MENTIA

Politique de confidentialité — MENTIA

Version 1.0 — En vigueur le 9 mai 2026 Dernière mise à jour : 9 mai 2026

Cette politique explique comment MENTIA collecte, utilise et protège vos données personnelles. Elle est rédigée pour être lisible. Si un point n'est pas clair, écrivez-nous à contact@getmentia.fr.

1. Qui est responsable de vos données ?

Le responsable du traitement (au sens du RGPD article 4(7)) est la société :

| Champ | Valeur | |---|---| | Dénomination sociale | WORKWAVE | | Forme juridique | SAS — Société par Actions Simplifiée | | Siège social | 3 rue des Rosiers, 86110 CRAON, France | | SIREN | 943 055 830 | | SIRET (siège social) | 943 055 830 00013 | | N° TVA intracommunautaire | FR27 943 055 830 | | Code NAF/APE | 58.29C (Édition de logiciels applicatifs) | | Service concerné | MENTIA — https://getmentia.fr | | Marque parente | WORKWAVE — https://workwave.fr | | Email de contact / DPO | contact@getmentia.fr | | Représentant légal | Willy Gauvrit, président |

MENTIA est une marque commerciale et un service édité par WORKWAVE SAS. Toute mention "MENTIA" dans la présente politique désigne le service exploité par WORKWAVE SAS au sens du RGPD.

WORKWAVE SAS n'a pas désigné de Délégué à la Protection des Données (DPO) externe — la fonction est assurée en interne par le président de la société. Pour toute demande RGPD, écrivez à contact@getmentia.fr avec l'objet "RGPD".

2. Quelles données collectons-nous ?

Nous collectons uniquement les données nécessaires au fonctionnement du service.

2.1 Données de compte (créées par vous à l'inscription)

  • Adresse email (obligatoire — sert d'identifiant)
  • Mot de passe (haché avec bcrypt, jamais stocké en clair)
  • Prénom et nom (optionnels)
  • Plan d'abonnement (Free / Starter / Pro / Agency)
  • Identifiant client Stripe stripe_customer_id (créé lors du premier paiement, à venir)

2.2 Données business (saisies par vous dans l'application)

  • Nom de votre marque ou entreprise
  • Domaine web
  • Secteur d'activité
  • Liste de prompts à tracker (questions que vous voulez surveiller dans les LLMs)
  • Score de visibilité IA et résultats de scans

2.3 Données techniques (générées automatiquement)

  • Logs d'authentification (IP, user-agent, horodatage des connexions)
  • Cache des réponses LLM (résultats des prompts soumis aux IA)
  • Historique des tracking_runs (résultats des scans)
  • Métriques de service (durée d'un run, coût en tokens)

2.4 Ce que nous ne collectons pas

  • Aucun cookie de tracking publicitaire
  • Aucun outil d'analytics tiers (pas de Google Analytics, pas de Plausible installé à ce jour)
  • Aucune donnée bancaire stockée chez nous (le paiement passe par Stripe)
  • Aucune donnée biométrique
  • Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions, religion, etc.)

3. À quoi servent vos données ? (Finalités)

| Finalité | Données utilisées | |---|---| | Vous donner accès au service (login, dashboard) | Email, mot de passe, plan | | Exécuter les scans de visibilité IA | Prompts, marque, domaine | | Vous facturer | Email, plan, identifiant Stripe | | Vous envoyer des emails de service (confirmation, alerte) | Email, prénom | | Améliorer le service (debug, monitoring) | Logs techniques anonymisés | | Répondre à vos demandes (support) | Email + contenu de votre message |

Nous n'utilisons jamais vos données pour :

  • Vendre à des tiers
  • Entraîner des modèles d'IA (les vôtres ou ceux de tiers)
  • Faire de la publicité ciblée

4. Sur quelle base légale ?

Nous traitons vos données sur la base de :

  • L'exécution du contrat de service (article 6.1.b RGPD) — nous avons besoin de vos données pour vous fournir le service que vous avez souscrit.
  • L'intérêt légitime (article 6.1.f) — pour la sécurité, la prévention de la fraude, et l'amélioration du service.
  • Le respect d'obligations légales (article 6.1.c) — pour la conservation des factures (10 ans, code de commerce).
  • Votre consentement (article 6.1.a) — uniquement si nous vous demandons explicitement (newsletter optionnelle, par exemple).

5. À qui transmettons-nous vos données ? (Sous-traitants)

MENTIA s'appuie sur des sous-traitants techniques. Chacun a signé un Data Processing Agreement (DPA) avec nous, ou opère sous Standard Contractual Clauses (SCC) pour les transferts hors UE.

5.1 Sous-traitants au sein de l'Union européenne

| Sous-traitant | Service rendu | Données traitées | Localisation | |---|---|---|---| | Vercel (USA, sous SCC) | Hébergement de l'application web et fonctions serverless | Toutes données utilisateur en transit | Régions EU (Frankfurt) — voir section 5.3 | | Supabase | Base de données Postgres + authentification + storage | Données de compte, données business, logs | EU (Frankfurt, AWS eu-central-1) | | Mistral AI | LLM français (génération de contenu, tracking IA) | Prompts, contenus | France (Paris) | | Hostinger | DNS du domaine getmentia.fr et email pro contact@getmentia.fr | Email de contact | EU (Lituanie) |

5.2 Sous-traitants hors Union européenne (transferts encadrés)

Pour les fonctionnalités de tracking IA, nous interrogeons plusieurs grands modèles de langage hébergés aux États-Unis. Ces transferts sont encadrés par des Standard Contractual Clauses (SCC) approuvées par la Commission européenne le 4 juin 2021. SCC = clauses contractuelles types qui obligent le destinataire à respecter un niveau de protection équivalent au RGPD.

| Sous-traitant | Service rendu | Données envoyées | Localisation | |---|---|---|---| | OpenAI (ChatGPT) | Tracking de visibilité dans ChatGPT | Prompts publics + nom de marque (pas de données utilisateur perso) | USA — SCC + opt-out training | | Anthropic (Claude) | Tracking de visibilité dans Claude | Prompts publics + nom de marque | USA — SCC + zero-retention API | | Google (Gemini) | Tracking de visibilité dans Gemini | Prompts publics + nom de marque | USA — SCC | | Perplexity | Tracking de visibilité dans Perplexity | Prompts publics + nom de marque | USA — SCC | | GitHub (Microsoft) | Hébergement du code source (pas de données utilisateur) | Aucune donnée utilisateur — uniquement notre code | USA — SCC + adéquation Microsoft EU Data Boundary |

Important : les prompts envoyés aux LLMs ne contiennent pas vos données personnelles (email, mot de passe, identité). Seul le nom de marque, le domaine et la question publique à tester sont transmis.

5.3 Section "À VÉRIFIER"

Vercel — région d'exécution : nous utilisons l'option regions: ['fra1'] (Frankfurt) dans vercel.json quand c'est techniquement possible. Certaines fonctions edge peuvent transiter mondialement. Nous documentons cette configuration dans mentia/vercel.json et publions un audit de localisation à chaque mise en production majeure.

6. Combien de temps gardons-nous vos données ?

| Type de donnée | Durée de conservation | |---|---| | Compte utilisateur actif | Toute la durée du contrat | | Compte utilisateur inactif (12 mois sans connexion) | Suppression automatique après préavis email à 11 mois | | Données business (marques, prompts, scans) | Toute la durée du contrat + 30 jours après résiliation pour réversibilité | | Logs d'authentification | 12 mois (sécurité) | | Cache LLM et tracking_runs | 90 jours glissants, puis purge automatique | | Factures et données comptables | 10 ans (obligation légale article L123-22 du Code de commerce) | | Emails de support | 3 ans à compter du dernier échange |

À la fin de chaque période, les données sont supprimées définitivement ou anonymisées (rendues non-identifiables).

7. Vos droits

Le RGPD vous donne plusieurs droits sur vos données. Vous pouvez les exercer à tout moment en écrivant à contact@getmentia.fr avec une copie de pièce d'identité (pour vérifier que c'est bien vous).

| Droit | Ce que ça veut dire concrètement | Comment l'exercer | |---|---|---| | Accès (art. 15) | Vous demandez ce qu'on a sur vous → vous recevez un export complet. | Self-service : /settings → "Exporter mes données" (immédiat). Ou écrivez à contact@getmentia.fr. | | Rectification (art. 16) | Vos infos sont fausses ? Vous les corrigez directement. | Self-service : /settings → modifier votre profil. Ou écrivez-nous. | | Suppression / "droit à l'oubli" (art. 17) | Vous demandez la suppression de votre compte → nous supprimons sous 30 jours, sauf obligations légales (factures TVA conservées 10 ans). | /settings → "Supprimer mon compte" → confirmation par email. | | Portabilité (art. 20) | Vous récupérez vos données dans un format structuré (JSON UTF-8) pour les emmener ailleurs. | Self-service immédiat : /api/user/export (téléchargement direct depuis /settings). | | Opposition (art. 21) | Vous vous opposez à un traitement basé sur l'intérêt légitime → on arrête, sauf raison impérieuse. | Écrivez à contact@getmentia.fr avec motif. | | Limitation (art. 18) | Vous demandez qu'on "gèle" vos données pendant qu'on traite votre demande. | Écrivez à contact@getmentia.fr. | | Réclamation CNIL (art. 77) | Si vous n'êtes pas satisfait de notre réponse, vous pouvez saisir la CNIL. | https://www.cnil.fr/plaintes |

Délai de réponse : 1 mois maximum pour les demandes nécessitant une intervention humaine, prolongeable de 2 mois pour les demandes complexes (vous serez prévenu). L'export Article 20 est en revanche instantané depuis votre compte.

8. Sécurité

Nous prenons soin de vos données avec :

  • Chiffrement HTTPS / TLS 1.3 sur toutes les communications
  • Mots de passe hachés avec bcrypt (jamais stockés en clair)
  • Row Level Security (RLS) sur Postgres : chaque client ne voit que ses données, isolation au niveau base de données
  • Authentification Supabase avec sessions JWT signées
  • Sauvegardes quotidiennes chiffrées de la base de données (rétention 7 jours)
  • Monitoring d'accès : tentatives de connexion suspectes alertées
  • Mises à jour de sécurité régulières des dépendances (Dependabot GitHub)
  • Pas de stockage de données bancaires chez nous (Stripe gère)

En cas de violation de données (data breach), nous notifierons la CNIL sous 72 heures et vous informerons directement si la violation présente un risque élevé pour vos droits (article 33-34 RGPD).

9. Cookies et traceurs

À ce jour, MENTIA n'utilise aucun cookie de tracking publicitaire ou analytique.

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookie de session (sb-* Supabase Auth) — vous garde connecté
  • Cookie CSRF — sécurité contre les attaques cross-site

Ces cookies sont exemptés du consentement (article 82 de la loi Informatique et Libertés / lignes directrices CNIL 2020).

Si nous installons un jour un outil d'analytics (Plausible, Vercel Analytics), nous mettrons à jour cette politique et afficherons un bandeau de consentement conforme.

10. Modifications de cette politique

Nous pouvons modifier cette politique pour refléter des évolutions du service ou de la réglementation. En cas de changement substantiel (nouveau sous-traitant, nouvelle finalité), nous vous préviendrons par email au moins 30 jours avant l'entrée en vigueur.

L'historique des versions est conservé publiquement dans notre dépôt de code (GitHub).

11. Contact

Pour toute question sur cette politique, exercer vos droits, ou signaler un problème :

  • Email : contact@getmentia.fr
  • Objet recommandé : "RGPD — [Votre demande]"
  • Délai de réponse : 30 jours maximum

Pour réclamation auprès de la CNIL :

  • En ligne : https://www.cnil.fr/plaintes
  • Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Document maintenu par Willy Gauvrit — Version 1.0 du 9 mai 2026.

Une question ?
Écris-nous à contact@getmentia.fr avec l'objet "RGPD" — réponse sous 72 h ouvrées.