Vie privée & RGPD
Politique de confidentialité
En vigueur au 11 mai 2026.
Bramy est conçu autour d'un principe simple : par défaut, vos dictées ne quittent pas votre Mac. La transcription, le post-traitement et le stockage de l'historique s'effectuent localement grâce à l'Apple Neural Engine. Certaines fonctionnalités optionnelles nécessitent un échange avec nos serveurs ; cette politique en détaille les modalités.
1. Responsable du traitement
Le responsable du traitement de vos données est :
- L'Atelier de Sam — Samuel Muselet
- 4 Allée du Nivernais, 86000 Poitiers, France
- Contact : privacy@atelier-sam.fr
Compte tenu de la taille de la structure, nous n'avons pas désigné de délégué à la protection des données (DPO). Toute demande relative à vos données peut être adressée à l'adresse e-mail ci-dessus.
2. Données collectées et finalités
2.1 Données traitées localement sur votre Mac
Les éléments suivants restent sur votre machine et ne nous sont jamais transmis :
- Enregistrements audio de vos dictées (supprimés en mémoire dès la fin de la transcription, jamais écrits sur disque).
- Texte transcrit et historique des dictées (stocké dans
~/Library/Application Support/Bramy/). - Statistiques d'usage (nombre de mots, vitesse, série quotidienne) dans
UserDefaults. - Dictionnaire personnalisé et préférences d'écriture.
2.2 Données traitées sur nos serveurs
Uniquement si vous activez la fonctionnalité concernée :
| Donnée | Finalité | Quand |
|---|---|---|
| Création de compte, magic link de connexion, restauration d'achat, communications de service | Inscription Bramy Pro / One-shot | |
| Données de paiement (carte ou SEPA) | Encaisser l'abonnement ou l'achat unique | À chaque transaction — traitées par Stripe, jamais stockées par nous |
| Pays / adresse de facturation | Application du taux de TVA correct (régime OSS EU), génération de la facture | À chaque achat |
| Texte de dictée (segments transitoires) | Post-traitement par notre IA cloud quand Pro Cloud est activé | À chaque dictée si l'option est ON — supprimé à la volée, jamais stocké côté serveur |
| Crash reports anonymisés | Diagnostic et correction de bugs | Uniquement après crash, via Sentry |
| Événements d'usage anonymisés | Mesure produit (combien d'utilisateurs activent une fonctionnalité) | Uniquement si vous avez opté in dans l'onboarding |
3. Bases légales
- Exécution du contrat (art. 6.1.b RGPD) pour la gestion du compte, des achats et de la licence.
- Obligation légale (art. 6.1.c RGPD) pour la conservation des factures (10 ans, art. L.123-22 du Code de commerce).
- Consentement (art. 6.1.a RGPD) pour la télémétrie produit, les crash reports détaillés et le traitement cloud des dictées. Révocable à tout moment dans les réglages de l'application.
- Intérêt légitime (art. 6.1.f RGPD) pour la sécurité du service (logs serveur agrégés, anti-fraude Stripe).
4. Sous-traitants et destinataires
Pour faire fonctionner Bramy, nous nous appuyons sur les sous-traitants suivants. Tous présentent des garanties contractuelles RGPD (clauses contractuelles types ou décision d'adéquation).
| Prestataire | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement du site bramy.atelier-sam.fr | États-Unis (clauses contractuelles types) |
| Cloudflare, Inc. | DNS, proxy de l'IA cloud (Worker) | États-Unis (clauses contractuelles types) |
| Stripe Payments Europe Ltd. | Traitement des paiements | Irlande (UE) |
| Supabase Inc. | Authentification (magic links), base de données utilisateurs | États-Unis — région Europe (Francfort) sélectionnée |
| Groq, Inc. | IA cloud (Whisper et LLM) pour Bramy Pro Cloud | États-Unis (clauses contractuelles types) |
| Sentry (Functional Software, Inc.) | Rapports de crash anonymisés | États-Unis (clauses contractuelles types) |
| PostHog Inc. | Analyse produit anonymisée, opt-in | Royaume-Uni (décision d'adéquation UE) |
5. Durées de conservation
- Données de compte (e-mail, identifiant Supabase) : tant que le compte est actif, puis 30 jours après suppression.
- Factures et données comptables : 10 ans (obligation légale).
- Crash reports : 90 jours, puis suppression automatique.
- Événements d'usage : 12 mois, puis agrégation et anonymisation irréversible.
- Texte transmis à l'IA cloud : pas de conservation côté serveur (traitement à la volée, pas de log de contenu).
- Logs serveur techniques : 30 jours pour la sécurité, puis suppression.
6. Transferts hors UE
Certains sous-traitants étant établis aux États-Unis, vos données peuvent y être transférées. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne ou par le Data Privacy Framework lorsque le prestataire y est inscrit. Aucune donnée n'est transférée vers un pays sans cadre juridique adéquat.
7. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données :
- Accès — obtenir une copie de vos données.
- Rectification — corriger une donnée inexacte.
- Effacement — supprimer votre compte et l'historique associé.
- Portabilité — recevoir vos données dans un format structuré.
- Opposition — refuser un traitement fondé sur l'intérêt légitime.
- Limitation — geler temporairement le traitement.
- Retrait du consentement — désactiver à tout moment la télémétrie ou le traitement cloud, dans les réglages de l'app.
Pour exercer ces droits, écrivez à privacy@atelier-sam.fr. Nous répondons sous 30 jours maximum (souvent beaucoup plus vite).
8. Cookies et traceurs
Le site bramy.atelier-sam.fr ne dépose aucun cookie de suivi ni traceur publicitaire. Seuls des cookies techniques strictement nécessaires (préférence de langue, jeton CSRF lors d'un achat) peuvent être déposés ; ils ne nécessitent pas de consentement (art. 82 loi Informatique et Libertés).
L'application Bramy n'utilise pas de cookies (logiciel natif, pas de navigateur embarqué).
9. Sécurité
- Communications chiffrées de bout en bout via TLS 1.3.
- Mots de passe non stockés (authentification par magic link uniquement).
- Données de paiement gérées exclusivement par Stripe — nous ne voyons jamais votre numéro de carte.
- Licences signées en Ed25519 ; impossible de forger ou de modifier une licence sans la clé privée.
- Mises à jour de l'application signées en Ed25519 (Sparkle) ; vérification automatique avant installation.
- Accès aux serveurs limité à l'éditeur, authentification à deux facteurs.
10. Contact & réclamations
Toute question, demande d'exercice de droit ou réclamation :
- E-mail : privacy@atelier-sam.fr
- Courrier : L'Atelier de Sam — Samuel Muselet, 4 Allée du Nivernais, 86000 Poitiers, France
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07).