Caralens
Legal

Politique de Confidentialité

Dernière mise à jour : 20 mai 2026

1. Responsable du traitement

Mouhamad Fadal Mbaye, micro-entrepreneur, 5 rue du 8 mai 1945, 93000 Bobigny, France — exploitant le service sous le nom commercial Caralens. Contact : contact@caralens.com.

2. Données collectées

  • Identification : email, prénom, nom.
  • Authentification : mot de passe haché (bcrypt), JWT, cookie de session.
  • Paiement : identifiant Stripe (stripe_customer_id). Les numéros de carte bancaire ne sont jamais stockés par Caralens.
  • Usage : photos uploadées, descriptions textuelles, formats sélectionnés, prompts générés par l'IA, photos générées, plan d'abonnement, crédits, historique de générations.
  • Logs techniques : adresse IP, user-agent, logs de connexion, identifiant JWT.
  • Support : contenu des emails échangés avec contact@caralens.com.

3. Finalités

  • Fournir le service de génération de photos produit par IA.
  • Authentification et sécurité des comptes.
  • Facturation et gestion des abonnements.
  • Support utilisateur.
  • Communication transactionnelle (emails de service).
  • Conformité légale et comptable.

4. Bases légales par traitement

  • Authentification, fourniture du service : exécution du contrat (RGPD art. 6.1.b).
  • Facturation et conservation des factures : obligation légale (art. L.123-22 du Code de commerce).
  • Sécurité et prévention de la fraude : intérêt légitime (RGPD art. 6.1.f).
  • Communications marketing (si activées un jour) : consentement (RGPD art. 6.1.a) — actuellement non utilisé.

5. Durées de conservation

  • Compte utilisateur : durée du compte + 30 jours après résiliation.
  • Photos uploadées : 30 jours (lifecycle Cloudflare R2).
  • Photos générées : 365 jours (lifecycle Cloudflare R2).
  • Factures et données comptables : 10 ans (art. L.123-22 du Code de commerce).
  • Logs de connexion : 12 mois maximum (recommandation CNIL).
  • Emails de support : 3 ans après le dernier échange.

6. Destinataires (sous-traitants)

Pour fournir le service, Caralens fait appel aux sous-traitants suivants :

  • Anthropic, PBC (États-Unis) — analyse vision et génération de prompts via API Claude. Politique no-training sur les inputs API. Clauses Contractuelles Types.
  • Google LLC (États-Unis) — génération d'images via API Gemini. Certifié EU-US Data Privacy Framework. No-training sur les inputs API.
  • OpenAI, LLC (États-Unis) — génération d'images via API GPT Image (provider primaire). No-training sur les inputs API. Clauses Contractuelles Types.
  • Stripe Payments Europe, Ltd (Irlande) et Stripe, Inc. (États-Unis) — traitement des paiements. Certifié EU-US DPF.
  • Brevo (Sendinblue SAS) (France) — envoi d'emails transactionnels. Hébergement UE.
  • Cloudflare, Inc. (États-Unis) — stockage des photos via Cloudflare R2 en juridiction Europe. Certifié EU-US DPF.
  • Vercel, Inc. (États-Unis) — hébergement de l'application. Certifié EU-US DPF.
  • Xano, Inc. (États-Unis) — backend et base de données utilisateur. Certifié GDPR. Clauses Contractuelles Types.

7. Transferts hors UE

Plusieurs sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types adoptées par la Commission Européenne (décision 2021/914) ;
  • le EU-US Data Privacy Framework pour les sous-traitants certifiés (Google, Stripe, Cloudflare, Vercel).

Une migration vers l'hébergement européen de Xano est planifiée pour la version 2 du service.

8. Droits des utilisateurs (RGPD)

  • Droit d'accès (art. 15) : consulter vos données depuis /account et /history. Export complet sur demande email.
  • Droit de rectification (art. 16) : modifier votre email et votre nom depuis /account.
  • Droit à l'effacement (art. 17) : supprimer votre compte depuis /account → « Zone de danger ». Suppression immédiate avec cascade sur tous les sous-traitants.
  • Droit à la limitation (art. 18) : demande par email à contact@caralens.com.
  • Droit à la portabilité (art. 20) : export de vos données sur demande email — format JSON.
  • Droit d'opposition (art. 21) : non applicable actuellement (aucun traitement marketing).
  • Droit de retirer son consentement (art. 7) : à tout moment, lorsqu'un traitement repose sur le consentement.

Pour exercer vos droits, envoyez un email à contact@caralens.com. Réponse sous 1 mois (prorogeable de 2 mois pour les demandes complexes, vous serez informé du délai).

Vous avez le droit d'introduire une réclamation auprès de la CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr.

9. Sécurité

  • Mots de passe hachés (bcrypt côté Xano).
  • Cookies HTTP-only, secure en production, SameSite=lax.
  • HTTPS partout.
  • JWT signés.
  • Isolation des données par utilisateur.
  • Accès limité aux administrateurs.

10. Cookies

Caralens utilise uniquement des cookies strictement nécessaires au fonctionnement du service (cookie auth_token httpOnly, durée 30 jours). Aucun cookie de tracking, analytics ou marketing. Aucun consentement requis (recommandation CNIL).

11. DPO et contact

Pas de DPO obligatoire pour Caralens (micro-entreprise, traitements de moins de 250 personnes). Contact pour toute question : contact@caralens.com.

12. Politique IA / no-training

Les photos et descriptions que vous fournissez à Caralens ne sont jamais utilisées pour entraîner des modèles d'intelligence artificielle. Nos sous-traitants IA (Anthropic, Google, OpenAI) confirment dans leurs politiques API officielles qu'ils n'utilisent pas les inputs des API payantes pour l'entraînement de leurs modèles.

13. Modifications

La présente politique peut être modifiée. La date de dernière mise à jour est affichée en haut de page. En cas de modification substantielle, vous serez notifié par email.