La vie privée ne doit pas être une réflexion d'après-coup
La plupart des applis de productivité collectent vos données d'abord et pensent à la vie privée ensuite. Nous avons construit Vyneron à l'envers : les contrôles de confidentialité font partie de l'architecture, pas d'une case cochée avant le lancement.
Voici exactement ce que nous faisons de vos données, comment vous les contrôlez, et ce qui se passe quand vous voulez partir.
Export complet des données
Au titre du RGPD (article 20) et de la KVKK (article 11), vous avez le droit de recevoir toutes vos données personnelles dans un format portable.
Dans Vyneron, allez dans Réglages → Compte et exportez vos données. Le point d'accès GET /api/users/me/export renvoie tout — votre profil, vos tâches, vos notes, vos routines, votre historique de chat et vos réglages — dans un seul fichier JSON. Pas de ticket au support, pas de délai d'attente, pas de « nous reviendrons vers vous sous 30 jours ».
Ce point d'accès est limité à 3 requêtes par heure pour éviter les abus, mais sans aucune restriction sur la fréquence d'export dans le temps.
Suppression de compte
Quand vous supprimez votre compte :
- Votre compte entre dans une période de grâce de 15 jours (suppression douce) — vous pouvez le récupérer si vous changez d'avis.
- Après 15 jours, toutes vos données sont supprimées définitivement.
- Les demandes de suppression des membres d'équipe sont transmises au propriétaire de l'espace de travail pour validation.
- Les propriétaires d'espace de travail peuvent supprimer immédiatement.
Pas de schéma manipulateur, pas de boucle « vous êtes vraiment sûr ? ». Réglages → Compte → Supprimer.
Vos données d'IA restent les vôtres
C'est là que Vyneron diffère foncièrement de la plupart des applis par IA.
Avec le BYOK (apportez votre propre clé)
Quand vous reliez votre propre clé API (Google Gemini, OpenAI, Groq ou Anthropic Claude), vos messages vont directement de Vyneron à votre fournisseur. Nous ne voyons, ne stockons et ne traitons jamais le contenu de la conversation IA. Le flux de données est :
Vous → Vyneron (routage seulement) → votre fournisseur d'IA
Vyneron agit comme un routeur : il envoie votre message à votre fournisseur et renvoie la réponse. Le traitement réel de l'IA se fait sur l'infrastructure de votre fournisseur, selon ses conditions.
Avec l'IA du système
Quand vous utilisez l'IA intégrée de Vyneron (pendant l'essai gratuit ou sur un plan payant), vos messages passent par notre chaîne de fournisseurs gérée. Les messages de chat sont gardés dans votre compte pour l'historique de conversation, et vous pouvez les supprimer à tout moment.
Clés API chiffrées
Si vous utilisez le BYOK, votre clé API est chiffrée avant même de toucher notre base de données :
- Chiffrement : Fernet (AES-128) avec des clés dérivées par PBKDF2.
- Au repos : seule la version chiffrée est stockée — le texte en clair ne touche jamais la base.
- En mémoire : déchiffrée seulement pendant un appel d'IA actif, puis jetée.
- Dans l'interface : seuls les 4 premiers et 4 derniers caractères sont montrés (par exemple
AIza...8xQ2). - Dans les journaux : jamais écrite — ni dans les journaux d'application, ni dans les rapports d'erreur.
- Contrôle d'accès : seuls les propriétaires et admins de l'espace de travail peuvent voir ou changer la clé.
En-têtes de sécurité
Chaque requête vers Vyneron est servie avec un jeu complet d'en-têtes de sécurité :
| En-tête | Ce qu'il fait | |---|---| | Content-Security-Policy | Bloque l'exécution de scripts non autorisés | | Strict-Transport-Security | Force le HTTPS avec un cache de 2 ans + preload | | X-Frame-Options : DENY | Empêche le clickjacking en bloquant l'intégration en iframe | | X-Content-Type-Options | Empêche les navigateurs de deviner le type des réponses | | Referrer-Policy | Limite les infos d'URL partagées avec d'autres sites | | Permissions-Policy | Bloque l'accès à la caméra, au micro et à la géolocalisation |
Ce ne sont pas des extras optionnels : ils sont imposés sur chaque réponse, depuis vyneron.com comme depuis app.vyneron.com.
Limitation de débit
Tous les points d'accès sensibles sont limités en débit pour prévenir les attaques par force brute :
| Action | Limite | |---|---| | Tentatives de connexion | 5 par minute | | Inscription | 5 par minute | | Messages de chat IA | 10 par minute | | Export des données | 3 par heure | | Rafraîchissement de jeton | 10 par minute |
Si vous atteignez une limite, vous recevez une réponse 429 Too Many Requests claire — pas un échec silencieux.
Ce que nous ne faisons pas
- Aucun pixel de suivi dans les e-mails ou l'appli (Vercel Analytics est seulement sur la page d'accueil, anonymisé).
- Aucune vente de données à des tiers, jamais.
- Aucun entraînement d'IA sur vos données — vos tâches, notes et conversations sont à vous.
- Aucune rétention cachée — quand vous supprimez quelque chose, c'est supprimé.
- Aucun cookie obligatoire au-delà d'un seul cookie de préférence de langue (
vyneron_locale).
Conformité KVKK (Turquie)
Vyneron est conforme à la KVKK turque (Kişisel Verilerin Korunması Kanunu), qui reflète le RGPD sur la plupart des points :
- Consentement explicite : le traitement des données requiert un consentement explicite.
- Portabilité des données : export complet via l'API.
- Droit à l'effacement : suppression de compte avec période de grâce.
- Sécurité des données : chiffrement AES-128, limitation de débit, en-têtes de sécurité.
- Responsable du traitement : clairement identifié dans la politique de confidentialité.
Ouvert par conception
Nous ne vous demandons pas de nous croire les yeux fermés. Voici ce que vous pouvez vérifier vous-même :
- Export des données : lancez-le maintenant et voyez exactement ce que nous stockons.
- En-têtes de sécurité : ouvrez les outils de développement de votre navigateur sur
app.vyneron.comet regardez les en-têtes de réponse. - Flux de données BYOK : reliez votre propre clé API et regardez le tableau de bord d'usage de votre fournisseur — vous verrez les appels arriver directement du serveur de Vyneron, avec votre clé.
- Politique de confidentialité : disponible sur vyneron.com/legal/privacy-policy en 6 langues.
L'essentiel
Vos données sont à vous. Vous pouvez les exporter, les supprimer, ou apporter votre propre clé d'IA pour que nous ne voyions jamais vos conversations. Ce n'est pas une promesse marketing : c'est la façon dont le système est construit.