Politique de confidentialité
Dernière mise à jour : 8 mai 2026 · LaQA
En bref : Nous collectons uniquement les données nécessaires au fonctionnement du service. Nous ne vendons jamais vos données. Vous pouvez demander leur suppression à tout moment.
1. Responsable du traitement
LaQA (ci-après « nous ») est responsable du traitement de vos données personnelles dans le cadre de l'utilisation de la plateforme accessible à l'adresse laqa.fr.
Contact : privacy@laqa.fr
2. Données collectées
2.1 Données de compte
- Nom et prénom
- Adresse email
- Mot de passe (stocké sous forme hachée bcrypt — jamais en clair)
- Date d'inscription et de dernière connexion
2.2 Données d'utilisation
- User Stories soumises pour génération de tests
- Cas de tests générés (historique)
- Fournisseurs IA sélectionnés et clés API configurées
- Statistiques d'usage (nombre de générations, dates)
2.3 Données de facturation
- Identifiant client Stripe (nous ne stockons aucune donnée de carte bancaire)
- Plan d'abonnement et statut
- Historique des transactions (via Stripe)
2.4 Données techniques
- Adresse IP (pour la sécurité et la limitation de débit)
- Cookies de session (JWT httpOnly)
- Logs de connexion
3. Finalités du traitement
Nous traitons vos données pour :
- Exécuter le service : authentification, génération de tests, historique
- Gérer votre abonnement : facturation, quotas, accès aux fonctionnalités
- Communication : emails transactionnels (bienvenue, alertes quota, réinitialisation mdp)
- Sécurité : détection de fraude, limitation d'abus
- Amélioration du service : statistiques d'usage agrégées et anonymisées
4. Base légale (RGPD)
- Exécution du contrat (Art. 6.1.b) : traitement nécessaire à la fourniture du service
- Intérêt légitime (Art. 6.1.f) : sécurité, prévention des abus, amélioration du produit
- Consentement (Art. 6.1.a) : emails marketing (si applicable)
5. Conservation des données
- Données de compte : conservées pendant la durée de votre abonnement + 3 ans
- Historique de génération : plan Free = 30 jours, Pro/Team = illimité jusqu'à suppression
- Tokens de réinitialisation : supprimés après utilisation ou expiration (1 heure)
- Logs serveur : 90 jours maximum
6. Sous-traitants et transferts
Nous faisons appel aux sous-traitants suivants :
- Stripe (paiements) — certifié PCI-DSS, serveurs UE disponibles
- Fournisseurs IA (OpenAI, Anthropic, etc.) — configurés par l'utilisateur, vos clés API vous appartiennent
- Hébergement — serveurs en Union Européenne
Aucune donnée n'est vendue ou partagée avec des tiers à des fins publicitaires.
7. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données
- Rectification : corriger des données inexactes
- Suppression : demander l'effacement de votre compte et de vos données
- Portabilité : recevoir vos données dans un format structuré (JSON/CSV)
- Opposition : vous opposer à certains traitements
- Limitation : demander la limitation du traitement
Pour exercer vos droits : privacy@laqa.fr. Nous répondons sous 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr).
8. Sécurité
- Chiffrement TLS en transit
- Mots de passe hachés avec bcrypt (coût 10)
- Authentification JWT avec expiration
- Rate limiting sur toutes les routes sensibles
- Clés API chiffrées en base de données
9. Cookies
Nous utilisons uniquement des cookies fonctionnels :
- refresh_token : cookie httpOnly pour le renouvellement de session (30 jours)
- laqa-ui : préférences d'interface (sidebar) — stockage local uniquement
Nous n'utilisons aucun cookie publicitaire ou de tracking tiers.
10. Modifications
Nous pouvons mettre à jour cette politique. En cas de changement substantiel, vous serez notifié par email avec un préavis de 30 jours.