Politique de confidentialité

Dernière mise à jour : avril 2026 — Conforme RGPD & AI Act

1. Responsable du traitement

Mytm-Group SAS, immatriculée en France, est le responsable du traitement pour HiWay2LLM. Contact : privacy@hiway2llm.com

2. Zéro journalisation des prompts — Principe fondamental

Nous ne stockons PAS, ne journalisons PAS, ne lisons PAS et ne traitons PAS le contenu de vos prompts ou des réponses des LLM.

Vos prompts transitent par notre proxy de routage uniquement en mémoire. Ils sont transmis au fournisseur LLM puis immédiatement supprimés. Aucune donnée de prompt n'est écrite sur disque, en base de données ou dans tout stockage persistant. C'est garanti par l'architecture, pas seulement par une politique.

3. Données que nous collectons

3.1. Données du compte (base légale : exécution du contrat)

  • Adresse email
  • Hash du mot de passe (PBKDF2-SHA256 — nous ne stockons jamais les mots de passe en clair)
  • Hashes des clés API (SHA-256 — nous ne stockons jamais les clés API en clair)
  • Date de création du compte
  • Langue préférée (en / fr / es), capturée depuis votre navigateur à l'inscription pour que les emails et l'onboarding soient dans la bonne langue
  • Code pays (ISO 2 lettres) à l'inscription et à chaque connexion, dérivé de votre IP via une recherche fail-open (utilisé pour détecter les connexions depuis un nouveau pays et choisir la langue marketing adaptée)
  • Fuseau horaire IANA (ex. Europe/Paris) lorsque votre navigateur le fournit, pour afficher les horodatages dans votre heure locale

3.2. Métadonnées d'usage (base légale : exécution du contrat + intérêt légitime)

  • Horodatage de la requête
  • Modèle sélectionné par le routeur
  • Compte de tokens (entrée/sortie)
  • Coût en USD
  • Tier de routage (light/standard/heavy)
  • Latence de routage (millisecondes)
  • Score de complexité (0,0 à 1,0)

Ces données sont utilisées pour la facturation, l'analytique et l'amélioration du Service. Elles ne contiennent AUCUN contenu de prompt, contenu de réponse, ou information personnellement identifiable au-delà de l'email du compte.

3.3. Données de paiement (base légale : exécution du contrat)

Les paiements sont traités par Stripe, Inc. La Société ne stocke pas les numéros de carte bancaire. Voir la Politique de confidentialité de Stripe.

3.4. Mesure d'audience anonyme (base légale : intérêt légitime, art. 6 § 1 f RGPD)

Pour mesurer quelles pages marketing et quels canaux d'acquisition fonctionnent, nous enregistrons des événements de funnel anonymes sur nos pages publiques (landing, blog, comparatifs, docs). Chaque événement capture :

  • Le chemin de la page consultée (sans contenu de query string au-delà des paramètres UTM)
  • Le type d'événement (pageview, signup_start, signup_complete, cta_click, etc.)
  • Le referer HTTP réduit à son domaine (ex. news.ycombinator.com)
  • Les paramètres UTM (utm_source, utm_medium, utm_campaign) lorsqu'ils sont présents dans l'URL
  • Le pays approximatif (code ISO 2 lettres) et votre header Accept-Language
  • La famille de device (desktop/mobile/tablet), la famille d'OS et de navigateur — dérivées de votre User-Agent
  • Un identifiant de session anonyme — UUID aléatoire stocké dans sessionStorage (effacé à la fermeture de l'onglet), hashé HMAC-SHA256 côté serveur avant stockage
  • Votre IP tronquée à un réseau /24 en IPv4 ou /48 en IPv6 — la troncature a lieu immédiatement après la résolution du pays, l'IP brute n'est jamais écrite en base

Aucun cookie n'est posé pour la mesure d'audience. Nous utilisons exclusivement sessionStorage, par onglet, qui s'efface tout seul.

Nous respectons à la fois DNT (navigator.doNotTrack === "1") et Sec-GPC (Global Privacy Control). Si l'un de ces signaux est activé par votre navigateur, le tracker ne déclenche rien — aucun événement n'est envoyé à nos serveurs.

Les données de mesure d'audience anonymes sont stockées sur notre instance ClickHouse auto-hébergée en France (aucun transfert hors UE), automatiquement purgées au bout de 90 jours. Les statistiques journalières agrégées sans session individuelle sont conservées pour l'analyse de tendance long terme.

4. Données que nous NE collectons PAS

  • Le contenu des prompts (messages envoyés aux LLM)
  • Le contenu des réponses LLM
  • Les prompts système
  • Les définitions d'outils ou résultats d'appels d'outils
  • Les adresses IP brutes sur la mesure d'audience — toujours tronquées à /24 (IPv4) ou /48 (IPv6) avant stockage
  • Les cookies de tracking pour les visiteurs anonymes — nous utilisons exclusivement sessionStorage
  • Les empreintes navigateur, mouvements de souris, frappes clavier, heatmaps de scroll, ou enregistrements de session
  • La géolocalisation précise (seul le code pays sur 2 lettres est enregistré)

5. Partage de données avec des tiers

5.1. Fournisseurs LLM : Vos prompts sont transmis au fournisseur LLM sélectionné par le moteur de routage (Anthropic, OpenAI, Google, Mistral, DeepSeek). Chaque fournisseur a sa propre politique de confidentialité. HiWay2LLM utilise l'API du fournisseur — nous n'ajoutons aucun tracking ni métadonnée à vos prompts.

5.2. Stripe : Les données de paiement sont traitées par Stripe. Aucune donnée de carte bancaire ne transite par les serveurs HiWay2LLM.

5.3. Nous ne vendons, ne louons et ne partageons PAS de données personnelles avec d'autres tiers.

6. Conservation des données

  • Données du compte : conservées jusqu'à la suppression du compte
  • Métadonnées d'usage : conservées 24 mois pour la facturation et l'analytique
  • Enregistrements de paiement : conservés 10 ans (loi comptable française)
  • Contenu des prompts/réponses : NON conservé (zéro seconde)
  • Événements de mesure d'audience anonymes : 90 jours puis purge automatique
  • Statistiques journalières agrégées (sans session individuelle) : conservées sans limite pour l'analyse de tendance long terme
  • Événements de connexion avec code pays : 12 mois (audit sécurité, challenge nouveau pays)

7. Vos droits (RGPD)

En vertu du Règlement Général sur la Protection des Données (UE) 2016/679, vous avez le droit à :

  • L'accès — demander une copie de vos données
  • La rectification — corriger des données inexactes
  • L'effacement — demander la suppression de votre compte et de vos données
  • La portabilité — recevoir vos données d'usage au format JSON
  • L'opposition — vous opposer au traitement basé sur l'intérêt légitime
  • La limitation — demander la limitation du traitement

Pour exercer ces droits, contactez privacy@hiway2llm.com. Nous répondons sous 30 jours.

8. Conformité AI Act européen

8.1. HiWay2LLM est un proxy de routage, pas un système d'IA tel que défini par l'AI Act européen (Règlement 2024/1689). Nous n'entraînons, ne fine-tunons et ne déployons pas de modèles d'IA.

8.2. Le moteur de scoring de routage utilise des heuristiques déterministes (pattern matching CPU), pas du machine learning. Il ne prend pas de décisions affectant des personnes physiques.

8.3. Nous fournissons une transparence totale sur les décisions de routage : chaque réponse inclut des en-têtes indiquant quel modèle a été sélectionné, le score de complexité et la latence de routage.

8.4. Les Clients utilisant HiWay2LLM pour déployer des systèmes d'IA restent responsables de leurs propres obligations de conformité AI Act.

9. Sécurité des données

  • Toutes les connexions utilisent TLS 1.3 (HTTPS imposé par Caddy)
  • Mots de passe hashés avec PBKDF2-SHA256 (100 000 itérations)
  • Clés API hashées avec SHA-256
  • Données Redis chiffrées au repos (avec Redis managé)
  • Serveur hébergé dans un datacenter OVH (France, UE)
  • Aucune donnée de prompt ne touche le stockage persistant

10. Accord de traitement des données

Les clients entreprise peuvent demander un Accord de Traitement des Données (DPA) conforme à l'article 28 du RGPD. Contact : legal@hiway2llm.com.

11. Autorité de contrôle

Vous pouvez déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr