Aller au contenu

Mentions légales

Politique de confidentialité

Version 1.0 · Dernière mise à jour : 21 maggio 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le service Neural Data Studio (le « Service ») est :

  • CodeLab s.r.l.s.
  • Siège social : Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia
  • N° TVA : IT17925991006
  • Demandes relatives à la confidentialité : support@neuraldatastudio.ai

CodeLab s.r.l.s. n'a pas désigné de Délégué à la Protection des Données (DPO) car il ne relève pas des cas de désignation obligatoire prévus à l'art. 37 du RGPD. Pour toute question concernant le traitement des données personnelles, vous pouvez toujours écrire à l'adresse e-mail indiquée ci-dessus.

2. Catégories de données traitées

2.1 Données d'inscription

Nom, adresse e-mail, mot de passe (stocké sous forme de hachage bcrypt), fournisseur OAuth optionnel (Google, Microsoft, GitHub, Apple).

2.2 Données de profil

Langue, fuseau horaire, rôle au sein du tenant, préférences d'interface.

2.3 Données d'utilisation du Service

Historique des requêtes, prompts envoyés au modèle IA, SQL généré, résultat d'exécution, horodatage, consommation de tokens, plan actif. Ces données sont indispensables pour fournir la fonctionnalité d'historique des requêtes, le quota mensuel et la limitation du débit.

2.4 Identifiants de connexion à vos bases de données

Les chaînes de connexion et identifiants des bases de données que vous connectez au Service sont chiffrés au repos avec un chiffrement de niveau entreprise, les clés étant gérées dans un coffre-fort de clés dédié. Ils ne sont jamais envoyés au modèle IA ni partagés avec des tiers.

2.5 Données de paiement

Les données de carte bancaire sont traitées exclusivement par Stripe (voir §6). Nous ne conservons que l'identifiant client Stripe, le plan souscrit et l'historique des factures.

2.6 Journaux techniques et de sécurité

Adresse IP, user-agent, horodatages des requêtes API, événements d'authentification, journal d'audit des opérations effectuées sur les données. Utilisés pour la sécurité, la détection des abus et l'analyse diagnostique.

3. Finalités du traitement et base juridique

Finalité Base juridique (RGPD)
Fourniture du Service, gestion du compte et de l'abonnement Art. 6.1.b – exécution d'un contrat
Obligations fiscales et légales (facturation, comptabilité) Art. 6.1.c – obligation légale
Sécurité, prévention de la fraude, journal d'audit Art. 6.1.f – intérêt légitime
Communications de service (e-mails transactionnels) Art. 6.1.b – exécution d'un contrat
Newsletter, documents marketing Art. 6.1.a – consentement (révocable)

4. Caractère obligatoire des données

La fourniture des données nécessaires à l'inscription et à l'exécution du contrat est obligatoire : sans ces données, le Service ne peut être fourni. La fourniture à des fins commerciales est facultative et révocable à tout moment.

5. Méthodes de traitement et sécurité

Le traitement s'effectue par des moyens électroniques pour le temps strictement nécessaire aux finalités décrites. Nous adoptons des mesures de sécurité techniques et organisationnelles adéquates, notamment :

  • chiffrement en transit sur l'ensemble du trafic applicatif ;
  • chiffrement au repos de la base de données de configuration et des identifiants utilisateurs ;
  • mots de passe stockés uniquement sous forme de hachages avec algorithmes résistants aux attaques par force brute ;
  • clés cryptographiques conservées dans un coffre-fort de clés dédié avec contrôles d'accès RBAC ;
  • tokens de session à durée limitée, tokens de rafraîchissement révocables et support MFA ;
  • journaux d'audit immuables pour toutes les opérations sensibles ;
  • sauvegardes automatiques et procédures de reprise après sinistre documentées ;
  • principe du moindre privilège pour le personnel autorisé.

6. Sous-traitants

Pour fournir le Service, nous faisons appel aux prestataires suivants, qui agissent en tant que sous-traitants au sens de l'art. 28 du RGPD :

Prestataire Finalité Localisation
Microsoft Ireland Operations Ltd. Hébergement de l'infrastructure applicative, base de données, coffre-fort de clés et inférence du modèle IA UE
Stripe Payments Europe, Ltd. Traitement des paiements, facturation, gestion des abonnements Irlande, avec transferts possibles vers Stripe Inc. (États-Unis) sous CCT
Resend, Inc. Acheminement des e-mails transactionnels (vérification de compte, reçus, alertes de quota) États-Unis, sous CCT et Data Privacy Framework
Cloudflare, Inc. DNS, protection contre les abus, gestion de zone Mondial, sous CCT et Data Privacy Framework
Aruba S.p.A. Comptes e-mail d'entreprise (support, commercial) Italie

Cette liste est à jour à la date de publication de la présente politique. Nous pouvons ajouter ou remplacer des sous-traitants en vous en informant par e-mail ou via la version mise à jour de cette page, avec un préavis d'au moins 30 jours pour permettre des objections motivées.

7. Transferts hors UE

Lorsqu'un sous-traitant traite des données en dehors de l'Espace économique européen, le transfert s'effectue exclusivement sur la base des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne et, le cas échéant, des certifications dans le cadre de l'EU-US Data Privacy Framework. CodeLab s.r.l.s. vérifie périodiquement l'adéquation de ces garanties.

8. Traitement des données de vos bases de données

Les bases de données que vous connectez au Service contiennent vos données (« Données Client »). CodeLab s.r.l.s. agit en tant que sous-traitant à l'égard de ces données : il les traite exclusivement pour exécuter les requêtes que vous initiez, retourner les résultats et générer les réponses de l'assistant IA.

  • Les identifiants de connexion sont chiffrés au repos et ne sont jamais envoyés au modèle IA.
  • Le schéma des bases de données (noms de tables, colonnes, types) est lu et envoyé au modèle IA pour générer du SQL cohérent avec votre structure.
  • Les lignes retournées par les requêtes restent dans votre navigateur et, si la conversation est sauvegardée, dans notre stockage ; elles ne sont jamais transmises au modèle IA, sauf si vous les incluez explicitement dans un prompt ultérieur.
  • Les requêtes approuvées par l'utilisateur sont exécutées sur les bases de données connectées : l'utilisateur est responsable de leurs effets.

9. Conservation et suppression

  • Compte actif: les données sont conservées pour la durée de la relation.
  • Suppression du compte: les données d'identification et les connexions utilisateur font l'objet d'une suppression logique pendant 30 jours (pour permettre la restauration ou l'export sur demande) puis sont définitivement supprimées des systèmes de production.
  • Journaux techniques et de sécurité agrégés: conservés jusqu'à 24 mois à des fins de sécurité, d'audit et de détection des abus.
  • Données fiscales et comptables: conservées 10 ans conformément à la législation italienne.
  • Sauvegardes: sauvegardes chiffrées avec un cycle de rotation maximum de 35 jours ; une fois le cycle expiré, les données supprimées disparaissent également des sauvegardes.

10. Vos droits

Vous pouvez à tout moment exercer les droits suivants, reconnus aux arts. 15 à 22 du RGPD :

  • accès à vos données personnelles (art. 15) ;
  • rectification des données inexactes (art. 16) ;
  • effacement (art. 17 – « droit à l'oubli ») ;
  • limitation du traitement (art. 18) ;
  • portabilité des données dans un format structuré (art. 20) ;
  • opposition au traitement fondé sur l'intérêt légitime (art. 21) ;
  • ne pas faire l'objet de décisions automatisées produisant des effets significatifs (art. 22) ;
  • retrait du consentement pour les traitements fondés sur le consentement, sans préjudice de la licéité des traitements antérieurs.

Pour exercer ces droits, écrivez à support@neuraldatastudio.ai depuis l'adresse e-mail associée au compte. Nous répondrons dans un délai de 30 jours, prolongeable de 60 jours supplémentaires pour les demandes complexes.

Vous avez également le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente dans votre pays de résidence. En Italie : Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Rome – www.garanteprivacy.it).

11. Cookies et technologies similaires

Le site web et l'application utilisent exclusivement des cookies techniques et de session strictement nécessaires au fonctionnement du Service (authentification, préférences de thème, session utilisateur). Nous n'utilisons pas de cookies de profilage ni de publicité tiers.

Lors du premier accès, nous affichons une bannière d'information permettant des choix de préférences granulaires (essentiels, toujours actifs, et analytique, optionnel). Actuellement aucun fournisseur analytique n'est actif ; la catégorie est configurée et, si elle est activée à l'avenir, ne fonctionnera qu'avec votre consentement explicite. Vous pouvez revoir vos préférences à tout moment via le lien « Préférences cookies » dans le pied de page du site.

Stripe peut déposer des cookies techniques lors du flux de paiement ; ces cookies sont limités au domaine de Stripe et régis par sa politique de confidentialité.

12. Traitement automatisé

Le Service utilise des modèles d'intelligence artificielle pour générer du SQL/MQL à partir de prompts en langage naturel. Ces modèles ne produisent pas de décisions ayant des effets juridiques ou significatifs similaires sur vous : vous conservez toujours le contrôle final, en approuvant manuellement chaque opération d'écriture ou DDL avant son exécution.

13. Mineurs

Le Service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas intentionnellement de données personnelles auprès de mineurs ; si nous apprenons qu'un compte a été créé par un mineur, nous procéderons à sa suppression immédiate.

14. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de confidentialité en cas de modifications du Service, de la législation applicable ou de la liste des sous-traitants. La date et le numéro de version en haut de page indiquent toujours la dernière révision. En cas de modifications substantielles, nous enverrons une notification à l'adresse e-mail associée au compte.

15. Contact

Pour toute question concernant le traitement de vos données personnelles, écrivez-nous à support@neuraldatastudio.ai ou à l'adresse postale CodeLab s.r.l.s., Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia.

Préférences cookies

Gérez les catégories de cookies que vous autorisez. Vos choix sont enregistrés sur votre appareil pour 12 mois.