Politique de confidentialité

Lianas est exploité par Aurioa Tech, responsable du traitement des données personnelles décrites dans cette politique. Pour toute question ou demande relative à la confidentialité, contactez contact@aurioa-tech.com.

• Données de compte : adresse e-mail, nom d'affichage et mot de passe haché (bcrypt). Si vous vous connectez avec Google, nous recevons votre e-mail et votre nom de la part de Google.
• Conversations : les messages que vous échangez avec Lianas, avec leurs titres et horodatages.
• Mémoire : des faits extraits de vos conversations (entités et relations) qui forment votre graphe de contexte.
• Audio vocal : si vous utilisez la saisie vocale, l'audio est transcrit puis supprimé ; seule la transcription est conservée comme message.
• Clés API : si vous utilisez vos propres clés, elles sont stockées chiffrées (Fernet) et ne sont jamais journalisées ni exposées.
• Paramètres : préférences de voix et de fournisseur, instructions personnalisées.
• Données techniques : adresses IP, utilisées uniquement pour la limitation de débit et la prévention des abus.

Nous ne vendons pas vos données, ne les utilisons pas à des fins publicitaires, ni pour entraîner des modèles d'IA.

• Fourniture du service (exécution du contrat) : répondre à vos messages, maintenir votre mémoire et votre historique entre les sessions.
• Sécurité (intérêt légitime) : verrouillage de connexion et limitation de débit basés sur les adresses IP.
• Fournisseurs externes optionnels (consentement) : uniquement lorsque vous les configurez vous-même.

Par défaut, le traitement IA (modèle de langage, reconnaissance vocale) et le stockage s'exécutent sur l'infrastructure souveraine d'Infomaniak en Suisse, sous la loi fédérale suisse sur la protection des données (LPD suisse). Les embeddings sont calculés localement sur notre serveur et ne le quittent jamais.

Dans la configuration par défaut, deux services font exception :

• Synthèse vocale : le texte des réponses est envoyé à Microsoft (Edge TTS) pour générer l'audio.
• Recherche web : les requêtes de recherche sont envoyées à Tavily (États-Unis).

Si vous utilisez vos propres clés API (OpenAI, OpenRouter, ElevenLabs, Tavily), vos messages ou votre audio transitent vers ces fournisseurs selon leurs propres politiques de confidentialité. L'application indique lorsque des données quittent l'infrastructure suisse. Consultez le rapport de transparence pour le flux de données complet.

• Conversations et mémoire : jusqu'à ce que vous les supprimiez (individuellement ou en effaçant toute la mémoire).
• Données de compte : jusqu'à la suppression de votre compte, qui supprime vos données. Nous supprimons aussi automatiquement les comptes inactifs : après 6 mois sans utilisation, nous vous envoyons un avis par e-mail, après 11 mois un avertissement de suppression, et après 12 mois d'inactivité le compte et ses données sont définitivement supprimés (jamais moins de deux semaines après l'avertissement). Toute utilisation du service (connexion ou toute activité authentifiée) réinitialise ce cycle à tout moment.
• Journal d'audit de sécurité : les requêtes et réponses brutes sont conservées dans un journal d'audit en mode ajout seul pour détecter les abus et les injections de requêtes. Elles sont supprimées lorsque vous supprimez la conversation, ou lorsque vous supprimez votre compte.
• Données de limitation de débit : les compteurs basés sur l'IP expirent automatiquement en quelques minutes.

En vertu du RGPD et de la LPD suisse, vous pouvez accéder à vos données, les rectifier, les supprimer et les exporter, limiter le traitement ou vous y opposer, et déposer une réclamation auprès de votre autorité de contrôle. La plupart de ces droits s'exercent directement dans l'application : consulter votre graphe de contexte, supprimer des faits ou des conversations individuellement, effacer toute la mémoire, exporter les conversations en markdown, et supprimer votre compte depuis les paramètres.

Pour toute autre demande, écrivez à contact@aurioa-tech.com.

Les mots de passe sont hachés avec bcrypt, les clés API sont chiffrées au repos avec Fernet, le transport est chiffré via TLS, et les points d'accès d'authentification sont protégés par une limitation de débit par compte et par IP.