Politique de confidentialité
Quelles données nous traitons, dans quel but et pendant combien de temps — conformément aux art. 13/14 du RGPD.
Dernière mise à jour : 2 juillet 2026 · Version : 1.0 · Traduction de courtoisie de l'original allemand, qui fait foi en cas de divergence.
1. Responsable du traitement
Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) et des autres dispositions relatives à la protection des données est : Mika Franke, Essener Straße 3, 06846 Dessau-Roßlau, Allemagne, e-mail : info@agent-argo.com.
Aucun délégué à la protection des données n'a été désigné, les conditions légales rendant cette désignation obligatoire (art. 37 RGPD, § 38 BDSG) n'étant pas remplies.
2. Aperçu : comment Argo traite les données
Argo est une application de bureau (« CORE AGENT ») qui exécute des tâches de travail et de développement assistées par IA. Le principe fondamental d'Argo est le stockage local des données :
- Le contenu de votre travail reste sur votre appareil. Le code source, le contenu de l'espace de travail, la mémoire du projet (« Memory »), les journaux d'exécution (« Run Traces ») et les statistiques d'utilisation locales sont stockés exclusivement sur votre machine dans une base de données chiffrée (chiffrement au repos via SQLCipher ; sous Windows, la clé est protégée par l'API de protection des données du système d'exploitation, DPAPI).
- Vos clés API ne quittent jamais votre appareil. Argo applique le principe BYOK (« Bring Your Own Key ») : vous enregistrez vos propres identifiants d'accès aux fournisseurs de modèles d'IA. Ces identifiants sont conservés dans le gestionnaire d'identifiants de votre système d'exploitation (p. ex. le gestionnaire d'informations d'identification Windows) et ne sont jamais — même sous forme chiffrée — transmis à nos serveurs.
- Seules les données de licence et de compte sont transmises à nos serveurs (voir point 5), ainsi que — sauf désactivation de votre part — des indicateurs anonymes et agrégés (voir point 8). Il n'y a aucune collecte centralisée du contenu de votre travail.
- Le contenu n'est transmis aux fournisseurs de modèles d'IA que si vous en êtes à l'origine (voir point 7). Dans le profil Hors ligne/Réglementé, Argo bloque techniquement tout trafic réseau sortant (application centralisée via la couche de protection réseau de l'application).
3. Définitions et bases juridiques
Les définitions de l'art. 4 RGPD s'appliquent. Nous traitons des données à caractère personnel sur le fondement de :
- l'art. 6, § 1, point b) RGPD — exécution d'un contrat ou mesures précontractuelles (p. ex. mise à disposition du logiciel, gestion du compte et de la licence),
- l'art. 6, § 1, point c) RGPD — respect d'obligations légales (p. ex. conservation à des fins commerciales et fiscales),
- l'art. 6, § 1, point f) RGPD — intérêts légitimes (p. ex. sécurité et prévention des abus, amélioration du produit à partir de données anonymisées),
- l'art. 6, § 1, point a) RGPD — consentement, lorsque nous le recueillons dans un cas particulier ; vous pouvez à tout moment retirer un consentement donné, avec effet pour l'avenir (art. 7, § 3 RGPD).
4. Visite de notre site web
Lors de la consultation de notre site web, le serveur web traite automatiquement les données suivantes dans des fichiers journaux (« server log files ») : adresse IP de l'appareil demandeur, date et heure de l'accès, page/fichier consulté, quantité de données transférées, code de statut HTTP, URL de provenance (referrer), type et version du navigateur, système d'exploitation.
Ce traitement repose sur l'art. 6, § 1, point f) RGPD. Notre intérêt légitime réside dans la fourniture du site web, la garantie de sa stabilité et de sa sécurité, ainsi que la défense contre les attaques. Les fichiers journaux sont supprimés ou anonymisés au plus tard après 7 jours, sauf si un incident de sécurité concret exige une conservation plus longue.
Hébergement : notre site web et notre serveur de licences sont exploités par Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Allemagne, dans un centre de données situé en Allemagne. Un contrat de sous-traitance conforme à l'art. 28 RGPD est conclu avec ce prestataire. Aucun transfert vers des pays tiers n'a lieu à cet égard.
Cookies : notre site web n'utilise ni cookies ni services de suivi ou d'analyse nécessitant un consentement.
5. Compte utilisateur, gestion de la licence et de l'abonnement
L'utilisation des éditions payantes (ainsi que de l'édition gratuite avec compte) nécessite un compte utilisateur sur notre serveur de licences. Nous traitons à cette occasion :
- Données d'identification : nom d'utilisateur, identifiant interne, adresse e-mail, mot de passe (stocké exclusivement sous forme de hachage cryptographique),
- Données contractuelles et de licence : édition/plan souscrit, durée, date d'expiration, nombre de postes (« seats »), solde de crédit à l'usage (pay-as-you-go), empreinte de licence pour la liaison de l'appareil dans le cadre des licences d'équipe,
- Métadonnées d'utilisation pour la facturation au quota : compteur des exécutions réalisées par période de facturation (uniquement le nombre — pas leur contenu),
- Statistiques d'utilisation : le nombre d'exécutions démarrées par heure civile (uniquement date, heure et nombre — sans contenu, sans horodatage à la minute près, sans adresse IP), utilisées pour la facturation au quota, la prévention des abus et les statistiques agrégées du produit ; la transmission s'effectue au plus une fois par heure,
- Preuves de consentement : le moment auquel vous avez accepté les conditions générales d'utilisation lors de l'inscription, ainsi que, pour chaque tentative d'achat d'une édition payante, une entrée de journal comportant l'identifiant utilisateur, le plan choisi et le moment de votre confirmation des CGU et de l'avis relatif à l'extinction du droit de rétractation pour les contenus numériques (§ 356 al. 5 BGB) — ceci nous sert de preuve de l'intégration valable de ces déclarations au contrat,
- Journaux techniques du serveur : au niveau de l'infrastructure, le serveur web journalise les accès, y compris l'adresse IP ; le point 4 s'applique en conséquence (suppression au plus tard après 7 jours).
Aucun contenu : le serveur de licences ne reçoit à aucun moment le contenu de l'espace de travail, les prompts, les résultats ou les clés API.
Bases juridiques : art. 6, § 1, point b) RGPD (exécution du contrat) ; pour la journalisation de sécurité, art. 6, § 1, point f) RGPD (intérêt légitime à la sécurisation de nos systèmes et à la prévention des abus de licence) ; pour les preuves de consentement, art. 6, § 1, point c) RGPD (obligation de preuve envers les autorités de contrôle et en cas de litige) en combinaison avec l'art. 6, § 1, point b) RGPD (intégration valable des CGU, § 305 al. 2 BGB).
Durée de conservation : les données de compte sont conservées pendant la durée de la relation contractuelle et supprimées après la suppression du compte, sauf obligations légales de conservation contraires (§ 147 AO, § 257 HGB : jusqu'à 10 ans pour les données pertinentes en matière de facturation). Les statistiques d'utilisation liées au compte sont anonymisées au plus tard après 90 jours : les valeurs sont agrégées en totaux inter-comptes et les entrées liées au compte sont supprimées. Les preuves de consentement sont conservées pendant la durée de la relation contractuelle et au-delà, jusqu'à l'expiration des délais légaux de prescription applicables aux créances issues du contrat (généralement trois ans à compter de la connaissance des faits, § 195 BGB), puis supprimées.
6. Traitement des paiements via Paddle (Merchant of Record)
La vente des licences et abonnements Argo s'effectue par l'intermédiaire de notre partenaire de distribution Paddle.com Market Limited, Judd House, 18–29 Mora Street, Londres EC1V 8BT, Royaume-Uni (pour les clients de certaines régions, une autre entité du groupe Paddle intervient ; cela est indiqué lors du processus de commande).
Paddle agit en tant que Merchant of Record, c'est-à-dire que Paddle est votre cocontractant pour l'achat et un responsable de traitement indépendant pour le traitement des paiements. Paddle traite notamment le nom, l'adresse e-mail, l'adresse de facturation, les données de paiement (carte bancaire, PayPal, SEPA), les informations fiscales et les données de transaction. Nous ne recevons pas nous-mêmes de Paddle de données de paiement complètes, mais uniquement les informations nécessaires à l'attribution de la licence (notamment identifiant utilisateur, plan souscrit, statut de la transaction, identifiants des événements de paiement).
Dans la mesure où Paddle traite des données au Royaume-Uni, une décision d'adéquation de la Commission européenne s'applique (art. 45 RGPD). Détails sur le traitement des données par Paddle : https://www.paddle.com/legal/privacy.
Base juridique de la transmission des données d'attribution de licence entre nous et Paddle : art. 6, § 1, point b) RGPD.
7. Appels aux modèles d'IA (BYOK) — transmission aux fournisseurs de votre choix
Argo exécute des tâches en faisant appel à des modèles de langage IA. À cet égard :
- Vous choisissez les modèles et les fournisseurs. Vous enregistrez vos propres clés API (BYOK) pour des fournisseurs tels qu'Anthropic, OpenAI ou d'autres, ou vous utilisez exclusivement des modèles locaux sur votre appareil.
- Ce qui est transmis : lors d'un appel à un modèle cloud, le contenu de prompt et de contexte nécessaire à cet appel (p. ex. des extraits de votre code source ou de vos documents) est transmis directement de votre appareil au fournisseur concerné. Nous ne recevons pas ce contenu et n'y avons aucun accès.
- Transparence : le catalogue de modèles intégré à Argo indique, pour chaque modèle, s'il s'exécute localement ou dans le cloud et à quelle classe de protection des données il est rattaché.
- Contrôle : dans le profil Hors ligne/Réglementé, seuls les modèles locaux sont autorisés ; les connexions sortantes sont techniquement bloquées. Les destinations réseau peuvent en outre être limitées via une liste blanche.
Répartition des responsabilités en matière de protection des données : pour le contenu que vous transmettez aux fournisseurs de modèles au moyen de vos propres clés API, vous (ou votre organisation) êtes responsable au regard du droit de la protection des données ; les dispositions relatives à la protection des données et, le cas échéant, les contrats de sous-traitance du fournisseur concerné s'appliquent. Notez que les fournisseurs établis hors de l'UE (p. ex. aux États-Unis) peuvent traiter des données dans des pays tiers ; vérifiez les garanties proposées par le fournisseur (p. ex. clauses contractuelles types de l'UE, certification dans le cadre du Data Privacy Framework UE-États-Unis). Ne transmettez pas de données à caractère personnel de tiers aux fournisseurs de modèles si vous n'y disposez pas d'une base juridique.
8. Indicateurs d'utilisation et d'économies (« télémétrie d'économies ») — uniquement avec votre consentement
Argo peut transmettre chaque semaine des indicateurs agrégés relatifs aux économies réalisées à notre serveur, afin d'améliorer le produit et d'établir des statistiques globales agrégées (p. ex. pour notre site web).
- Opt-in : la transmission est désactivée par défaut et n'a lieu que si vous l'activez explicitement dans les paramètres de l'application. Vous pouvez la désactiver à nouveau à tout moment.
- Contenu : seules des valeurs numériques agrégées par semaine civile écoulée sont transmises (p. ex. nombre d'exécutions, gain de temps/coût estimé, coûts de modèle), ainsi que l'édition/le plan, la version de l'application et le canal de mise à jour. Aucun contenu de travail, aucun prompt, aucun nom de fichier et aucun texte libre n'est transmis ; les champs autorisés sont techniquement limités par une liste blanche, et un rapport n'est généré qu'à partir d'un nombre minimal d'exécutions.
- Attribution : la transmission s'effectue via votre compte connecté et est associée à ce compte côté serveur (afin d'éviter les doublons et de se prémunir contre les abus) ; elle peut en outre contenir une empreinte de licence tronquée et non réversible. Seules des valeurs agrégées inter-comptes sont utilisées publiquement.
- Base juridique : votre consentement, art. 6, § 1, point a) RGPD. Vous pouvez retirer votre consentement à tout moment avec effet pour l'avenir en désactivant l'interrupteur dans les paramètres (art. 7, § 3 RGPD) ; les rapports déjà transmis restent inchangés, mais seront supprimés sur demande (contact : info@agent-argo.com).
9. Mises à jour du logiciel
Lors de la vérification et du téléchargement des mises à jour, Argo (ou le bootstrapper) se connecte à notre serveur de mise à jour. Pour des raisons techniques, l'adresse IP de votre appareil, le moment de la requête et des métadonnées de version (version installée, version cible, système d'exploitation) sont alors traités. Les manifestes de mise à jour sont signés cryptographiquement ; la vérification s'effectue localement.
Base juridique : art. 6, § 1, point b) RGPD (fourniture des mises à jour dues contractuellement, § 327f BGB) ainsi qu'art. 6, § 1, point f) RGPD (sécurité de la livraison des mises à jour). L'application elle-même ne stocke pas ces données de connexion ; elles ne figurent que dans le journal d'accès du reverse proxy en amont, soumis au même délai de suppression qu'au point 4 (au plus tard 7 jours).
10. Fonctions d'équipe et synchronisation LAN
Pour les licences d'équipe, du contenu partagé (p. ex. mémoire commune, compétences) peut être synchronisé entre les appareils des membres de l'équipe. Cette synchronisation s'effectue exclusivement au sein du réseau local (« local network only ») ; le contenu n'est pas transmis à nos serveurs. La responsabilité du contenu partagé au sein de l'équipe incombe à l'organisation utilisant la licence d'équipe.
11. Prise de contact et support
Lorsque vous nous contactez par e-mail (p. ex. demandes de support), nous traitons les données que vous nous communiquez (nom, adresse e-mail, contenu de la demande) afin de traiter votre demande. Les exports de support/diagnostic que vous nous envoyez volontairement sont automatiquement nettoyés par Argo avant l'export (suppression des secrets/identifiants, réduction des chemins de fichiers aux seuls noms de fichiers).
Base juridique : art. 6, § 1, point b) RGPD (contrat/mesures précontractuelles), sinon art. 6, § 1, point f) RGPD. Les demandes sont supprimées dès qu'elles ont été traitées de manière définitive et qu'aucune obligation de conservation ne s'y oppose.
12. Destinataires et sous-traitants
Nous ne transmettons des données à caractère personnel que dans la mesure décrite dans la présente déclaration :
| Destinataire | Finalité | Rôle | Siège/lieu de traitement |
|---|---|---|---|
| Hetzner Online GmbH | Exploitation du site web, du serveur de licences et de mises à jour | Sous-traitant (art. 28 RGPD) | Allemagne |
| Groupe Paddle | Traitement des paiements en tant que Merchant of Record | Responsable de traitement indépendant | Royaume-Uni (décision d'adéquation) / indiqué lors du paiement |
| Fournisseurs de modèles d'IA de votre choix | Exécution des appels de modèles avec vos propres clés | Mandatés par vous ; ne sont pas notre destinataire | Selon le fournisseur, éventuellement pays tiers |
Au-delà, nous ne transmettons des données que si nous y sommes légalement tenus (art. 6, § 1, point c) RGPD) ou si cela est nécessaire pour faire valoir nos droits (art. 6, § 1, point f) RGPD).
13. Transferts vers des pays tiers
Un transfert de données à caractère personnel vers des pays situés en dehors de l'UE/de l'EEE par nos soins n'a lieu que dans le cadre du traitement des paiements via Paddle (Royaume-Uni — décision d'adéquation de la Commission européenne). Les transferts vers des fournisseurs de modèles d'IA situés dans des pays tiers s'effectuent exclusivement à votre initiative, avec vos propres identifiants d'accès (voir point 7).
14. Durée de conservation (résumé)
Sauf indication contraire ci-dessus, nous ne conservons les données à caractère personnel que le temps nécessaire aux finalités mentionnées, puis les supprimons, sauf obligations légales de conservation contraires (notamment en droit commercial et fiscal, jusqu'à 10 ans). Les données stockées localement sur votre appareil (base de données, journaux d'exécution, mémoire) relèvent exclusivement de votre contrôle ; Argo propose à cet effet des règles de conservation configurables (nombre/ancienneté) avec suppression en cascade, ainsi que des fonctions d'export et de sauvegarde.
15. Vos droits en tant que personne concernée
Vous disposez à notre égard des droits suivants concernant les données à caractère personnel vous concernant :
- Droit d'accès (art. 15 RGPD),
- Droit de rectification (art. 16 RGPD),
- Droit à l'effacement (art. 17 RGPD),
- Droit à la limitation du traitement (art. 18 RGPD),
- Droit à la portabilité des données (art. 20 RGPD),
- Droit de retirer un consentement donné (art. 7, § 3 RGPD) avec effet pour l'avenir.
Droit d'opposition (art. 21 RGPD) : vous avez le droit, pour des raisons tenant à votre situation particulière, de vous opposer à tout moment au traitement des données à caractère personnel vous concernant fondé sur l'art. 6, § 1, point f) RGPD. Nous ne traiterons alors plus ces données, sauf si nous pouvons démontrer des motifs légitimes impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés, ou si le traitement sert à la constatation, à l'exercice ou à la défense de droits en justice.
Pour exercer vos droits, un message informel adressé à info@agent-argo.com suffit.
Droit de réclamation : vous avez en outre le droit de déposer une réclamation auprès d'une autorité de contrôle en matière de protection des données (art. 77 RGPD), notamment dans l'État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de la violation présumée. L'autorité compétente pour nous est le Landesbeauftragte für den Datenschutz Sachsen-Anhalt (délégué régional à la protection des données de Saxe-Anhalt) (https://datenschutz.sachsen-anhalt.de).
16. Obligation de fourniture ; décisions automatisées
La fourniture des données de compte et de licence est nécessaire à la conclusion du contrat ; sans elles, nous ne pouvons pas fournir les éditions payantes. Aucune prise de décision automatisée, y compris le profilage au sens de l'art. 22 RGPD, n'a lieu.
17. Sécurité des données
Nous prenons des mesures techniques et organisationnelles conformément à l'art. 32 RGPD, notamment :
- chiffrement du transport (TLS) pour toutes les connexions à nos serveurs, pouvant être complété par un épinglage de certificat (« certificate pinning ») dans l'application (renforcement supplémentaire contre les certificats falsifiés ou mal délivrés, configurable, non actif par défaut),
- chiffrement local de la base de données au repos (SQLCipher) avec clé protégée par le système d'exploitation (DPAPI),
- stockage des clés API exclusivement dans le gestionnaire d'identifiants du système d'exploitation,
- mots de passe stockés uniquement sous forme de hachage salé,
- manifestes de mise à jour signés cryptographiquement avec vérification locale de la signature,
- stockage des secrets serveur en dehors du dépôt de code source,
- principe de minimisation des données : aucune collecte centralisée du contenu de travail.
18. Modifications de la présente politique de confidentialité
Nous adaptons cette politique de confidentialité en cas de changement du traitement des données ou de la situation juridique. La version actuelle est disponible dans l'application et à l'adresse https://www.agent-argo.com/privacy_policy. La version et la date indiquées ci-dessus font foi.