1. Introduction

ZeroSuite, INC. (ci-après « ZeroSuite », « nous », « notre ») s'engage à protéger la vie privée et les données personnelles de ses utilisateurs. La présente Politique de confidentialité décrit comment nous collectons, utilisons, stockons, partageons et protégeons vos données personnelles lorsque vous utilisez nos services.

Cette politique s'applique à l'ensemble des produits et services de ZeroSuite, y compris FLIN (flin.dev), 0fee (0fee.dev), 0sh (0sh.dev), 0sql (0sql.dev), 0seat (0seat.dev), 0cron (0cron.dev), otpx (otpx.dev), 0diff (0diff.dev) et Déblo (deblo.ai).

En utilisant nos services, vous acceptez les pratiques décrites dans la présente politique. Si vous n'acceptez pas cette politique, veuillez ne pas utiliser nos services.

2. Données collectées

2.1. Données que vous nous fournissez directement

• Informations de compte : nom, adresse électronique, numéro de téléphone, mot de passe (haché).
• Informations de profil : photo de profil, préférences linguistiques, fuseau horaire.
• Informations de paiement : numéro de carte bancaire (traité par nos prestataires de paiement, jamais stocké sur nos serveurs), informations de facturation, identifiants Mobile Money.
• Contenu utilisateur : code source, fichiers, configurations, données d'application que vous créez ou téléversez via nos services.
• Communications : messages que vous nous envoyez via formulaires de contact, courriels ou support.

2.2. Données collectées automatiquement

• Données techniques : adresse IP, type et version du navigateur, système d'exploitation, résolution d'écran, langue du navigateur.
• Données d'utilisation : pages visitées, fonctionnalités utilisées, durée de session, actions effectuées.
• Données de connexion : horodatages de connexion, échecs d'authentification, jetons de session.
• Cookies et technologies similaires : voir notre Politique de cookies.

2.3. Données provenant de tiers

• Fournisseurs OAuth : lorsque vous vous connectez via Google, GitHub, Discord, LinkedIn, Apple ou Telegram, nous recevons votre nom, adresse électronique et identifiant de compte. Pour la fonctionnalité « Se connecter avec Apple », Apple peut vous proposer de masquer votre adresse électronique réelle derrière un alias « private relay » (de la forme *****@privaterelay.appleid.com) ; nous respectons ce choix et nous nous limitons strictement à cet alias.
• Prestataires de paiement : confirmation de transaction, montant, statut du paiement.

2.4. Données d'audit de connexion

Pour protéger votre compte contre les accès non autorisés et répondre à nos obligations de sécurité, nous enregistrons les métadonnées de chaque tentative de connexion :

• Horodatage de chaque connexion réussie ou en échec.
• Méthode d'authentification utilisée (numéro de téléphone via SMS, WhatsApp, Google, Apple, code d'accès organisation).
• Adresse IP source de la connexion, et pays ou région déduits de cette adresse.
• Type de terminal et plateforme (iOS, Android, navigateur web).
• Chaîne user-agent (nom et version du navigateur, ou version de l'application mobile).

Ces informations sont attachées à votre compte et peuvent vous être affichées dans votre profil pour que vous puissiez vérifier où et quand votre compte a été utilisé. Signalez toute session que vous ne reconnaissez pas à [email protected].

3. Utilisation des données

Nous utilisons vos données personnelles aux fins suivantes :

• Fourniture des services : création et gestion de votre compte, exécution de vos requêtes, hébergement de vos applications et données.
• Traitement des paiements : facturation, détection de fraude, remboursements.
• Amélioration des services : analyse des tendances d'utilisation, identification de bugs, développement de nouvelles fonctionnalités.
• Communications : envoi de notifications de service, mises à jour de sécurité, informations importantes relatives à votre compte.
• Sécurité : détection et prévention des abus, fraudes, accès non autorisés et activités malveillantes.
• Obligations légales : conformité aux lois applicables, réponse aux demandes des autorités compétentes.

4. Base juridique du traitement (RGPD)

Conformément au Règlement général sur la protection des données (RGPD), nous traitons vos données sur les bases juridiques suivantes :

• Exécution du contrat (art. 6(1)(b) RGPD) : le traitement est nécessaire à l'exécution de nos obligations contractuelles envers vous (fourniture des services, gestion de votre compte, traitement des paiements).
• Intérêt légitime (art. 6(1)(f) RGPD) : amélioration de nos services, sécurité, détection de fraude, analyses statistiques agrégées. Nous veillons à ce que nos intérêts ne prévalent pas sur vos droits fondamentaux.
• Consentement (art. 6(1)(a) RGPD) : pour les cookies non essentiels, les communications marketing et certaines fonctionnalités optionnelles. Vous pouvez retirer votre consentement à tout moment.
• Obligation légale (art. 6(1)(c) RGPD) : lorsque la loi nous y oblige (comptabilité, fiscalité, lutte contre le blanchiment).

5. Partage des données

Nous ne vendons jamais vos données personnelles. Nous pouvons partager vos données uniquement dans les situations suivantes :

• Prestataires de services : hébergeurs (Hetzner), CDN (Cloudflare), prestataires de paiement, services d'envoi de courriels. Ces prestataires traitent vos données uniquement selon nos instructions et conformément à des accords de traitement des données (DPA).
• Obligations légales : lorsque nous y sommes contraints par la loi, une décision judiciaire ou une demande d'une autorité compétente.
• Protection des droits : pour défendre nos droits légaux, enquêter sur des fraudes ou protéger la sécurité de nos utilisateurs.
• Transfert d'entreprise : en cas de fusion, acquisition ou vente d'actifs, vos données pourraient être transférées. Vous en seriez informé(e) au préalable.

6. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :

• Chiffrement des données en transit (TLS 1.3) et au repos (AES-256).
• Hachage des mots de passe avec bcrypt.
• Authentification à deux facteurs (2FA) disponible pour tous les comptes.
• Surveillance continue des systèmes et détection d'intrusion.
• Sauvegardes régulières et chiffrées.
• Accès aux données limité au personnel strictement nécessaire.

Aucun système n'est infaillible. En cas de violation de données, nous vous en informerons dans les meilleurs délais, conformément à nos obligations légales (72 heures selon le RGPD). Signalez toute vulnérabilité à [email protected].

7. Conservation des données

Nous conservons vos données personnelles aussi longtemps que nécessaire aux fins décrites dans la présente politique, sauf obligation légale de conservation plus longue :

• Données de compte : conservées pendant la durée de votre compte, puis supprimées dans les 30 jours suivant la clôture (sauf obligation légale).
• Données de paiement : conservées pendant la durée légale de conservation des documents comptables (généralement 7 ans).
• Journaux de connexion : conservés pendant 12 mois à des fins de sécurité.
• Données analytiques : anonymisées et agrégées après 24 mois.

8. Vos droits

Conformément au RGPD et aux lois applicables en matière de protection des données, vous disposez des droits suivants :

• Droit d'accès (art. 15 RGPD) : obtenir une copie de vos données personnelles que nous détenons.
• Droit de rectification (art. 16 RGPD) : corriger les données inexactes ou incomplètes.
• Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données personnelles (« droit à l'oubli »).
• Droit à la limitation du traitement (art. 18 RGPD) : restreindre le traitement de vos données dans certaines circonstances.
• Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
• Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime.
• Droit de retrait du consentement : retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.
• Droit de réclamation : déposer une plainte auprès d'une autorité de contrôle (par exemple, la CNIL en France).

Pour exercer ces droits, contactez-nous à [email protected]. Nous répondrons à votre demande dans un délai d'un mois, conformément au RGPD.

9. Transferts internationaux

ZeroSuite est une société américaine (Delaware) avec des opérations en Afrique de l'Ouest. Vos données peuvent être transférées et traitées dans des pays situés hors de l'Espace économique européen (EEE), notamment :

• États-Unis : pour certains services d'infrastructure et de traitement.
• Allemagne et Finlande : serveurs d'hébergement Hetzner (dans l'EEE).
• Côte d'Ivoire : siège opérationnel.

Lorsque nous transférons des données hors de l'EEE, nous nous assurons qu'elles bénéficient d'un niveau de protection adéquat par le biais de :

• Clauses contractuelles types (CCT) approuvées par la Commission européenne.
• Décisions d'adéquation, le cas échéant.
• Évaluation d'impact sur les transferts pour chaque pays tiers.

10. Protection des mineurs

Règle générale. Nos services d'infrastructure pour développeurs ne sont pas destinés aux personnes de moins de 16 ans.

Exception : Déblo.ai. Notre plateforme éducative Déblo.ai est spécifiquement conçue pour les étudiants africains, du CP à la Terminale. Pour les utilisateurs de moins de 16 ans :

• Le consentement d'un parent ou tuteur légal est obligatoire.
• Nous collectons uniquement les données strictement nécessaires au fonctionnement de la plateforme éducative.
• Aucune donnée des mineurs n'est utilisée à des fins publicitaires ou de profilage.
• Les parents ou tuteurs peuvent accéder aux données de l'enfant, les rectifier ou en demander la suppression à tout moment.

11. Notes spécifiques par produit

FLIN (flin.dev)

FLIN est un langage de programmation avec base de données intégrée. En mode local (auto-hébergé), toutes vos données restent sur votre machine. Nous ne collectons aucune donnée de vos applications FLIN en mode local. En mode cloud géré, les données de vos applications sont stockées sur nos serveurs et soumises à la présente politique.

0fee (0fee.dev)

En tant que plateforme de paiement, 0fee traite des données financières sensibles. Les numéros de carte bancaire sont traités exclusivement par nos prestataires de paiement certifiés PCI-DSS. Nous ne stockons jamais les numéros complets de carte bancaire sur nos serveurs. Les données de transaction sont conservées conformément aux obligations légales comptables.

otpx (otpx.dev)

otpx traite des numéros de téléphone et des codes OTP temporaires pour l'authentification. Les codes OTP sont à usage unique et expirés après vérification ou après un délai de 10 minutes. Les numéros de téléphone sont hachés et non stockés en clair.

Déblo (deblo.ai)

Déblo étant un produit IA conversationnel avec une politique de confidentialité spécifique (consentement IA in-app, fournisseurs tiers déclarés, conformité Apple App Store et Google Play Store), il dispose d'une section dédiée ci-dessous : voir section 12 — Déblo.

0sh, 0sql, 0seat, 0cron, 0diff

Ces services traitent les données dans le cadre de leurs fonctionnalités respectives (commandes shell, requêtes SQL, événements, tâches planifiées, analyses de code). Les données sont traitées et stockées conformément aux principes généraux de la présente politique.

12. Déblo — assistant conversationnel IA

Déblo est un assistant conversationnel IA développé et exploité par ZeroSuite, INC. Cette section regroupe l'ensemble des informations de confidentialité spécifiques au produit, en complément des dispositions générales des sections 1 à 11.

12.1. Plateformes couvertes

• Application web : deblo.ai (toutes plateformes à jour avec un navigateur moderne).
• Application iOS : « Déblo » sur l'Apple App Store, identifiant de bundle ai.deblo.app.
• Application Android : « Déblo » sur le Google Play Store, identifiant ai.deblo.app.

Une seule application mobile native est distribuée sur chaque store. Cette application universelle dessert tous les publics listés en 12.2 par routage interne à partir des réponses d'onboarding. Aucune variante K12-only ou Pro-only n'est distribuée à ce jour.

12.2. Publics

• Élèves K-12 du primaire à la classe de Terminale (CP → Terminale dans les systèmes francophones ; niveaux équivalents dans les systèmes anglophones).
• Professionnels de l'expertise comptable (SYSCOHADA), du droit, de l'audit et du conseil fiscal.
• Grand public adulte qui utilise Déblo comme compagnon vocal au quotidien.

12.3. Données que Déblo collecte sur vous

Cette liste correspond à la déclaration officielle App Privacy publiée par ZeroSuite, INC. dans App Store Connect (13 catégories) et à la déclaration Data Safety de Google Play Console.

• Identifiants de compte : numéro de téléphone (authentification OTP par WhatsApp ou SMS), adresse électronique (lorsque vous vous connectez avec Google ou Apple), nom d'affichage, code d'accès d'organisation (pour les déploiements scolaires ou en entreprise).
• Identifiant utilisateur interne : UUID anonyme généré à l'inscription, lié à votre numéro de téléphone OTP. Aucun IDFA, IDFV ou Android Advertising ID n'est utilisé.
• Contenu des conversations textuelles : les messages que vous écrivez à Déblo et les réponses générées par l'IA. L'historique de chat est conservé 30 jours après la fin de la conversation puis supprimé automatiquement.
• Contenu vocal : l'audio de votre voix lors d'un appel vocal en temps réel. L'audio est traité en flux continu et n'est pas conservé sous forme d'enregistrement après la fin de l'appel. Une transcription textuelle de l'appel peut être conservée sous la même règle 30 jours que le chat.
• Photos et documents que vous téléversez : images d'exercices, notes manuscrites, factures, ou tout document que vous soumettez pour analyse. Ces fichiers sont traités par reconnaissance optique de caractères (OCR) et compréhension visuelle. Photos et documents sont conservés 30 jours puis supprimés.
• Données d'interaction pédagogique : matières étudiées, sujets de questions, niveau scolaire, examens ciblés (BAC, BEPC, WAEC, KCSE, GCSE, etc.) et indicateurs de progression agrégés.
• Métadonnées portefeuille et paiement : solde du portefeuille interne, historique des recharges (Mobile Money ou carte), références de paiement anonymisées. Aucun numéro de carte n'est stocké.
• Données d'audit de connexion : telles que décrites en section 2.4 ci-dessus.
• Diagnostics : rapports de plantage et traces de performance collectés via Sentry, liés à votre identifiant utilisateur pour nous permettre d'investiguer les problèmes que vous rencontrez.
• Échanges avec le support : messages WhatsApp ou courriels que vous nous envoyez via le canal d'assistance.

12.4. Données explicitement non collectées

• Pas d'IDFA, IDFV ou Android Advertising ID — aucun fingerprinting publicitaire.
• Pas de localisation GPS (ni précise ni approximative). Le pays inféré depuis le préfixe téléphonique reste une métadonnée du numéro de téléphone, pas une coordonnée géographique.
• Pas d'historique de navigation web hors de Déblo, pas d'historique de recherche externe.
• Pas de carnet de contacts, pas de calendrier, pas de photos en dehors de celles que vous choisissez explicitement d'envoyer.
• Pas de numéro de carte bancaire, IBAN ou identifiant de compte stocké sur nos serveurs (Stripe et XPAYE / 0fee gèrent l'intégralité du périmètre PCI-DSS).
• Pas de données de santé, de fitness ou de données sensibles au sens du RGPD.
• Pas de publicité personnalisée ; pas d'envoi de données à des courtiers en données ou des réseaux publicitaires.

12.5. Fournisseurs technologiques tiers utilisés par Déblo

Déblo s'appuie sur plusieurs fournisseurs IA et infrastructure pour rendre ses fonctionnalités opérationnelles. Lorsque vous interagissez avec Déblo, vos données d'entrée (texte, voix, photos) sont transmises en temps réel à un ou plusieurs des fournisseurs ci-dessous, strictement pour produire la réponse IA. Aucun de ces fournisseurs n'utilise vos données pour entraîner ses modèles généralistes.

• Anthropic — modèles de langage de grande taille (famille Claude). Acheminé via la passerelle API OpenRouter. Utilisé pour les réponses de chat, les explications pédagogiques, la génération de contenu. Anthropic et OpenRouter reçoivent le texte de vos messages mais pas vos identifiants directs (nous utilisons une référence utilisateur hachée).
• Mistral AI — modèle de langage de repli et modèle de compréhension d'image (vision), acheminé lui aussi via OpenRouter. Même périmètre de données qu'Anthropic.
• Ultravox — fournisseur IA vocal temps réel (par défaut). Quand vous démarrez un appel vocal, l'audio de votre microphone est diffusé en flux vers Ultravox via le transport LiveKit. Ultravox renvoie un audio que Déblo vous fait entendre. Aucun enregistrement n'est conservé par Ultravox après l'appel.
• Google (Vertex AI / Gemini Live API) — fournisseur vocal temps réel alternatif ou de repli. Peut remplacer ou compléter Ultravox à notre discrétion. Même périmètre de données qu'Ultravox : flux audio bidirectionnel temps réel, aucun enregistrement conservé par Google.
• Datalab (Marker V2) — fournisseur principal de reconnaissance optique de caractères (OCR) et de compréhension de documents. Les photos et PDF que vous téléversez sont envoyés à Datalab pour extraction de texte. Mistral OCR sert de repli.
• Sentry — diagnostics de plantage et de performance. Reçoit les traces d'erreur, la version de l'application, le modèle d'appareil, la version d'OS et votre identifiant utilisateur lors d'une erreur.
• SMSing et WhatsApp Business API — transmettent les codes OTP à votre numéro de téléphone par SMS ou WhatsApp lors de la connexion.
• Stripe — traitement des paiements par carte bancaire (webview). Aucun numéro de carte ne transite par nos serveurs.
• XPAYE / 0fee — passerelle Mobile Money (Wave, MTN, Orange Money, Moov, Togocel, Free CI). Aucune information bancaire stockée côté Déblo.
• Hetzner Cloud (Allemagne) — hébergement principal de l'application et de la base de données PostgreSQL.
• Google OAuth et Apple Sign In — fournisseurs d'authentification optionnels (en complément du numéro de téléphone OTP).

Chaque fournisseur listé ci-dessus agit comme sous-traitant au sens du RGPD, sous accord de traitement des données (DPA) avec ZeroSuite, INC. Ces tiers sont contractuellement tenus d'assurer un niveau de protection équivalent au nôtre, d'utiliser les données uniquement aux fins spécifiées et de les supprimer lorsqu'elles ne sont plus nécessaires.

12.6. Définition Apple « Tracking » et position de Déblo

Apple définit le tracking comme la liaison de données collectées par cette application avec celles d'autres applications, sites web ou propriétés offline d'autres sociétés à des fins de publicité ciblée ou de mesure publicitaire ; ou encore le partage de données collectées par cette application avec un courtier en données. Déblo n'effectue aucune de ces opérations. Nous avons déclaré « No Tracking » pour l'ensemble des catégories de données de notre fiche App Privacy dans App Store Connect, et le même principe s'applique au questionnaire Data Safety de Google Play Console.

12.7. Consentement explicite in-app pour partager des données avec les services IA tiers

Avant que vous n'utilisiez pour la première fois les fonctionnalités IA de Déblo (chat, appel vocal, analyse de photo), les applications mobiles affichent un écran de consentement explicite. Cet écran décrit les catégories de données transmises et l'usage qui en est fait, sans nommer publiquement chaque sous-traitant (la liste exhaustive figure dans la présente section 12.5). L'écran demande votre consentement avant d'enclencher la première action IA.

Vous pouvez consulter cette divulgation à tout moment depuis le menu Réglages → Confidentialité de l'application mobile, et y retirer votre consentement. Le retrait du consentement coupe les fonctionnalités IA mais ne supprime pas vos données de compte ; pour la suppression complète, contactez [email protected].

Un mini-rappel est également visible sous le bouton micro de l'écran d'accueil et sous la zone de saisie du chat : « Déblo est une IA et peut se tromper. Limites · Confidentialité ». Le lien « Limites » pointe vers deblo.ai/disclaimer, le lien « Confidentialité » réouvre l'écran de consentement en mode lecture pour vous permettre de relire la divulgation.

12.8. Rétention des données Déblo

• Texte des conversations chat : 30 jours après la dernière activité sur la conversation, puis suppression définitive.
• Audio des appels vocaux : non conservé (flux temps réel non enregistré). Une transcription textuelle éventuelle suit la même rétention que le chat (30 jours).
• Photos et documents téléversés : 30 jours après upload, puis suppression.
• Données de compte : conservées pendant la durée du compte. Supprimées dans les 30 jours après la clôture, sauf obligation légale plus longue.
• Métadonnées de paiement (anonymisées) : 7 ans (obligation comptable et fiscale).
• Diagnostics Sentry : 30 jours puis purge.
• Journaux de connexion : 12 mois (cf. section 7).

12.9. Utilisation des données Déblo

• Répondre à vos questions, produire des explications, fournir les fonctions conversationnelles et pédagogiques du produit.
• Personnaliser votre expérience d'apprentissage (mémorisation du niveau scolaire, de la langue préférée, des sujets récents).
• Diagnostiquer les plantages, améliorer le produit sur la base de statistiques agrégées et anonymisées.
• Prévenir les abus et répondre à nos obligations légales.

Les données Déblo ne sont pas utilisées pour entraîner des modèles IA généralistes, ne sont pas vendues à des annonceurs et ne sont pas partagées avec des courtiers en données.

12.10. Vos droits sur vos données Déblo

Tous les droits RGPD listés en section 8 s'appliquent à vos données Déblo. En complément, depuis l'application mobile, vous pouvez :

• Consulter et retirer votre consentement IA à tout moment via Réglages → Confidentialité.
• Supprimer une conversation individuelle depuis l'historique chat.
• Demander l'export complet de votre compte ou sa suppression définitive en écrivant à [email protected] depuis l'adresse rattachée au compte.

12.11. Protection des mineurs utilisant Déblo

Déblo étant conçu pour les élèves, y compris mineurs, des protections supplémentaires s'appliquent. Voir la section 10 (Protection des mineurs) pour l'ensemble des garanties, dont le consentement parental vérifiable, les restrictions d'usage des données et les droits des parents pour consulter ou supprimer les données de leur enfant.

13. Cookies

Nous utilisons des cookies et des technologies similaires sur nos sites. Pour des informations détaillées sur les types de cookies utilisés, leur finalité et comment les gérer, veuillez consulter notre Politique de cookies.

14. Services tiers

Nos services peuvent contenir des liens vers des sites web ou des services tiers. Nous ne sommes pas responsables des pratiques de confidentialité de ces tiers. Nous vous encourageons à lire leurs politiques de confidentialité respectives.

Les principaux prestataires tiers que nous utilisons incluent :

• Hetzner : hébergement de serveurs (Allemagne, Finlande).
• Cloudflare : CDN et protection DDoS (mondial).
• Stripe : traitement des paiements par carte bancaire.
• Fournisseurs OAuth : Google, GitHub, Discord, LinkedIn, Apple, Telegram (authentification).

15. Modifications de cette politique

Nous pouvons mettre à jour la présente Politique de confidentialité périodiquement. Les modifications seront publiées sur cette page avec une date de mise à jour révisée. Pour les modifications substantielles, nous vous en informerons par courrier électronique ou par une notification visible sur nos services.

Nous vous recommandons de consulter régulièrement cette page pour prendre connaissance de toute modification.

16. Contact

Pour toute question relative à la présente Politique de confidentialité ou pour exercer vos droits, veuillez nous contacter :

ZeroSuite, INC.
Délégué à la protection des données
Courriel : [email protected]
Sécurité : [email protected]
Delaware, États-Unis • Abidjan, Côte d'Ivoire