Bubul accorde une importance particulière à la sécurité, à la confidentialité et à l'intégrité des données confiées à la plateforme.

Nous mettons en œuvre des mesures techniques, organisationnelles et humaines visant à :

protéger les données des utilisateurs contre les accès non autorisés ;
garantir la confidentialité des conversations et contenus saisis ;
limiter les risques de perte, d'altération ou de divulgation accidentelle ;
sécuriser l'accès aux comptes utilisateurs ;
prévenir les usages abusifs ou frauduleux ;
assurer la continuité et la fiabilité du service.

La sécurité est prise en compte dès la conception des fonctionnalités et lors de leurs évolutions.

La présente politique s'applique à l'ensemble des services proposés par Bubul, notamment :

le site web Bubul ;
les comptes utilisateurs ;
les outils d'intelligence artificielle intégrés ;
les conversations enregistrées ;
les prompts, contenus, documents, images ou ressources créés ou importés ;
les données techniques liées à l'utilisation du service ;
les espaces personnels ou collaboratifs disponibles sur la plateforme.

Elle concerne également les prestataires techniques qui peuvent intervenir dans l'hébergement, la maintenance, la supervision ou le fonctionnement du service.

Les services Bubul sont hébergés auprès de :

OVH SAS – RCS Lille Métropole 424 761 419 00045
Siège social : 2 rue Kellermann – 59100 Roubaix, France

L'infrastructure est conçue pour assurer un niveau de disponibilité et de sécurité adapté à l'usage de la plateforme. Selon les besoins techniques, Bubul peut s'appuyer sur des services tiers pour certaines fonctionnalités (hébergement applicatif, stockage, envoi d'e-mails, authentification, supervision, accès à des modèles IA).

L'accès aux services Bubul repose sur un système d'authentification sécurisé. Chaque utilisateur est responsable de la confidentialité de ses identifiants.

Il est recommandé de :

choisir un mot de passe robuste ;
ne jamais partager son mot de passe ;
ne pas réutiliser un mot de passe d'un autre service ;
se déconnecter après usage sur un ordinateur partagé ;
signaler immédiatement toute suspicion d'accès non autorisé.

Bubul peut proposer ou imposer des mécanismes complémentaires : double authentification, limitation des tentatives, réinitialisation sécurisée, vérification par e-mail, expiration des sessions inactives.

Les mots de passe des utilisateurs ne sont pas stockés en clair. Ils sont protégés par des mécanismes de hachage sécurisés, conformes aux bonnes pratiques techniques en vigueur.

Bubul ne peut pas connaître, lire ou restituer le mot de passe d'un utilisateur. En cas d'oubli, une procédure de réinitialisation permet de définir un nouveau mot de passe.

Les conversations, prompts, documents, ressources ou contenus générés via Bubul sont considérés comme des données confidentielles de l'utilisateur. Bubul applique les principes suivants :

les conversations peuvent être sauvegardées afin de permettre à l'utilisateur de les retrouver ultérieurement ;
les contenus sauvegardés sont protégés par des mesures de sécurité adaptées ;
les conversations sont chiffrées en base de données ;
les équipes de Bubul n'ont pas vocation à consulter les conversations privées des utilisateurs ;
les données saisies ne sont pas utilisées pour entraîner les modèles IA, sauf accord explicite.

Les accès internes aux données sont strictement limités aux personnes habilitées et uniquement lorsque cela est nécessaire pour des raisons techniques, de support, de sécurité ou d'obligation légale.

Bubul met en œuvre des mécanismes de chiffrement afin de renforcer la protection des données :

chiffrement des échanges entre l'utilisateur et la plateforme via HTTPS/TLS ;
chiffrement de certaines données sensibles en base de données ;
protection des clés, jetons ou secrets techniques ;
séparation des environnements de développement, test et production.

Les clés et secrets techniques font l'objet de mesures de protection spécifiques et ne sont pas exposés publiquement dans le code source ou les interfaces accessibles aux utilisateurs.

Certaines fonctionnalités reposent sur des services d'IA fournis par des prestataires spécialisés (notamment OpenAI et ElevenLabs). Lorsqu'un utilisateur utilise une fonctionnalité concernée, les contenus strictement nécessaires au traitement peuvent être transmis à ces prestataires.

dotTilde sélectionne ses prestataires en tenant compte de leurs engagements en matière de sécurité, de confidentialité et de non-réutilisation des données à des fins d'entraînement.

Bubul s'efforce de limiter les données transmises au strict nécessaire et recommande aux utilisateurs de ne pas saisir d'informations excessivement sensibles sans s'être assuré que l'usage est compatible avec les règles internes de leur organisation.

Bubul peut être utilisé dans un cadre professionnel ou pédagogique. Les utilisateurs doivent rester vigilants lorsqu'ils saisissent ou importent des informations telles que :

données personnelles ;
données concernant des apprenants, stagiaires, salariés ou bénéficiaires ;
informations RH, médicales ou sociales ;
secrets professionnels ;
documents internes ou commerciaux sensibles ;
données protégées par une obligation de confidentialité.

L'utilisateur demeure responsable des données qu'il choisit de saisir, d'importer ou de traiter dans la plateforme.

Les accès internes à l'administration, à la maintenance ou aux outils techniques de Bubul sont limités aux personnes autorisées, selon le principe du moindre privilège.

Ces accès peuvent faire l'objet de mesures complémentaires :

authentification renforcée ;
journalisation des accès ;
revue périodique des droits ;
suppression des accès en cas de changement de fonction ou de fin de collaboration ;
séparation des rôles entre développement, administration et exploitation.

Bubul peut conserver des journaux techniques afin d'assurer la sécurité du service, la détection d'anomalies, la prévention des abus et le diagnostic des erreurs. Ces journaux peuvent contenir :

date et heure de connexion ;
adresse IP ;
navigateur ou environnement technique ;
événements d'authentification ;
erreurs applicatives ;
actions techniques nécessaires au fonctionnement du service.

Les journaux ne sont conservés que pour une durée proportionnée aux finalités poursuivies et dans le respect de la réglementation applicable.

Bubul met en œuvre une politique de sauvegarde destinée à limiter les risques de perte de données.

Fréquence	Quotidienne
Durée de conservation	3 dernières sauvegardes quotidiennes + 1 sauvegarde hebdomadaire
Lieu de stockage	OVH Graveline
Chiffrement	Non

Bubul applique des mises à jour régulières sur ses composants techniques afin de corriger les vulnérabilités connues, améliorer la stabilité du service et renforcer la sécurité. Ces mises à jour peuvent concerner : le système d'exploitation, les dépendances logicielles, les bibliothèques, les frameworks applicatifs, les services tiers et les composants liés à l'IA.

Des opérations de maintenance peuvent entraîner une indisponibilité temporaire du service. Dans la mesure du possible, les utilisateurs sont informés en amont des interruptions significatives.

Bubul s'efforce de prévenir les vulnérabilités techniques par différentes mesures :

revue du code lors des évolutions importantes ;
limitation des accès d'administration ;
validation des entrées utilisateurs ;
protection contre les injections et les attaques par force brute ;
sécurisation des formulaires ;
configuration sécurisée des serveurs ;
surveillance des dépendances vulnérables ;
séparation des environnements de développement et de production.

Bubul peut également réaliser ou faire réaliser des audits et tests de sécurité selon les besoins et les évolutions de la plateforme.

Un incident de sécurité désigne tout événement susceptible de compromettre la confidentialité, l'intégrité ou la disponibilité des données ou des services Bubul. En cas d'incident, Bubul s'engage à :

analyser la situation ;
prendre les mesures nécessaires pour contenir l'incident ;
corriger la cause lorsque cela est possible ;
documenter les actions entreprises ;
informer les utilisateurs concernés lorsque cela est nécessaire ;
notifier les autorités compétentes si la réglementation l'exige.

Toute personne identifiant une faille, une vulnérabilité ou un comportement anormal sur Bubul est invitée à le signaler à : contact@bubul.app

Le signalement doit, si possible, inclure :

une description claire du problème ;
les étapes permettant de le reproduire ;
l'URL ou la fonctionnalité concernée ;
des captures d'écran si nécessaire ;
les coordonnées de la personne effectuant le signalement.

La personne signalant une faille s'engage à ne pas exploiter la vulnérabilité, à ne pas accéder à des données qui ne lui appartiennent pas, à ne pas perturber le service et à laisser à Bubul un délai raisonnable pour corriger le problème avant toute divulgation publique.

Les utilisateurs s'engagent à utiliser Bubul de manière conforme, loyale et sécurisée. Il est notamment interdit de :

tenter d'accéder à un compte tiers ;
contourner les mécanismes de sécurité ;
tester la sécurité de la plateforme sans autorisation ;
introduire volontairement du code malveillant ;
saturer ou perturber le service ;
extraire massivement des données sans autorisation ;
utiliser les outils IA pour faciliter une fraude, une usurpation d'identité ou une activité malveillante.

Bubul se réserve le droit de suspendre ou restreindre l'accès à un compte en cas de comportement susceptible de compromettre la sécurité du service ou des autres utilisateurs.

La sécurité de la plateforme repose également sur les bonnes pratiques des utilisateurs. Chaque utilisateur est responsable :

de la confidentialité de ses identifiants ;
des contenus qu'il saisit ou importe ;
des partages qu'il effectue ;
de la vérification des résultats générés par IA ;
du respect des règles internes de son organisation ;
du respect des obligations légales applicables à son activité.

Les utilisateurs professionnels doivent s'assurer que l'usage de Bubul est compatible avec leurs politiques internes de sécurité, de confidentialité et de recours à l'intelligence artificielle.

Les contenus générés par les outils IA de Bubul doivent être relus, vérifiés et validés avant toute utilisation professionnelle, pédagogique, commerciale ou publique. L'utilisateur doit notamment vérifier :

l'exactitude des informations ;
l'absence de données confidentielles non souhaitées ;
le respect des droits d'auteur ;
la conformité au contexte d'utilisation ;
l'absence de propos inappropriés ;
la conformité aux règles internes de son organisation.

Bubul ne garantit pas que les contenus générés soient exempts d'erreurs, de biais, d'omissions ou d'informations inexactes.

Bubul met en œuvre des mesures visant à maintenir la disponibilité du service : supervision technique, sauvegardes régulières, procédures de restauration, correction rapide des incidents critiques, séparation des environnements et documentation technique interne.

Toutefois, Bubul ne peut garantir une disponibilité absolue et permanente du service.

Les données sont conservées pendant une durée proportionnée aux finalités poursuivies.

Comptes inactifs	6 mois
Conversations	Jusqu'à suppression par l'utilisateur ou du compte
Journaux techniques	12 mois

L'utilisateur peut demander l'export ou la suppression de ses données en contactant dotTilde à contact@bubul.app. La demande est traitée dans les délais prévus par la réglementation applicable (RGPD).

Bubul peut faire appel à des prestataires techniques pour assurer le fonctionnement, l'hébergement, la maintenance, la supervision ou certaines fonctionnalités de la plateforme.

Ces prestataires sont sélectionnés en tenant compte de critères de sécurité, de confidentialité et de conformité.

Lorsque des données personnelles sont traitées par des sous-traitants, Bubul veille à encadrer ces traitements conformément aux exigences applicables.

Prestataire	Rôle	Données concernées	Localisation	Garanties
OpenAI	Fourniture de fonctionnalités d'IA générative via API : génération de texte, assistance conversationnelle, analyse de prompts, génération d'images via GPT-Image	Prompts saisis par l'utilisateur, contenus transmis volontairement, réponses générées, métadonnées techniques nécessaires au fonctionnement du service.	Traitement susceptible d'être réalisé hors Union européenne, notamment aux États-Unis, selon les services et infrastructures d'OpenAI.	Contrat API / conditions professionnelles OpenAI. Les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles, sauf option explicite contraire. OpenAI peut conserver les entrées et sorties API jusqu'à 30 jours à des fins de sécurité et de lutte contre les abus, sauf option de rétention spécifique applicable. (OpenAI Developers)
ElevenLabs	Fourniture de fonctionnalités vocales via API : synthèse vocale, génération de voix, création de contenus audio	Textes transmis pour conversion en voix, paramètres de voix, fichiers audio générés, métadonnées techniques liées à la génération.	Traitement susceptible d'être réalisé dans l'Union européenne et/ou hors Union européenne selon les options de résidence des données, les sous-traitants et les paramètres du compte.	Data Processing Addendum ElevenLabs, traitement sur instruction du responsable de traitement, mesures de confidentialité, accès limité aux personnes autorisées, mécanismes de transfert international prévus par le DPA. (ElevenLabs)
OVHcloud	Hébergement de la plateforme Bubul, des bases de données, fichiers applicatifs, journaux techniques et sauvegardes	Données de compte utilisateur, contenus créés ou importés dans Bubul, historiques de génération selon les paramètres de conservation, logs techniques, données de connexion, données nécessaires au fonctionnement de la plateforme	Union européenne, sous réserve de la région d'hébergement effectivement choisie dans le compte OVHcloud	Hébergeur européen, conformité RGPD, possibilité d'hébergement dans l'Union européenne, mesures de sécurité techniques et organisationnelles, certifications selon les services souscrits. (OVHcloud)
SMTP2GO	Envoi d'e-mails transactionnels : confirmation de compte, réinitialisation de mot de passe, notifications techniques, informations liées au service	Adresse e-mail, nom/prénom le cas échéant, contenu des e-mails transactionnels, métadonnées d'envoi, logs de délivrabilité	Traitement susceptible d'être réalisé dans l'Union européenne et/ou hors Union européenne selon la configuration du compte et l'infrastructure utilisée	Conformité RGPD annoncée, Data Processing Agreement disponible dans le tableau de bord SMTP2GO, possibilité d'usage d'un centre de données européen selon configuration. (support.smtp2go.com)
Stripe	Paiement en ligne, gestion des abonnements, facturation, prévention de la fraude	Nom, prénom, adresse e-mail, informations de facturation, identifiants de transaction, statut de paiement. Les données complètes de carte bancaire ne sont pas stockées par Bubul.	Traitement susceptible d'être réalisé dans l'Union européenne et hors Union européenne par Stripe et ses affiliés	Data Processing Agreement Stripe, conformité RGPD, sécurisation des transactions, rôle de prestataire spécialisé dans le paiement, gestion des données de paiement directement par Stripe. (Stripe)
Andrew Mahé – auto-entreprise	Développement, maintenance corrective et évolutive, assistance technique sur la plateforme Bubul	Accès, selon les besoins, au code source, à l'environnement technique, aux logs, aux données de test et, de manière limitée et encadrée, à certaines données utilisateur nécessaires au diagnostic ou à la maintenance	France	Engagement contractuel de confidentialité, accès limité aux seules données nécessaires, intervention sur instruction de dotTilde, mesures de sécurité internes, révocation des accès en cas de fin de mission. À formaliser idéalement dans un accord de sous-traitance ou une clause RGPD dédiée.

Les personnes intervenant sur Bubul sont sensibilisées aux enjeux de sécurité, de confidentialité et de protection des données, notamment sur : la gestion des mots de passe, la protection des accès, la confidentialité des données utilisateurs, les risques liés aux erreurs humaines, la détection du phishing, les bonnes pratiques de développement sécurisé et les obligations RGPD.

La présente politique peut être modifiée à tout moment afin de tenir compte de l'évolution des services Bubul, de nouvelles fonctionnalités, de changements techniques ou de nouvelles exigences réglementaires.

La date de dernière mise à jour est indiquée en haut du document. En cas de modification importante, Bubul pourra informer les utilisateurs par tout moyen approprié.

Pour toute question relative à la sécurité de Bubul, ou pour signaler un incident, une vulnérabilité ou un comportement suspect :

contact@bubul.app

Politique de sécurité