Politique de confidentialité

À la création d'un compte, nous enregistrons votre adresse e-mail, votre nom et les identifiants utilisés pour vous connecter. Si vous souscrivez à un abonnement payant, un dossier de facturation est tenu par notre prestataire de paiement — MARIA ne voit jamais votre numéro de carte.

À l'intérieur de l'atelier, nous conservons les éléments de marque que vous téléchargez ou générez : chartes éditoriales, échantillons de voix, références visuelles, briefs et chaque contenu produit avec MARIA.

Nous collectons des statistiques d'usage légères — pages visitées, fonctionnalités utilisées, événements d'erreur — pour comprendre comment le produit fonctionne. Ces statistiques sont agrégées et ne contiennent pas le contenu de vos générations.

Vos données alimentent le service. Nous les utilisons pour vous authentifier, afficher votre atelier, générer le contenu demandé et vous envoyer les notifications transactionnelles (reçus de facturation, alertes de sécurité, avis d'expiration).

Nous affinons le modèle sur la voix de votre marque strictement à l'intérieur du périmètre de votre propre atelier. Le profil de voix construit pour vous n'est jamais réutilisé pour un autre client.

Nous utilisons des statistiques agrégées pour améliorer le produit. Nous n'utilisons pas le contenu de vos briefs ou générations pour entraîner un modèle externe ou partagé.

Chaque atelier est isolé logiquement. Les données de marque, profils de voix, références téléchargées et historique de générations appartiennent à un atelier et ne sont visibles depuis aucun autre.

Nous ne vendons, syndiquons ni partageons les données d'un atelier entre clients, en aucune circonstance. La voix de marque que nous apprenons pour vous reste exclusive à votre compte tant que l'atelier existe.

Nous nous appuyons sur un petit nombre de sous-traitants de confiance pour faire tourner le service : Stripe pour la facturation, Anthropic et OpenAI pour l'inférence des modèles, Amazon Web Services pour le stockage et le calcul, Plausible pour des statistiques respectueuses de la vie privée.

Chaque sous-traitant est lié par un accord de traitement des données et ne manipule que ce qui est nécessaire à sa fonction.

Nous ne vendons pas de données personnelles à des annonceurs ou à des courtiers en données. Nous ne communiquerons des données à une autorité publique que sur réquisition légale valide, et vous en serez informé lorsque la loi le permet.

Les données actives d'un atelier sont conservées tant que votre compte est ouvert. Vous pouvez exporter ou supprimer chaque élément à tout moment depuis les réglages de l'atelier.

À la suppression d'un compte, nous conservons les données pendant 90 jours pour permettre de revenir sur une action effectuée par erreur. Passé ce délai, les données de production sont supprimées définitivement.

Les sauvegardes chiffrées suivent un cycle glissant de 12 mois. Dans les douze mois qui suivent la suppression d'un compte, toute trace de l'atelier disparaît des supports de sauvegarde.

En vertu du RGPD, vous disposez du droit d'accéder à vos données, de les rectifier, de les effacer, de les porter vers un autre service, d'en restreindre le traitement et de vous opposer à un traitement fondé sur l'intérêt légitime.

Pour exercer l'un de ces droits, écrivez à privacy@maria.ai depuis l'adresse associée à votre compte. Nous répondons dans les trente jours et ne facturons aucun frais pour une demande raisonnable.

Vous pouvez également déposer une plainte auprès de votre autorité locale de protection des données — pour les résidents de l'UE, il s'agit de votre autorité nationale.

Votre atelier est hébergé au sein de l'Union européenne. L'exploitation et le stockage quotidiens restent à l'intérieur de l'UE.

Certains sous-traitants — notamment les fournisseurs d'inférence — exploitent des infrastructures situées hors de l'UE. Ces transferts sont alors encadrés par les Clauses Contractuelles Types de la Commission européenne et des garanties équivalentes.

Les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256). L'accès aux systèmes de production est restreint à une petite équipe d'astreinte et protégé par une authentification multi-facteurs matérielle.

Nous préparons une attestation SOC 2 Type II et appliquons les pratiques qu'elle exige : privilèges minimaux, journalisation, revues d'accès périodiques et tests d'intrusion trimestriels.

Si nous découvrons une violation de données à caractère personnel, nous informons les clients concernés et l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance.