Politique de confidentialité

En vigueur le 27 avril 2026 — Version 1.0

Cette politique décrit comment Aithos collecte, utilise et protège vos données personnelles dans le cadre de l'application Aithos Mail. Aithos Mail est disponible sous deux formes interchangeables : une extension Chrome (side panel à côté de Gmail) et une application web hébergée à mail.app.aithos.be. Les deux surfaces partagent le même backend, le même projet OAuth Google, les mêmes périmètres d'accès et les mêmes garanties décrites ci-dessous. La présente politique couvre indistinctement les deux surfaces, sauf mention contraire explicite. Le service de paiement de tokens et la création d'un Ethos s'effectuent sur app.aithos.be. Nous nous efforçons d'être minimalistes : nous ne collectons que ce qui est strictement nécessaire au fonctionnement du service.

1. Responsable du traitement

INNOESTATE HOLDINGS, SASU au capital de 1 000 €, immatriculée au RCS de Montpellier sous le numéro 949 308 803, agissant sous le nom commercial « Aithos ».

• Siège social : Bureau 3, 6 B boulevard Berthelot, 34000 Montpellier, France
• SIRET : 949 308 803 00012
• TVA intracommunautaire : FR19949308803
• Contact : mathieu@innoesate.fr

2. Données que nous collectons

a) Identifiant cryptographique (DID)

Lorsque vous créez un Ethos, votre navigateur génère localement quatre paires de clés Ed25519. La clé publique « root » est dérivée en un identifiant pseudonyme (did:aithos:z6Mk…) qui sert de clé primaire dans nos bases de données. Nous ne connaissons pas votre identité réelle ; seul le DID nous permet de vous identifier. Vos clés privées (les seeds) ne quittent jamais votre navigateur.

b) Données de paiement

Lorsque vous achetez un pack de tokens, Stripe collecte les informations de facturation (email, carte bancaire, adresse). Nous ne stockons jamais vos données de carte bancaire. Stripe nous transmet uniquement :

• votre email (pour vous contacter en cas de problème de support)
• un identifiant client Stripe (cus_…)
• l'identifiant de la session de paiement
• le montant et le pack acheté

c) Solde de tokens et historique de transactions

Nous gardons votre solde de tokens et un historique des crédits/débits associé à votre DID. Cet historique sert à la facturation, au support, et à vos relevés de consommation. Aucune donnée personnelle n'est associée à ces enregistrements en dehors du DID et (optionnellement) de l'email.

d) Contenu de vos emails — modèle de stockage chiffré bout-en-bout

Aithos Mail traite le contenu de vos emails selon deux modalités distinctes qui méritent d'être expliquées séparément.

En transit (résumé et brouillons). Quand vous demandez un résumé ou la génération d'un brouillon, l'application (extension ou web) lit les emails concernés depuis Gmail via l'API officielle, les transmet à notre service de génération sur AWS Bedrock (modèles Anthropic Claude) le temps de la requête, et les supprime de la mémoire de notre Lambda dès la réponse renvoyée. Aucun contenu d'email n'est inscrit dans nos logs ; aucun contenu n'est conservé côté Aithos à l'issue de l'opération.

Au repos (capture dans votre Ethos). L'application peut enregistrer vos emails reçus et envoyés dans une section dédiée (gmail:<votre-adresse>) de votre zone Ethos personnelle, pour permettre à l'agent d'avoir un contexte continu sur vos conversations et pour que vous gardiez vous-même un historique structuré utilisable avec d'autres outils compatibles Aithos. Cette capture suit un modèle chiffré bout-en-bout :

• Le contenu de chaque email est chiffré dans votre navigateur (XChaCha20-Poly1305) avec une clé dérivée d'une seed Ed25519 stockée exclusivement dans le keystore local de la surface utilisée : chrome.storage + IndexedDB pour l'extension, IndexedDB sur l'origine mail.app.aithos.be pour l'application web. À terme cette seed sera protégée par une passkey (WebAuthn PRF) ou un mécanisme de signature à seuil MPC selon l'évolution de la plateforme.
• Aithos héberge le ciphertext sur son infrastructure AWS (DynamoDB en région eu-west-3, Paris), mais ne possède pas la clé de déchiffrement et ne peut pas lire le contenu. Cette propriété est structurelle : Aithos agit comme un substrat de stockage chiffré que vous contrôlez, et non comme un processeur du contenu de vos emails.
• Aucun humain chez Aithos, aucune automatisation, aucune subpoena ne permet d'extraire le contenu en clair depuis nos bases — la garantie est cryptographique, pas seulement contractuelle.
• Vous pouvez à tout moment révoquer le mandat de la surface depuis app.aithos.be pour interrompre toute capture future, et supprimer les sections capturées depuis l'interface de gestion de votre Ethos.

f) Jeton d'accès Gmail

Pour appeler l'API Gmail en votre nom, l'application stocke localement le jeton OAuth émis par Google :

• Extension : géré par Chrome via chrome.identity.getAuthToken ; le cache est interne à Chrome et le jeton ne sort pas du navigateur.
• Application web : conservé dans la sessionStorage de l'origine mail.app.aithos.be. Le jeton est effacé automatiquement à la fermeture de l'onglet et n'est jamais transmis aux serveurs d'Aithos.

Vous pouvez révoquer ce jeton et l'autorisation Gmail associée depuis l'application elle-même (bouton « Révoquer l'accès Gmail » dans le pied de page de l'extension comme de l'application web). Cette action appelle l'endpoint officiel https://oauth2.googleapis.com/revoke côté Google et efface le cache local. Aucun passage par accounts.google.com/permissions n'est nécessaire (mais vous pouvez bien sûr passer aussi par cette page si vous le souhaitez).

e) Logs techniques

Nos serveurs (AWS) enregistrent des logs techniques (timestamp, identifiant de requête, code de réponse, durée d'exécution) à des fins de débogage et de sécurité. Ces logs ne contiennent jamais le contenu de vos emails ni vos clés privées. Ils sont conservés 14 jours puis supprimés automatiquement.

3. Finalités du traitement

• Fourniture du service : générer les résumés et brouillons que vous demandez.
• Facturation : suivre votre solde de tokens et traiter vos achats.
• Support utilisateur : vous contacter en cas de problème.
• Sécurité et débogage : analyser les anomalies, prévenir les abus.

Nous n'utilisons jamais vos données pour de la publicité ciblée, du profilage commercial, ou pour entraîner des modèles d'IA.

4. Base légale (RGPD)

• Exécution du contrat (art. 6.1.b RGPD) — pour fournir le service que vous avez demandé.
• Intérêt légitime (art. 6.1.f RGPD) — pour la sécurité et le débogage.
• Obligation légale (art. 6.1.c RGPD) — pour la conservation des factures (10 ans).

5. Sous-traitants

Nous faisons appel aux sous-traitants suivants. Chacun est lié par un contrat de traitement (DPA) et soumis aux clauses contractuelles types de la Commission européenne pour les transferts hors UE.

• Amazon Web Services (Irlande / France) — hébergement (DynamoDB, Lambda, Secrets Manager, CloudWatch). Toutes nos données structurées sont stockées en région eu-west-3 (Paris).
• Anthropic, via AWS Bedrock — génération des résumés et brouillons. Important : Bedrock garantit contractuellement qu'Anthropic n'utilise pas les données qui transitent par Bedrock pour entraîner ses modèles (contrairement à anthropic.com en accès direct).
• Stripe Payments Europe Limited (Irlande) — traitement des paiements. Stripe est conforme PCI-DSS Niveau 1.
• Google LLC (États-Unis) — uniquement via OAuth + API Gmail. Aithos n'a accès à votre boîte Gmail que via les jetons OAuth que VOUS autorisez. Vous pouvez révoquer cet accès à tout moment dans les paramètres de votre compte Google.

6. Durée de conservation

• Solde de tokens et compte : tant que votre Ethos est actif. Sur demande de suppression, nous effaçons sous 30 jours (sauf obligations légales).
• Historique des transactions : 10 ans (obligation comptable française).
• Événements webhook Stripe : 30 jours (table à TTL automatique).
• Logs CloudWatch : 14 jours.
• Contenu des emails en transit (résumés, brouillons) : aucune conservation par Aithos.
• Contenu des emails capturés dans votre Ethos : conservé sous forme chiffrée bout-en-bout tant que votre Ethos est actif, sous votre contrôle. Vous pouvez supprimer les sections capturées à tout moment depuis app.aithos.be ; à la suppression de votre Ethos, le ciphertext est purgé sous 30 jours.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants. Pour les exercer, écrivez à mathieu@innoesate.fr en précisant votre DID Aithos.

• Accès aux données que nous détenons sur vous.
• Rectification des données inexactes (typiquement votre email).
• Effacement de votre compte et de l'historique non soumis à conservation légale.
• Limitation du traitement.
• Portabilité — export JSON de votre compte et historique.
• Opposition au traitement basé sur l'intérêt légitime.

Vous pouvez également déposer une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés.

8. Sécurité

Aithos applique les mesures suivantes :

• Vos clés privées (seeds) ne quittent jamais votre navigateur. Elles sont stockées dans IndexedDB local.
• Toutes les requêtes vers nos services sont signées cryptographiquement (Ed25519) avec votre clé delegate. Une requête non signée ou mal signée est rejetée.
• Les communications sont chiffrées en TLS 1.2+ de bout en bout.
• Les secrets côté serveur (clés API Stripe, secrets webhook) sont stockés dans AWS Secrets Manager, jamais dans le code.
• L'IAM AWS est configurée selon le principe du moindre privilège : chaque Lambda n'a accès qu'aux ressources strictement nécessaires.

9. Données accédées via Google API (Gmail)

L'utilisation et le transfert des informations reçues depuis les API Google par Aithos respectent la Google API Services User Data Policy , y compris les exigences de Limited Use.

Concrètement :

• Aithos n'utilise les données issues de Gmail que pour les fonctionnalités demandées par l'utilisateur (résumé d'emails, génération de brouillons, capture dans la zone Ethos de l'utilisateur).
• Les données Gmail capturées dans l'Ethos de l'utilisateur sont chiffrées bout-en-bout côté client. Aithos n'héberge que le ciphertext et ne dispose pas de la clé de déchiffrement.
• Aithos ne transfère pas les données Gmail à des tiers, sauf à des sous-traitants strictement nécessaires (AWS, Anthropic via AWS Bedrock) liés par contrat, et uniquement pendant la durée de la requête (en transit, jamais au repos).
• Aithos n'utilise pas les données Gmail pour de la publicité ciblée.
• Aucun humain chez Aithos ne peut lire le contenu des emails capturés dans l'Ethos de l'utilisateur — Aithos ne dispose pas de la clé. Les exceptions standards de la User Data Policy de Google (consentement explicite, sécurité, conformité légale, recherche anonymisée et agrégée) sont bornées par cette impossibilité cryptographique.

10. Modifications

Cette politique peut être modifiée pour refléter des évolutions légales ou techniques. Toute modification majeure (ajout de sous-traitant, changement de finalité, durée de conservation rallongée) sera notifiée par email aux utilisateurs ayant un compte actif au moins 15 jours avant son entrée en vigueur. Les versions antérieures restent consultables sur demande.

---

English version (summary)

This English summary is provided for international auditors. The French version above is the legally binding document.

Aithos Mail is operated by INNOESTATE HOLDINGS (SASU, Montpellier RCS 949 308 803, registered office: Bureau 3, 6 B boulevard Berthelot, 34000 Montpellier, France) under the trade name "Aithos". Contact: mathieu@innoesate.fr.

What we collect

• A pseudonymous cryptographic identifier (DID — public key derivative). Your private keys never leave your browser.
• Stripe billing email, customer ID, and purchase history (no card data).
• Token balance and credit/debit history.
• Email content used for summary/draft generation transits Aithos's Lambda for the duration of the request and is discarded at end of handler — never logged, never persisted in plaintext.
• Email content captured into the user's Ethos is end-to-end encrypted client-side (XChaCha20-Poly1305 with a key derived from an Ed25519 seed held exclusively in the user's browser). Aithos hosts the resulting ciphertext but does not hold the decryption key — Aithos acts as a user-controlled encrypted storage substrate, not as a processor of email content.
• Technical logs (timestamps, request IDs, status codes) — 14-day retention, no email content.

Sub-processors

• AWS (Ireland/France) — hosting, all structured data in eu-west-3.
• Anthropic via AWS Bedrock — summarization. Bedrock contractually prevents Anthropic from using transit data for model training.
• Stripe (Ireland) — payments, PCI-DSS Level 1.
• Google (US) — Gmail API access via user-authorized OAuth tokens only.

Google API Services User Data Policy compliance

Aithos's use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements:

• Gmail data is used only for the user-facing features (summary, drafts, capture into the user's own Ethos).
• Gmail data captured into the user's Ethos is end-to-end encrypted client-side. Aithos hosts only the ciphertext and does not hold the decryption key.
• Gmail data in transit (during summary or draft generation) is forwarded to sub-processors strictly necessary for the service (AWS, Anthropic via Bedrock), bound by contract, and discarded from Lambda memory at end of handler.
• Gmail data is not used for advertising.
• Humans at Aithos cannot read email content captured into a user's Ethos because Aithos does not hold the decryption key. The standard exceptions in Google's User Data Policy (user consent, security, legal compliance, anonymized research) are bounded by this cryptographic impossibility.

User rights (GDPR)

Access, rectification, erasure, restriction, portability, objection, and the right to lodge a complaint with the French data protection authority (CNIL). Email mathieu@innoesate.fr to exercise rights.