Politique de confidentialité

Dernière mise à jour :

STH respecte votre vie privée. Cette politique décrit les données que nous collectons, pourquoi nous les collectons, et les droits dont vous disposez en application du Règlement (UE) 2016/679 (RGPD).

Service en Alpha

STH est actuellement en Alpha publique. Le présent document peut être amené à évoluer rapidement à mesure que le service progresse. Toute modification substantielle sera notifiée aux utilisateurs.

1. Responsable du traitement

Le responsable du traitement des données est l'éditeur du site, dont les coordonnées figurent dans les mentions légales.

Pour toute question relative au traitement de vos données, vous pouvez écrire à privacy@skills-transfer.dev.

2. Principes

STH est conçu pour minimiser la collecte de données. Le CLI fonctionne entièrement en local : il n'envoie aucune donnée à nos serveurs. Seul le tableau de bord web (optionnel) traite des données identifiantes.

Nous ne stockons jamais le contenu de vos dépôts Git, vos skills, ni vos secrets (tokens, clés d'API). Ces éléments restent sur votre machine ou chez votre fournisseur Git (GitHub, GitLab, Azure DevOps, Bitbucket).

3. Données collectées

Lorsque vous utilisez le tableau de bord web, nous traitons les catégories suivantes :

CatégorieDonnéesSource
CompteAdresse e-mail, nom affiché, identifiant ClerkSaisie utilisateur / fournisseur SSO
OrganisationNom, identifiants des membres, rôlesSaisie utilisateur
PréférencesThème (clair/sombre/système), langueCookie / paramètres
Utilisation CLICompteurs anonymisés, version du CLI, dernière activitéTélémétrie opt-in du CLI
Facturation (Pro/Team — à venir)Adresse de facturation, derniers chiffres de la carteStripe (sous-traitant)
Logs techniquesAdresse IP, user-agent, horodatage des requêtesHébergeur

4. Finalités et bases légales

  • Fourniture du service(exécution du contrat, art. 6.1.b RGPD) : authentification, gestion d'organisation, affichage des licences et des statistiques d'usage CLI.
  • Facturation (exécution du contrat, art. 6.1.b RGPD) : émission et suivi des factures pour les plans payants.
  • Sécurité (intérêt légitime, art. 6.1.f RGPD) : détection des fraudes, prévention des abus, journalisation des connexions.
  • Amélioration produit (consentement, art. 6.1.a RGPD) : télémétrie CLI agrégée et anonymisée, désactivable à tout moment.
  • Communication produit(consentement, art. 6.1.a RGPD) : envoi d'e-mails relatifs aux versions, à la liste d'attente, ou à la sortie de bêta. Désinscription en un clic.

5. Durée de conservation

DonnéeDurée
Compte utilisateurPendant la durée d'activité du compte, puis 30 jours après suppression
Données d'organisationPendant la durée du contrat, puis 30 jours
Statistiques d'usage CLIGlissant 30 jours, puis suppression automatique
Factures10 ans (obligation comptable, article L.123-22 du Code de commerce)
Logs techniques12 mois maximum (LCEN article 6-II)

6. Sous-traitants & destinataires

Nous nous appuyons sur les sous-traitants suivants, tous engagés par contrat de sous-traitance conforme à l'article 28 du RGPD :

  • Clerk (Clerk Inc., États-Unis) — authentification. DPA Clerk.
  • Supabase (Supabase Inc., États-Unis ; infrastructures UE) — base de données et stockage. Politique Supabase.
  • Stripe (Stripe Payments Europe Ltd., Irlande) — paiements et facturation pour les plans payants. Politique Stripe.
  • Vercel (Vercel Inc., États-Unis) — hébergement du tableau de bord. Politique Vercel.

7. Transferts hors Union européenne

Certains sous-traitants sont établis aux États-Unis. Les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914/UE) et, le cas échéant, par l'adhésion au cadre EU-U.S. Data Privacy Framework. Vous pouvez obtenir une copie de ces garanties sur demande à privacy@skills-transfer.dev.

8. Sécurité

Mesures techniques et organisationnelles mises en œuvre :

  • Chiffrement TLS 1.3 sur toutes les communications.
  • Chiffrement au repos des données en base (Supabase, AES-256).
  • Politiques RLS (Row-Level Security) en base : un utilisateur ne peut accéder qu'à ses propres organisations.
  • Aucun secret stocké dans le CLI : les tokens proviennent de votre environnement.
  • Audit log des actions sensibles (suppression d'organisation, changement de rôle).
  • Sauvegardes quotidiennes des données utilisateur, conservées 30 jours sur des bucket chiffrés en région UE.

9. Vos droits

En application des articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

  • Droit d'accès — obtenir une copie des données vous concernant.
  • Droit de rectification — corriger une donnée inexacte ou incomplète.
  • Droit à l'effacement — demander la suppression de vos données (sous réserve des obligations légales de conservation).
  • Droit à la limitation du traitement.
  • Droit à la portabilité — récupérer vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d'oppositionau traitement basé sur l'intérêt légitime.
  • Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur ce dernier.
  • Droit de définir des directives post-mortem (article 85 de la loi Informatique et Libertés).

Vous pouvez exercer ces droits à tout moment depuis votre tableau de bord (onglet Paramètres) ou en écrivant à privacy@skills-transfer.dev. Une réponse vous sera adressée dans un délai d'un mois.

10. Cookies

Le site dépose uniquement des cookies strictement nécessaires à son fonctionnement, qui ne requièrent pas de consentement préalable au sens de la directive ePrivacy :

  • __session (Clerk) — authentification, durée 7 jours.
  • theme— préférence d'apparence (clair/sombre), durée 1 an.
  • sth-alpha-banner-dismissed(localStorage) — masquer la bannière d'information Alpha, persistant.

Aucun cookie publicitaire, de mesure d'audience tiers ou de profilage n'est déposé. Aucun pixel de tracking. Vous pouvez bloquer ou supprimer ces cookies depuis votre navigateur, au prix d'une dégradation de l'expérience.

11. Réclamation

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, cnil.fr.