Politique de Confidentialité

Dernière mise à jour : 13 février 2026

1. Informations sur l'entreprise

La présente politique de confidentialité est mise en œuvre par MEGAMOUNT, Entreprise unipersonnelle à responsabilité limitée (EURL) au capital de 1 000 €, immatriculée sous le numéro SIRET 944 778 984 00012, R.C.S 944 778 984 Paris, numéro de TVA intracommunautaire FR68944778984.

Siège social : 30 BOULEVARD DE SEBASTOPOL, 75004 PARIS, France
Gérant : Adam Fontaine
Contact : info@index10.com

2. Présentation du service

Index 10 est une plateforme de génération automatisée d'applications web, SaaS et sites internet utilisant l'intelligence artificielle. Notre service permet aux utilisateurs de créer, personnaliser et déployer des applications complètes à partir de descriptions textuelles.

Cette politique couvre les données liées à l'utilisation d'Index 10. Les données traitées par les applications créées par nos clients relèvent de la responsabilité de ces clients (responsables de traitement).

3. Données collectées

Nous collectons les données suivantes :

  • Données d'identification : Nom, prénom, email, mot de passe haché (hashé) et salé
  • Données d'utilisation : Pages visitées, fonctionnalités utilisées, temps de session
  • Données techniques : Adresse IP, type de navigateur, système d'exploitation
  • Données de création : Code généré, configurations d'applications, prompts
  • Données de facturation : Informations de paiement (traitées par Stripe)
  • Données de communication : Messages de support, retours utilisateurs

4. Finalités et bases légales

Vos données sont traitées pour les finalités suivantes :

  • Exécution du contrat : Fourniture du service, génération d'applications
  • Intérêt légitime : Amélioration du service, analyse d'usage, sécurité (sous réserve d'un test de mise en balance et limité au strict nécessaire)
  • Obligation légale : Facturation, conservation comptable, lutte anti-fraude
  • Consentement : Marketing (optionnel), cookies non essentiels

5. Destinataires des données

Vos données peuvent être partagées avec :

  • Prestataires techniques : Vercel (hébergement), Supabase (base de données, hébergement cloud managé Index10 Cloud), DigitalOcean (isolation previews)
  • Paiements : Stripe (traitement sécurisé des paiements)
  • IA : Anthropic (génération de code - conservation 30 jours pour sécurité et prévention des abus), OpenAI (génération d'images via DALL-E 3 et modèles IA complémentaires - conservation 30 jours pour prévention des abus)
  • Infrastructure : Cloudflare (CDN, protection DDoS, DNS), Upstash (cache), Resend (emails transactionnels)
  • Support : Outils de support client (données strictement nécessaires)

Pour plus de détails sur les sous-traitants, consultez notre Accord de Traitement des Données (DPA).

6. Transferts internationaux

Certains de nos prestataires sont situés hors de l'UE (États-Unis). Ces transferts sont encadrés par :

  • EU-US Data Privacy Framework (DPF) pour les prestataires certifiés aux États-Unis (le cas échéant)
  • Clauses contractuelles types (SCCs) de la Commission européenne (décision d'exécution 2021/914) et/ou accords de traitement des données (DPA) des prestataires
  • Addendum suisse adaptant les SCCs à la Loi fédérale sur la protection des données (nLPD), désignant le Préposé fédéral à la protection des données (PFPDT) comme autorité compétente, lorsque applicable
  • Mesures de sécurité renforcées (chiffrement, contrôles d'accès, pseudonymisation)
  • Engagement contractuel des sous-traitants au respect du RGPD (Art. 28 RGPD)
  • Évaluations d'impact des transferts (Transfer Impact Assessments) lorsque nécessaire

Les détails des transferts sont disponibles dans notre DPA.

7. Durées de conservation

  • Données de compte : Jusqu'à suppression du compte + 30 jours
  • Prompts et conversations : Conservés tant que le compte est actif, sauf demande de suppression
  • Données de facturation : 10 ans (obligation légale)
  • Logs techniques : 90 jours maximum (sécurité et observabilité)
  • Données marketing : 3 ans à compter du dernier contact actif, ou jusqu'à désabonnement (conformément à la délibération CNIL n°2016-264)
  • Données de support : 2 ans après résolution

8. Vos droits RGPD

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : Obtenir une copie de vos données
  • Droit de rectification : Corriger des données inexactes
  • Droit à l'effacement : Supprimer vos données
  • Droit à la limitation : Limiter le traitement
  • Droit à la portabilité : Récupérer vos données
  • Droit d'opposition : S'opposer au traitement
  • Droit de retrait du consentement : Retirer votre accord à tout moment, sans effet rétroactif
  • Droit de définir des directives post-mortem : Définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès (Art. 85 Loi Informatique et Libertés)

Modalités d'exercice : Envoyez votre demande à privacy@index10.com en précisant votre identité et le droit que vous souhaitez exercer. Nous pourrons vous demander une pièce d'identité pour vérifier votre identité. L'exercice de ces droits est gratuit.

Délai de réponse : Nous répondons dans un délai d'un (1) mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre élevé de demandes, auquel cas nous vous en informerons dans le mois initial.

Format de portabilité : Les données exportées vous seront fournies dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV).

9. Sécurité des données

Nous mettons en œuvre les mesures suivantes :

  • Chiffrement en transit (TLS) ; mesures techniques et organisationnelles destinées à protéger les données au repos selon les standards de l'industrie
  • Authentification sécurisée et contrôle d'accès basé sur les rôles pour les accès administratifs
  • Contrôles d'accès basés sur les rôles et principe du moindre privilège
  • Revues de sécurité et contrôles adaptés à la nature des Services
  • Plan de continuité et de récupération

10. Cookies

Sur la plateforme Index 10 : Nous utilisons des cookies essentiels (fonctionnement) et optionnels (analytics, marketing). Vous pouvez gérer vos préférences via notre politique de cookies.

Sur les applications déployées par nos utilisateurs : Le système d'analytics intégré aux projets publiés n'utilise aucun cookie, aucun localStorage, ni aucune technologie de stockage côté client. Voir la section 15 ci-dessous pour les détails.

11. Contact et réclamations

Responsable de traitement : MEGAMOUNT
Contact général : info@index10.com
Référent protection des données : privacy@index10.com
Adresse : 30 BOULEVARD DE SEBASTOPOL, 75004 PARIS

En cas de litige, vous pouvez saisir la CNIL : www.cnil.fr. Vous pouvez également vous adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT) si vous résidez en Suisse (www.edoeb.admin.ch), au Commissariat à la protection de la vie privée du Canada (CPVP) si vous résidez au Canada (www.priv.gc.ca), ou à toute autre autorité de contrôle compétente dans votre juridiction.

12. Modifications

Cette politique peut être modifiée pour refléter l'évolution de nos pratiques ou de la réglementation applicable. Les modifications non substantielles (corrections typographiques, clarifications) peuvent être apportées sans notification préalable. Les changements significatifs affectant vos droits ou le traitement de vos données vous seront notifiés par email et/ou par notification dans l'application au moins 30 jours avant leur entrée en vigueur. Lorsqu'un changement repose sur votre consentement, un nouveau consentement explicite vous sera demandé.

13. Stockage de l'adresse IP pour les consentements

Lorsque vous acceptez nos Conditions d'Utilisation et notre Politique de Confidentialité (lors de l'inscription), nous enregistrons votre adresse IP et votre user-agent.

Base légale : Obligation légale (RGPD Art. 6.1.c, combiné avec Art. 7.1 RGPD) — le responsable de traitement doit être en mesure de démontrer que la personne concernée a donné son consentement. Le stockage de ces éléments de preuve constitue une obligation imposée par le RGPD.

Finalité : Prouver que vous avez bien accepté les documents légaux à une date donnée, en cas de litige.

Durée de conservation : Durée de la relation contractuelle, puis 5 ans à compter de la fin du contrat (délai de prescription légale en France — art. 2224 du Code civil).

Vos droits : Vous pouvez demander l'accès à ces données en contactant privacy@index10.com.

14. Utilisation de l'IA

Nos services utilisent des modèles d'intelligence artificielle fournis par Anthropic (génération de code) et OpenAI (génération d'images via DALL-E 3 et modèles IA complémentaires). Les prompts et données que vous soumettez sont transmis aux API commerciales de ces fournisseurs, dont les conditions incluent des accords de traitement des données (Data Processing Addendum) incorporés par référence. Anthropic et OpenAI peuvent conserver ces données pendant 30 jours maximum à des fins de sécurité, de prévention des abus et de conformité, puis les suppriment. Conformément aux conditions commerciales d'Anthropic (Section B), Anthropic n'a pas le droit d'utiliser les données soumises via l'API (« Customer Content ») pour entraîner ses modèles d'IA. De même, conformément aux conditions d'OpenAI pour les utilisateurs professionnels, OpenAI n'utilise pas les données soumises via l'API pour entraîner ses modèles. Pour plus de détails, consultez les conditions commerciales d'Anthropic et les conditions professionnelles d'OpenAI.

MEGAMOUNT n'utilise AUCUNE donnée client pour entraîner ses propres modèles d'IA.

14bis. Accès aux conversations avec l'IA

Dans le cadre de la fourniture du service, MEGAMOUNT a techniquement accès aux prompts et aux conversations que vous échangez avec l'intelligence artificielle via la plateforme, ainsi qu'au code généré.

Finalités de cet accès :

  • Fourniture du service : Stockage et restitution de l'historique de vos conversations pour assurer la continuité de votre expérience
  • Support technique : Diagnostic et résolution de problèmes techniques signalés par l'utilisateur
  • Sécurité et prévention des abus : Détection d'utilisations contraires à nos conditions d'utilisation ou aux lois applicables

Bases légales : Exécution du contrat (RGPD Art. 6.1.b) et intérêt légitime (RGPD Art. 6.1.f — sécurité et prévention des abus).

Accès restreint : Seul le personnel autorisé de MEGAMOUNT, soumis à des obligations de confidentialité, peut accéder à ces données et uniquement lorsque cela est nécessaire aux finalités décrites ci-dessus. Nous ne lisons pas systématiquement vos conversations.

Vos droits : Vous pouvez demander la suppression de votre historique de conversations à tout moment en contactant privacy@index10.com ou en supprimant votre compte.

15. Analytics des projets déployés

Lorsque vous publiez une application via Index 10, un script d'analytics léger est automatiquement intégré pour vous fournir des statistiques de fréquentation (nombre de visiteurs, pages vues, taux de rebond, sources de trafic, appareils). Ce système est conçu pour être conforme au RGPD sans nécessiter de consentement des visiteurs de vos applications.

Comment ça fonctionne

  • Zéro stockage côté client : Aucun cookie, aucun localStorage, aucun identifiant persistant n'est déposé sur l'appareil du visiteur.
  • Hash serveur anonyme : Les visiteurs uniques sont identifiés via un hash SHA-256 calculé côté serveur à partir de l'adresse IP tronquée (dernier octet supprimé), du User-Agent et d'un sel cryptographique rotatif quotidien. Ce hash est irréversible.
  • Sessions calculées : Les sessions sont déterminées par des fenêtres de 30 minutes, calculées côté serveur. Aucune information de session n'est stockée sur l'appareil.
  • Rotation quotidienne du sel : Le sel cryptographique change toutes les 24h. Il est impossible de relier un visiteur d'un jour à l'autre.
  • Adresses IP jamais stockées : L'IP est tronquée puis hashée. L'IP brute n'est jamais stockée en base de données ni dans les logs.
  • Respect des signaux navigateur : Le script respecte Do Not Track (DNT) et Global Privacy Control (GPC). Les visiteurs peuvent aussi être exclus via un opt-out programmatique.

Base légale

Ce traitement repose sur l'intérêt légitime (RGPD Art. 6(1)(f)) pour la mesure d'audience. Aucun consentement ePrivacy (Art. 5(3) de la Directive ePrivacy) n'est requis car rien n'est stocké sur l'appareil du visiteur.

Références

Données collectées

  • URL de la page visitée
  • Titre de la page
  • Référent HTTP (d'où vient le visiteur)
  • Type d'appareil (mobile/desktop/tablette), navigateur
  • Résolution d'écran (largeur × hauteur)
  • Langue du navigateur
  • Pays (dérivé de l'IP, sans stockage de l'IP)
  • Horodatage et durée de la visite
  • Événements personnalisés et conversions (si configurés par le propriétaire de l'application)

Durée de conservation : Les données agrégées sont conservées tant que le projet est actif. Les données brutes d'événements sont conservées 90 jours maximum.

Désactivation

Vous pouvez désactiver la collecte d'analytics pour un projet à tout moment depuis les paramètres du projet (Paramètres > Analytics). La désactivation entraîne un redéploiement automatique de votre application sans le script d'analytics. Aucune donnée de visiteur ne sera plus collectée après désactivation.

Responsabilité : Les utilisateurs d'Index 10 qui publient des applications sont responsables de traitement pour les données de leurs propres visiteurs. Index 10 agit en tant que sous-traitant (processeur de données) pour ce traitement.

16. Protection des mineurs

Index 10 est un service professionnel de génération d'applications web destiné à un public adulte. Le service n'est pas destiné aux personnes de moins de 16 ans (âge fixé par l'article 45 de la Loi Informatique et Libertés, conformément à l'article 8 du RGPD).

Nous ne collectons pas sciemment de données personnelles auprès de mineurs de moins de 16 ans. Si nous découvrons qu'un mineur de moins de 16 ans nous a fourni des données personnelles sans le consentement parental requis, nous prendrons les mesures nécessaires pour supprimer ces données dans les meilleurs délais.

Si vous êtes parent ou tuteur et que vous pensez que votre enfant mineur nous a communiqué des données personnelles, contactez-nous à privacy@index10.com afin que nous puissions procéder à leur suppression.

17. Décision automatisée et profilage

Conformément à l'article 22 du RGPD, nous vous informons que :

  • Génération de code par IA : L'utilisation de modèles d'intelligence artificielle pour générer du code constitue un traitement automatisé. Toutefois, ce traitement ne produit pas de décision ayant des effets juridiques ou significatifs sur vous. Le code généré est un outil mis à votre disposition que vous restez libre de modifier, accepter ou rejeter.
  • Détection de fraude et abus : Nous pouvons utiliser des systèmes automatisés pour détecter les comportements abusifs ou frauduleux (utilisation anormale des crédits, tentatives d'accès non autorisé). Ces systèmes peuvent entraîner la suspension temporaire de votre compte, auquel cas vous serez informé et pourrez contester la décision auprès de privacy@index10.com.
  • Absence de profilage à finalité publicitaire : Nous n'effectuons aucun profilage de nos utilisateurs à des fins publicitaires ou de ciblage commercial.

Vous disposez du droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative.

18. Notification de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles :

  • Notification à la CNIL : Nous notifierons l'autorité de contrôle (CNIL) dans un délai de 72 heures après en avoir pris connaissance, dès lors que la violation est susceptible d'engendrer un risque pour vos droits et libertés.
  • Information des personnes : Lorsque la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais par email et/ou notification dans l'application, en décrivant la nature de la violation, ses conséquences probables et les mesures prises pour y remédier.
  • Registre des violations : Nous nous engageons à tenir un registre interne de toutes les violations de données, conformément à l'article 33(5) du RGPD.

19. Demandes des autorités et réquisitions judiciaires

MEGAMOUNT peut être amené à divulguer des données personnelles lorsque la loi l'exige, notamment en réponse à :

  • Une réquisition judiciaire, une ordonnance de tribunal ou une demande d'une autorité administrative compétente
  • Une demande d'une autorité de contrôle (CNIL) dans le cadre de ses pouvoirs d'enquête
  • Une obligation légale de signalement (lutte contre le blanchiment, le terrorisme ou la criminalité)

Sauf interdiction légale, nous nous efforcerons de vous informer préalablement de toute demande concernant vos données. Toute divulgation sera restreinte au minimum requis et effectuée dans le respect du droit en vigueur.

20. Liens vers des services tiers

Index 10 peut s'intégrer à des services externes ou y donner accès (plateformes de contrôle de version, fournisseurs d'infrastructure cloud, processeurs de paiement, entre autres). Ces services tiers disposent de leurs propres politiques de confidentialité et conditions, sur lesquelles MEGAMOUNT n'exerce aucun contrôle. Nous vous recommandons de prendre connaissance de la documentation de confidentialité applicable avant de transmettre des données personnelles à un service externe. MEGAMOUNT ne saurait être tenue responsable des pratiques de protection des données de ces tiers, que nous vous encourageons à vérifier avant toute utilisation.

21. Non-discrimination

L'exercice de vos droits en matière de protection des données (accès, rectification, effacement, opposition, etc.) ne donnera lieu à aucun traitement défavorable de votre part. Vous ne serez pas pénalisé, discriminé ou soumis à des conditions de service différentes pour avoir exercé ces droits.

22. Divisibilité

Si une juridiction ou une autorité compétente déclare l'une des dispositions de la présente politique invalide ou inapplicable, les autres dispositions continueront de s'appliquer pleinement. La disposition concernée sera remplacée par une disposition valide reflétant au mieux l'objectif juridique et économique initialement poursuivi.

23. Survie

Les dispositions de la présente politique qui, par leur nature, doivent survivre à la fin de la relation contractuelle continueront de s'appliquer après la résiliation ou l'expiration de votre compte. Cela inclut notamment les obligations relatives à la conservation des données (§7, §13), aux droits des personnes concernées (§8), à la notification de violations (§18), ainsi qu'aux preuves de consentement.

Mentions légalesConfidentialitéConditions d'utilisationDPA (RGPD)CookiesUtilisation responsableSécuritéSignaler un abus

© 2025-2026 MEGAMOUNT. Tous droits réservés.