Politique de confidentialité

Hiway2llm.com, immatriculée en France, est le responsable du traitement pour HiWay2LLM. Contact : [email protected]

3.1. Données du compte (base légale : exécution du contrat)

• Adresse email
• Hash du mot de passe (PBKDF2-SHA256 - nous ne stockons jamais les mots de passe en clair)
• Hashes des clés API (SHA-256 - nous ne stockons jamais les clés API en clair)
• Date de création du compte
• Langue préférée (en / fr / es), capturée depuis votre navigateur à l'inscription pour que les emails et l'onboarding soient dans la bonne langue
• Code pays (ISO 2 lettres) à l'inscription et à chaque connexion, dérivé de votre IP via une recherche fail-open (utilisé pour détecter les connexions depuis un nouveau pays et choisir la langue marketing adaptée)
• Fuseau horaire IANA (ex. Europe/Paris) lorsque votre navigateur le fournit, pour afficher les horodatages dans votre heure locale

3.2. Métadonnées d'usage (base légale : exécution du contrat + intérêt légitime)

• Horodatage de la requête
• Modèle sélectionné par le routeur
• Compte de tokens (entrée/sortie)
• Coût en USD
• Tier de routage (light/standard/heavy)
• Latence de routage (millisecondes)
• Score de complexité (0,0 à 1,0)

Ces données sont utilisées pour la facturation, l'analytique et l'amélioration du Service. Elles ne contiennent AUCUN contenu de prompt, contenu de réponse, ou information personnellement identifiable au-delà de l'email du compte.

3.3. Données de paiement (base légale : exécution du contrat)

Les paiements sont traités par Stripe, Inc. La Société ne stocke pas les numéros de carte bancaire. Voir la Politique de confidentialité de Stripe.

3.4. Mesure d'audience anonyme (base légale : intérêt légitime, art. 6 § 1 f RGPD)

Pour mesurer quelles pages marketing et quels canaux d'acquisition fonctionnent, nous enregistrons des événements de funnel anonymes sur nos pages publiques (landing, blog, comparatifs, docs). Chaque événement capture :

• Le chemin de la page consultée (sans contenu de query string au-delà des paramètres UTM)
• Le type d'événement (pageview, signup_start, signup_complete, cta_click, etc.)
• Le referer HTTP réduit à son domaine (ex. news.ycombinator.com)
• Les paramètres UTM (utm_source, utm_medium, utm_campaign) lorsqu'ils sont présents dans l'URL
• Le pays approximatif (code ISO 2 lettres) et votre header Accept-Language
• La famille de device (desktop/mobile/tablet), la famille d'OS et de navigateur - dérivées de votre User-Agent
• Un identifiant de session anonyme - UUID aléatoire stocké dans sessionStorage (effacé à la fermeture de l'onglet), hashé HMAC-SHA256 côté serveur avant stockage
• Votre IP tronquée à un réseau /24 en IPv4 ou /48 en IPv6 - la troncature a lieu immédiatement après la résolution du pays, l'IP brute n'est jamais écrite en base

Aucun cookie n'est posé pour la mesure d'audience. Nous utilisons exclusivement sessionStorage, par onglet, qui s'efface tout seul.

Nous respectons à la fois DNT (navigator.doNotTrack === "1") et Sec-GPC (Global Privacy Control). Si l'un de ces signaux est activé par votre navigateur, le tracker ne déclenche rien - aucun événement n'est envoyé à nos serveurs.

Les données de mesure d'audience anonymes sont stockées sur notre instance ClickHouse auto-hébergée en France (aucun transfert hors UE), automatiquement purgées au bout de 90 jours. Les statistiques journalières agrégées sans session individuelle sont conservées pour l'analyse de tendance long terme.

• Le contenu des prompts (messages envoyés aux LLM)
• Le contenu des réponses LLM
• Les prompts système
• Les définitions d'outils ou résultats d'appels d'outils
• Les adresses IP brutes sur la mesure d'audience - toujours tronquées à /24 (IPv4) ou /48 (IPv6) avant stockage
• Les cookies de tracking pour les visiteurs anonymes - nous utilisons exclusivement sessionStorage
• Les empreintes navigateur, mouvements de souris, frappes clavier, heatmaps de scroll, ou enregistrements de session
• La géolocalisation précise (seul le code pays sur 2 lettres est enregistré)

5.1. Fournisseurs LLM : Vos prompts sont transmis au fournisseur LLM sélectionné par le moteur de routage (Anthropic, OpenAI, Google, Mistral, DeepSeek). Chaque fournisseur a sa propre politique de confidentialité. HiWay2LLM utilise l'API du fournisseur - nous n'ajoutons aucun tracking ni métadonnée à vos prompts.

5.2. Stripe : Les données de paiement sont traitées par Stripe. Aucune donnée de carte bancaire ne transite par les serveurs HiWay2LLM.

5.3. Nous ne vendons, ne louons et ne partageons PAS de données personnelles avec d'autres tiers.

5bis.1. Ce qui se charge uniquement après acceptation des cookies

Lorsque tu acceptes les cookies via notre bandeau, on charge deux scripts tiers dans le seul but de mesurer l'efficacité de nos campagnes marketing :

• Pixel Reddit Ads (Reddit, Inc., USA), déclenche PageVisit au chargement et Lead sur le clic des CTAs. Le Auto-Advanced Matching de Reddit peut collecter les emails et numéros de téléphone visibles sur la page ou saisis dans les formulaires, hashés côté client (SHA-256) avant transmission. Politique de confidentialité Reddit
• Google Analytics 4 (Google LLC, USA), pages vues et événements, IP anonymisée. Politique de confidentialité Google

5bis.2. Tes contrôles

Ces scripts ne se chargent PAS si tu refuses les cookies ou ignores le bandeau. Tu peux retirer ton consentement à tout moment en supprimant hw_cookie_consent dans le stockage local de ton navigateur. Les deux prestataires appliquent les Clauses Contractuelles Types (CCT) pour les transferts UE→US conformément au RGPD.

5bis.3. Ce qu'on ne fait PAS

• On ne charge PAS ces traceurs dans l'app authentifiée, ils ne se déclenchent que sur les pages marketing publiques
• On ne combine PAS les données du pixel avec les données d'usage de tes prompts
• On ne vend PAS les données des traceurs, elles ne servent qu'à la mesure publicitaire Reddit/Google

• Données du compte : conservées jusqu'à la suppression du compte
• Métadonnées d'usage : conservées 24 mois pour la facturation et l'analytique
• Enregistrements de paiement : conservés 10 ans (loi comptable française)
• Contenu des prompts/réponses : NON conservé (zéro seconde)
• Événements de mesure d'audience anonymes : 90 jours puis purge automatique
• Statistiques journalières agrégées (sans session individuelle) : conservées sans limite pour l'analyse de tendance long terme
• Événements de connexion avec code pays : 12 mois (audit sécurité, challenge nouveau pays)

En vertu du Règlement Général sur la Protection des Données (UE) 2016/679, vous avez le droit à :

• L'accès - demander une copie de vos données
• La rectification - corriger des données inexactes
• L'effacement - demander la suppression de votre compte et de vos données
• La portabilité - recevoir vos données d'usage au format JSON
• L'opposition - vous opposer au traitement basé sur l'intérêt légitime
• La limitation - demander la limitation du traitement

Pour exercer ces droits, contactez [email protected]. Nous répondons sous 30 jours.

8.1. HiWay2LLM est un proxy de routage, pas un système d'IA tel que défini par l'AI Act européen (Règlement 2024/1689). Nous n'entraînons, ne fine-tunons et ne déployons pas de modèles d'IA.

8.2. Le moteur de scoring de routage utilise des heuristiques déterministes (pattern matching CPU), pas du machine learning. Il ne prend pas de décisions affectant des personnes physiques.

8.3. Nous fournissons une transparence totale sur les décisions de routage : chaque réponse inclut des en-têtes indiquant quel modèle a été sélectionné, le score de complexité et la latence de routage.

8.4. Les Clients utilisant HiWay2LLM pour déployer des systèmes d'IA restent responsables de leurs propres obligations de conformité AI Act.

• Toutes les connexions utilisent TLS 1.3 (HTTPS imposé par Caddy)
• Mots de passe hashés avec PBKDF2-SHA256 (100 000 itérations)
• Clés API hashées avec SHA-256
• Données Redis chiffrées au repos (avec Redis managé)
• Serveur hébergé dans un datacenter OVH (France, UE)
• Aucune donnée de prompt ne touche le stockage persistant

Les clients entreprise peuvent demander un Accord de Traitement des Données (DPA) conforme à l'article 28 du RGPD. Contact : [email protected].

Vous pouvez déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr