Politique de confidentialité

1. Introduction et responsable du traitement

La présente politique de confidentialité (« Politique ») décrit la manière dont Luneo Tech Sarl (« Luneo », « nous », « notre ») collecte, utilise, partage et protège les données à caractère personnel des utilisateurs de sa plateforme SaaS de personnalisation de produits (conception 2D/3D, essayage virtuel, génération par IA, intégrations e-commerce), en conformité avec la loi fédérale suisse sur la protection des données (nLPD/nDSG, en vigueur depuis septembre 2023), le Règlement général sur la protection des données de l'Union européenne (RGPD) et la directive ePrivacy relative aux cookies.

Responsable du traitement : Luneo Tech Sarl, Rue du Seyon 10, 2000 Neuchâtel, Neuchâtel, Suisse. Identification (IDE) : CHE-000.000.000. Pour toute question relative à la protection des données : privacy@luneo.app. Délégué à la protection des données (DPO) : dpo@luneo.app.

2. Définitions

Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (nom, email, adresse IP, identifiants de compte, etc.).
Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, conservation, modification, consultation, communication, effacement).
Sous-traitant : toute personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement (hébergeur, prestataire de paiement, etc.).
Personne concernée : la personne physique dont les données sont traitées (utilisateur de la plateforme, visiteur du site).
Consentement : manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte le traitement de ses données.
Finalité : objectif précis et légitime pour lequel les données sont collectées et traitées.

3. Données collectées

Nous collectons les catégories de données suivantes, dans la mesure nécessaire aux finalités décrites à la section 4.

3.1 Données d'inscription

Nom, prénom ou raison sociale, adresse e-mail, mot de passe (stocké de manière sécurisée par hachage), et éventuellement nom d'entreprise et numéro de téléphone lorsque vous créez un compte ou souscrivez à un abonnement.

3.2 Données de profil et préférences

Préférences de langue, paramètres d'affichage, préférences de notification, et toute information que vous choisissez d'ajouter à votre profil (photo, bio, etc.).

3.3 Données de paiement

Les paiements sont traités par Stripe. Nous ne stockons pas les numéros de carte bancaire ni les codes CVV. Nous pouvons conserver les identifiants de facturation (nom, adresse de facturation), l'historique des abonnements et des factures, ainsi que les identifiants Stripe (customer ID, subscription ID) pour la gestion des abonnements et du support.

3.4 Données d'utilisation

Logs d'accès et d'utilisation de la plateforme, pages visitées, actions réalisées (création de designs, export, intégrations), métriques d'analytics et Web Vitals (performance, erreurs) pour assurer le bon fonctionnement et améliorer le service.

3.5 Données de contenu

Designs, configurations de personnalisation, images et fichiers que vous uploadez (par exemple pour l'essayage virtuel ou la génération par IA), et tout contenu que vous créez ou stockez sur la plateforme. Ce contenu peut contenir des données personnelles si vous y intégrez des informations identifiantes.

3.6 Données techniques

Adresse IP, type de navigateur et version (user-agent), système d'exploitation, identifiants de session, cookies et technologies similaires (voir section 6), et données de localisation approximative déduites de l'IP si nécessaire pour la sécurité ou la conformité.

3.7 Données de communication

Échanges par e-mail ou via le support (tickets, demandes d'assistance), contenu des messages et pièces jointes, et historique des communications pour le suivi des demandes et l'amélioration du service.

4. Finalités du traitement et bases légales

Nous traitons vos données pour les finalités suivantes, sur les bases juridiques indiquées (nLPD/nDSG et RGPD).

Exécution du contrat : fourniture de la plateforme, gestion du compte, facturation, support technique, sauvegarde et restitution de vos designs et contenus.
Consentement : envoi de newsletters et communications marketing, dépôt de cookies non strictement nécessaires, et tout traitement pour lequel nous recueillons explicitement votre accord.
Intérêt légitime : amélioration des services, analytics agrégés, sécurité et prévention des abus, défense en justice, et optimisation technique (logs, Web Vitals).
Obligation légale : conservation de pièces comptables et fiscales, réponse aux demandes des autorités compétentes dans le cadre légal.

5. Traitement par intelligence artificielle

Certaines fonctionnalités de la plateforme (génération d'images, de textes ou de suggestions) s'appuient sur des services fournis par OpenAI. Les prompts et données que vous envoyez dans le cadre de ces fonctionnalités sont transmis à OpenAI pour la génération des réponses. Conformément à notre configuration et aux conditions d'OpenAI applicables aux entreprises, ces données ne sont pas utilisées par OpenAI pour l'entraînement de ses modèles. Le traitement reste sous notre maîtrise en tant que responsable du traitement ; OpenAI agit en tant que sous-traitant pour cette finalité.

6. Cookies et technologies similaires

Nous utilisons des cookies et technologies similaires (stockage local, pixels) pour le fonctionnement du site, la session utilisateur, l'analytics et, le cas échéant, le marketing. Une politique détaillée des cookies, incluant les types de cookies, leurs finalités et les modalités de gestion de votre consentement, est disponible sur notre page dédiée : Politique des cookies. Nous nous conformons à la directive ePrivacy et au consentement préalable lorsque requis.

7. Partage et transferts de données

7.1 Sous-traitants

Nous faisons appel à des sous-traitants qui traitent des données personnelles pour notre compte, dans le cadre de contrats encadrant la confidentialité et la sécurité. Principaux sous-traitants et finalités :

Stripe : traitement des paiements et abonnements ; aucune donnée de carte stockée par nous.
Cloudinary : hébergement et traitement des images et médias uploadés.
OpenAI : génération de contenu par IA (prompts/réponses) ; pas d'utilisation pour l'entraînement.
Vercel : hébergement de l'application frontend et exécution serverless.
AWS / Neon : hébergement des bases de données et des services backend.
SendGrid (ou équivalent) : envoi d'e-mails transactionnels et de notification.
Sentry : surveillance des erreurs et performance pour améliorer la stabilité du service.

7.2 Transferts internationaux

Vos données peuvent être traitées dans des pays situés en Suisse, dans l'Espace économique européen (EEE) ou en dehors (notamment aux États-Unis). La Suisse est reconnue par l'UE comme offrant un niveau de protection adéquat. Pour les transferts vers des pays tiers (ex. États-Unis), nous nous appuions sur les clauses contractuelles types de la Commission européenne (CCT) ou d'autres mécanismes reconnus (certifications, garanties appropriées) afin d'assurer un niveau de protection suffisant.

7.3 Pas de vente de données

Nous ne vendons pas vos données personnelles à des tiers. Toute communication à des tiers (hors sous-traitants et autorités en cas d'obligation légale) vous sera explicitement indiquée et, le cas échéant, soumise à votre consentement.

8. Durées de conservation

Nous conservons vos données uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, ou conformément aux obligations légales. À titre indicatif :

Type de données	Durée de conservation
Données de compte (inscription, profil)	Durée du compte + 3 ans après clôture (sauf obligation légale plus longue)
Données de paiement / facturation	10 ans à compter de la clôture de l'exercice (obligations comptables suisses)
Contenu (designs, images, configurations)	Durée du compte ; export possible avant suppression
Logs et données d'utilisation	12 à 24 mois selon finalité (sécurité, analytics)
Données de communication (support)	3 ans après clôture du ticket
Cookies (selon type)	Voir Politique des cookies

À l'issue de ces délais, les données sont supprimées ou anonymisées de manière irréversible, sauf conservation imposée par la loi.

9. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la perte, la destruction ou l'altération :

Chiffrement : données sensibles au repos avec chiffrement AES-256 lorsque pertinent ; communications via HTTPS/TLS.
Authentification : mots de passe stockés au moyen de fonctions de hachage adaptées (bcrypt, Argon2 ou équivalent), jamais en clair.
Accès restreint : accès aux données personnelles limité aux personnes habilitées et selon le besoin d'en connaître.
Surveillance des incidents, sauvegardes régulières et procédures de réponse en cas de violation, conformément à la section 13.

10. Droits des personnes concernées

Sous réserve des conditions prévues par le nLPD/nDSG et le RGPD, vous disposez des droits suivants. Pour les exercer, contactez-nous à privacy@luneo.app ou à notre DPO dpo@luneo.app. Nous répondrons dans le délai légal (généralement un mois, prolongeable si nécessaire).

Droit d'accès : obtenir la confirmation que vos données sont traitées et une copie de ces données.
Droit de rectification : faire corriger des données inexactes ou incomplètes.
Droit à l'effacement : demander la suppression de vos données dans les cas prévus par la loi (consentement retiré, données non nécessaires, opposition légitime, etc.).
Droit à la portabilité : recevoir les données que vous nous avez fournies dans un format structuré et couramment utilisé, lorsque le traitement est fondé sur le consentement ou l'exécution d'un contrat.
Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime (ex. prospection), sous réserve des exceptions légales.
Droit à la limitation du traitement : demander que le traitement soit limité (conservation sans utilisation active) dans les situations prévues par la loi.
Droit de retirer le consentement : à tout moment, pour les traitements fondés sur le consentement, sans affecter la licéité du traitement antérieur.
Droit de déposer une plainte : vous pouvez introduire une réclamation auprès d'une autorité de contrôle, notamment le Préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse (www.edoeb.admin.ch), ou, si vous résidez dans l'EEE, auprès de l'autorité compétente de votre pays (ex. CNIL en France).

11. Protection des données des mineurs

La plateforme Luneo n'est pas destinée aux personnes âgées de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 16 ans. Si vous constatez qu'un mineur nous a fourni des données personnelles, merci de nous en informer à privacy@luneo.app ; nous prendrons les mesures appropriées pour supprimer ces données.

12. Profilage et décisions automatisées

Nous n'utilisons pas vos données personnelles pour prendre des décisions produisant des effets juridiques vous concernant ou vous affectant de manière significative, uniquement sur la base d'un traitement automatisé (profilage à des fins de décision automatisée). Les outils d'analytics ou d'amélioration du service peuvent produire des traitements statistiques ou agrégés, mais ne sont pas utilisés pour ce type de décision individuelle. Si cette pratique venait à changer, nous vous en informerions et, le cas échéant, recueillerions votre consentement ou vous garantirions le droit d'obtenir une intervention humaine.

13. Notification de violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à notifier l'autorité de contrôle compétente (PFPDT pour la Suisse, autorité de l'EEE le cas échéant) dans les délais prévus par la loi (72 heures pour le RGPD lorsque applicable), et à vous informer sans délai injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour vous. Les procédures internes de gestion des incidents et de notification sont en place et régulièrement revues.

14. Modifications de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité pour refléter les évolutions de nos pratiques, de la réglementation ou du service. La version en vigueur est celle publiée sur cette page, avec indication de la date de dernière mise à jour (Février 2026). En cas de changement substantiel, nous vous en informerons par e-mail ou via un avis prominent sur la plateforme, et, lorsque la loi l'exige, nous recueillerons à nouveau votre consentement. Nous vous encourageons à consulter régulièrement cette page.

15. Contact – DPO et autorité de contrôle

Pour toute question relative à la protection de vos données, à l'exercice de vos droits ou à cette politique :

E-mail général : privacy@luneo.app
Délégué à la protection des données (DPO) : dpo@luneo.app
Adresse postale : Luneo Tech Sarl, Rue du Seyon 10, 2000 Neuchâtel, Neuchâtel, Suisse

Vous avez le droit de déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT), Monbijoustrasse 61, 3003 Berne, Suisse (www.edoeb.admin.ch). Si vous résidez dans l'EEE, vous pouvez également vous adresser à l'autorité de protection des données de votre pays (ex. CNIL pour la France).