Politique de confidentialité

Dernière mise à jour : 3 juin 2026

1. Responsable de traitement

Le responsable du traitement des données collectées via le service Lou est :

  • Lou, SASU au capital de 1 000 €
  • SIRET : 921 125 191 00012
  • Siège social : 12 rue de la Part-Dieu, 69003 Lyon, France
  • Contact délégué à la protection des données (DPO) : dpo@lou.care

2. Données collectées

Le service Lou collecte les données suivantes :

  • Données de conversation : contenu des messages échangés avec Lou (questions de l'utilisateur, réponses générées par le modèle), identifiants techniques de la conversation et du message.
  • Données de session : identifiant technique de session (lou_session_id, UUID stocké dans un cookie HttpOnly Secure SameSite=Lax pendant 14 jours), point de vente de scan, marque ou produit identifié par le QR code.
  • Données techniques : adresse IP hachée de manière irréversible avec un sel secret (HMAC-SHA256) à des fins de sécurité (anti-abus, limitation de débit) — aucune adresse IP brute n'est conservée. Agent utilisateur, paramètres UTM de campagne, horodatages.
  • Données de contexte de visite : à des fins de statistiques d'usage anonymes et de support technique, Lou conserve sur chaque conversation : (i) une localisation approximative au niveau du pays, de la région et de la ville dérivée de l'adresse IP par notre hébergeur (la résolution se fait côté CDN — Lou ne reçoit jamais l'adresse IP brute) ; (ii) le type d'appareil (mobile, tablette, ordinateur), le système d'exploitation et le navigateur déduits de l'agent utilisateur transmis automatiquement par votre navigateur. La précision de la géolocalisation IP est limitée et indicative — elle ne permet pas d'identifier votre adresse physique.
  • Données de contact (facultatives) : adresse e-mail si l'utilisateur choisit explicitement de recevoir une information commerciale ou exerce un droit RGPD.

Lou ne collecte volontairement aucune donnée de santé identifiante. Si l'utilisateur partage librement de telles informations dans la conversation, elles sont conservées dans les conditions décrites au §4 et peuvent être supprimées sur demande (cf §6).

3. Finalités & base légale

FinalitéBase légale
Fourniture du service conversationnel Lou (orientation produit, restitution INCI, suggestions de campagnes partenaires)Exécution du contrat de service (art. 6.1.b RGPD)
Sécurité, prévention de la fraude, limitation de débitIntérêt légitime (art. 6.1.f RGPD)
Amélioration qualitative du service (analyse agrégée des conversations, anonymisée)Intérêt légitime (art. 6.1.f RGPD)
Capture d'e-mail commercial sur demande explicite de l'utilisateurConsentement (art. 6.1.a RGPD)
Réponse aux demandes d'exercice de droits RGPDObligation légale (art. 6.1.c RGPD)

4. Durée de conservation

  • Conversations & messages : 13 mois à compter de leur création, puis suppression automatique. Cette durée permet l'analyse qualitative saisonnière du service tout en restant proportionnée (recommandation CNIL).
  • Cookie de session : lou_session_id — 14 jours glissants, cookie strict-nécessaire (CNIL).
  • Adresse IP hachée : 30 jours pour les besoins de sécurité (anti-abus, limitation de débit).
  • Demandes RGPD : 3 ans après clôture, à titre de preuve du respect de nos obligations (art. 30 RGPD).
  • Données techniques agrégées (statistiques anonymisées) : sans limite, car non-identifiantes.

5. Destinataires & sous-traitants

Les données sont accessibles aux seules personnes habilitées chez l'éditeur et aux sous-traitants techniques suivants, tous établis ou opérés en Union européenne :

  • Vercel Inc. — hébergement frontend & fonctions serverless, région cdg1 (Paris). Données traitées dans l'UE, transfert hors UE encadré par les clauses contractuelles types (CCT) de la Commission européenne.
  • Supabase Inc. — base de données PostgreSQL, région eu-west-3 (Paris). Données stockées exclusivement en UE.
  • Google Cloud (Vertex AI) — modèle de langage gemini-2.5-flash et modèle d'embeddings text-embedding-004, région europe-west9 (Paris). Données traitées dans l'UE, opt-out de la réutilisation à des fins d'entraînement activé.
  • Amazon Web Services (Bedrock) — modèle de repli Claude Haiku 4.5, région eu-central-1 (Francfort). Utilisé uniquement en mode dégradé lorsque Vertex AI Paris est indisponible. Opt-out de la réutilisation à des fins d'entraînement activé.
  • Sentry — collecte d'erreurs applicatives (région UE). Aucune donnée de conversation n'est transmise, uniquement les traces techniques nécessaires au diagnostic.

Aucune donnée n'est cédée, louée ou vendue à des tiers à des fins commerciales.

6. Droits des personnes

Conformément au RGPD et à la loi « Informatique et Libertés », l'utilisateur dispose des droits suivants sur ses données personnelles :

  • Droit d'accès — obtenir confirmation que des données vous concernant sont traitées et en recevoir une copie ;
  • Droit de rectification — faire corriger des données inexactes ou incomplètes ;
  • Droit à l'effacement (« droit à l'oubli ») — obtenir l'effacement de vos données dans les cas prévus à l'art. 17 RGPD ;
  • Droit à la portabilité — recevoir les données que vous avez fournies dans un format structuré et couramment utilisé ;
  • Droit d'opposition — vous opposer, pour des motifs tenant à votre situation particulière, à un traitement fondé sur l'intérêt légitime de l'éditeur ;
  • Droit à la limitation du traitement et droit de retirer votre consentement à tout moment lorsque la base légale est le consentement.

Ces droits s'exercent gratuitement via notre formulaire RGPD dédié ou par e-mail à dpo@lou.care. Nous répondons dans un délai maximum de 30 jours à compter de la réception de la demande (art. 12.3 RGPD).

En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), www.cnil.fr.

7. Cookies

Lou utilise un unique cookie strict-nécessaire (lou_session_id) pour assurer la continuité de la conversation. Conformément aux recommandations CNIL, ce cookie n'est pas soumis à consentement préalable.

Aucun cookie publicitaire ni cookie de mesure d'audience tiers n'est déposé. Les statistiques techniques agrégées sont collectées via les outils internes de la plateforme d'hébergement, sans traceurs côté navigateur.

8. Sécurité

Lou met en œuvre des mesures techniques et organisationnelles adaptées au risque : chiffrement TLS 1.3 en transit, chiffrement au repos, hachage HMAC des identifiants techniques sensibles, séparation stricte des environnements, journalisation auditée des accès, revues de code obligatoires, formation continue des intervenants à la sécurité.

9. Modifications de la politique

La présente politique peut être mise à jour à tout moment pour refléter une évolution du service, du cadre légal ou de la doctrine de la CNIL. La date de dernière mise à jour est indiquée en haut de page.

← Retour à l'accueil