
Le traitement de données via des API de fournisseurs tiers (OpenAI, Anthropic, Google, OpenRouter, Fireworks AI)
Ces analyses sont tenues à disposition de la CNIL sur demande.
13. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
Droit d'accès (art. 15)
Obtenir une copie de l'ensemble de vos données personnelles
Droit de rectification (art. 16)
Corriger des données inexactes ou incomplètes
Droit à l'effacement (art. 17)
Obtenir la suppression de vos données (« droit à l'oubli »)
Droit à la portabilité (art. 20)
Récupérer vos données dans un format structuré et lisible
Droit d'opposition (art. 21)
Vous opposer au traitement fondé sur l'intérêt légitime
Droit à la limitation (art. 18)
Suspendre le traitement de vos données
Droit de retirer votre consentement
À tout moment, sans affecter la licéité du traitement effectué avant le retrait
Directives post-mortem (art. 85 Loi I&L)
Définir des directives relatives au sort de vos données après votre décès
Comment exercer vos droits :
Adressez votre demande à contact@stellarrstudio.com en joignant une copie d'un justificatif d'identité. Nous répondrons dans un délai maximum de 30 jours.
Réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr
14. Cookies
Pour en savoir plus sur notre utilisation des cookies et traceurs, consultez notre politique de cookies.
15. Modifications
La présente politique de confidentialité peut être mise à jour à tout moment pour refléter l'évolution de nos pratiques ou des exigences légales. En cas de modification substantielle, les Utilisateurs en seront informés par email et/ou notification sur la Plateforme au moins 30 jours avant l'entrée en vigueur.
16. Contact
STELLARR STUDIO — Responsable de la protection des données
163 Rue du Canal, 27500 Pont-Audemer, France
Téléphone : +33 2 32 20 54 84
Email : contact@stellarrstudio.com