GPTPowerUps
en

Politique de confidentialité

2026-05-13

On a construit GPTPowerUps sur un principe simple : tes données t'appartiennent. On ne collecte que ce qui est strictement nécessaire pour faire fonctionner ce service — rien de plus. Voici exactement ce que ça signifie.

GPTPowerUps ajoute une barre latérale de productivité à ChatGPT, Claude et Grok. Cette politique explique quelles informations nous collectons pour faire fonctionner ce service — et rien d'autre.

Ce qu'on ne fera jamais :

  • Aucune adresse e-mail requise pour installer ou utiliser l'extension.
  • Tes conversations, dossiers, prompts et paramètres restent sur ton appareil — jamais transmis à nos serveurs.
  • Aucun compte requis pour naviguer ou utiliser une fonctionnalité. Zéro connexion obligatoire.
  • Aucun cookie de traçage. Aucune régie publicitaire. Aucune télémétrie sauf si tu l'actives toi-même.

Qui nous sommes

Entité légaleElPi Corp
RôleResponsable de traitement / Data Controller
Siège social[TBD — en cours de validation]
SIREN[TBD — en cours d'immatriculation]
JuridictionFrance — Tribunaux de Strasbourg
Contact confidentialitédpo@elpicorp.com
Droit applicableFrance (RGPD)
Autorité de contrôleCNIL https://www.cnil.fr
Réserver un créneau de support directRéserver un créneau de support direct

Ce qu'on ne fera jamais :

  • Aucune adresse e-mail requise pour installer ou utiliser l'extension.
  • Tes conversations, dossiers, prompts et paramètres restent sur ton appareil — jamais transmis à nos serveurs.
  • Aucun compte requis pour naviguer ou utiliser une fonctionnalité. Zéro connexion obligatoire.
  • Aucun cookie de traçage. Aucune régie publicitaire. Aucune télémétrie sauf si tu l'actives toi-même.

Conformité Chrome Web Store — utilisation limitée des données Google

The use of information received from Google APIs will adhere to the Chrome Web Store User Data Policy, including the Limited Use requirements.

En pratique, cela signifie que toute donnée reçue via des API Google ne sera utilisée qu'aux fins strictement nécessaires au fonctionnement de l'extension — jamais revendue, jamais partagée avec des tiers à des fins commerciales, jamais utilisée pour te cibler avec de la publicité. Ton utilisation de l'extension reste sous ton contrôle, pas celui de Google ni le nôtre au-delà du service rendu.

Quelles données nous collectons

GPTPowerUps déclare ci-dessous sa position pour chacune des 9 catégories de données sensibles définies par le Chrome Web Store.

Informations personnellement identifiables (PII)
Ton adresse e-mail est collectée uniquement si tu remplis le formulaire d'inscription sur /beta. Elle est stockée dans Convex (région EU). Elle n'est pas vendue. Elle n'est pas partagée avec des tiers.
Informations de santé
Aucune donnée de santé collectée. L'extension ne lit pas, n'accède pas et ne stocke aucun contenu lié à la santé.
Informations financières
Aucune donnée financière collectée. L'extension ne traite aucun paiement en V1 — toutes les fonctionnalités sont gratuites. Si une facturation par abonnement arrive dans une version future, elle sera entièrement gérée par un prestataire de paiement externe avec sa propre politique de confidentialité. On ne stockera jamais tes données bancaires.
Informations d'authentification
Aucun identifiant, mot de passe ou token de session collecté ou transmis à nos serveurs. L'extension utilise la permission storage pour sauvegarder tes préférences localement dans ton navigateur. Elle n'intercepte pas les cookies de session des hôtes IA.
Communications personnelles
Aucune conversation collectée. L'extension injecte son interface dans les pages des hôtes IA mais ne lit pas, ne capture pas et ne transmet pas le contenu de tes conversations à nos serveurs. Tes échanges restent entre toi et l'hôte IA.
Localisation
Aucune donnée de localisation collectée. Aucune API de géolocalisation n'est demandée ni utilisée.
Historique de navigation
Aucun historique de navigation collecté. Les host_permissions sont strictement limitées à chatgpt.com, claude.ai, grok.com et au backend Convex. Aucune activité de navigation inter-sites n'est enregistrée.
Activité de l'utilisateur dans l'extension
Signaux d'usage anonymes, opt-in uniquement. Si tu actives cette option dans les paramètres de l'extension, des événements agrégés (ex. : power-up consulté, power-up installé, recherche effectuée, hôte changé) sont envoyés à Convex. Aucun identifiant individuel n'est attaché. Ces signaux sont conformes au RGPD (aucune charge de retrait du consentement car aucune donnée personnelle n'est liée).
Contenu de sites web
Aucun contenu de page web collecté ou stocké sur nos serveurs. L'extension lit le DOM des pages hôtes uniquement pour y injecter sa barre latérale. Aucun contenu de page n'est transmis à GPTPowerUps.

Permissions du navigateur

host_permissions — chatgpt.com, claude.ai, grok.com
Requises pour injecter l'interface de productivité (barre latérale, bibliothèque de prompts, scores Power-Up) dans les pages des hôtes IA. Aucun contenu de ces pages n'est transmis à nos serveurs.
host_permissions — backend Convex
Requise pour communiquer avec le backend Convex : inscription à la liste d'attente, signaux d'usage anonymes (si opt-in activé), et données du catalogue Power-Up. C'est la seule connexion de données sortantes que GPTPowerUps contrôle.
storage
Requise pour sauvegarder tes données localement dans le navigateur : dossiers, prompts enregistrés, paramètres, préférence de thème, préférence de langue. Toutes ces données sont stockées via le stockage natif du navigateur (IndexedDB / chrome.storage). Elles ne sont pas transmises à l'extérieur.
scripting
Requise pour injecter le composant React de la barre latérale dans les pages des hôtes IA lors du chargement de la page.
alarms
Requise pour les tâches locales planifiées (ex. : vérifications de synchronisation périodiques, rafraîchissement des scores Power-Up). Aucune donnée utilisateur n'est transmise via les alarmes.

Nous ne demandons aucune permission pour tabs, history, cookies, webRequest, notifications ou identity. Nous ne lisons pas tes conversations.

Nous ne demandons aucune permission pour : tabs, history, cookies, webRequest, notifications ou identity. On ne lit pas tes onglets, ton historique ou tes cookies. On n'intercepte pas le trafic réseau.

Comment nous utilisons tes données

  • Fournir le service : tes données locales (dossiers, prompts, paramètres) permettent à l'extension de fonctionner sans connexion à un compte.
  • Te notifier au lancement : si tu t'es inscrit(e) sur /beta, ton e-mail sera utilisé uniquement pour t'avertir quand GPTPowerUps sera disponible publiquement.
  • Améliorer les Power-Ups : si tu as activé les signaux anonymes, nous utilisons ces données agrégées pour améliorer l'ordre d'affichage des Power-Ups et détecter les bugs. Aucun profil individuel n'est créé.
  • Rien d'autre. Nous n'utilisons pas tes données à des fins publicitaires, nous ne les vendons pas, nous ne les analysons pas à des fins de profilage.

Avec qui nous partageons tes données

Personne, à des fins commerciales.

Sous-traitants techniques uniquement :

  • Convex (base de données, région EU) — stocke la liste d'attente e-mail et les signaux opt-in anonymes.
  • Vercel (hébergement du site) — journaux de serveur standard, 30 jours de rétention, couverts par les clauses contractuelles types UE (SCC).
  • Aucun prestataire d'analytics. Aucune régie publicitaire. Aucun courtier de données.

DPA signé avec Convex Inc., Standard Contractual Clauses (SCC) UE en place.

Où tes données sont stockées

EmplacementDétail
Données locales (navigateur)Tes dossiers, prompts, paramètres, thème et langue sont stockés dans IndexedDB sur ton appareil. Ces données ne quittent jamais ton appareil.
Convex (backend, région EU)Ton e-mail d'inscription à la liste d'attente et les signaux opt-in anonymes sont stockés dans Convex, hébergé en région EU. Aucun transfert vers des pays sans protection adéquate sans SCC en place.
Journaux VercelLes journaux de serveur standard (adresse IP, requête HTTP) sont traités par Vercel. Rétention : 30 jours. Couverts par les clauses contractuelles types UE de Vercel.

Tes droits RGPD

Si tu es situé(e) dans l'UE, l'EEE ou au Royaume-Uni, le RGPD te confère les droits suivants sur tes données personnelles détenues par ElPi Corp (data controller).

Droit d'accès (Art. 15)
Tu peux demander une copie de toutes les données personnelles que nous détenons sur toi (e-mail de liste d'attente + horodatage d'opt-in). Réponse dans les 30 jours. Contact : dpo@elpicorp.com
Droit de rectification (Art. 16)
Tu peux demander la correction de ton adresse e-mail dans notre liste d'attente. Contact : dpo@elpicorp.com
Droit à l'effacement / "droit à l'oubli" (Art. 17)
Tu peux demander la suppression de ton entrée dans la liste d'attente à tout moment. Suppression exécutée dans les 30 jours. Les données locales dans ton navigateur sont sous ton contrôle direct (suppression via l'effacement des données du navigateur ou la désinstallation de l'extension).
Droit à la limitation du traitement (Art. 18)
Tu peux demander que nous cessions le traitement de tes données pendant la résolution d'un litige.
Droit à la portabilité des données (Art. 20)
Tu peux demander tes données de liste d'attente dans un format portable (JSON/CSV).
Droit d'opposition (Art. 21)
Tu peux t'opposer au traitement fondé sur l'intérêt légitime (journaux serveur Vercel). Nous nous y conformerons sauf si des motifs légitimes impérieux existent.
Droit de retrait du consentement (Art. 7.3)
Tu peux retirer ton consentement à tout moment : lien de désinscription dans l'e-mail de confirmation de la liste d'attente, ou e-mail à dpo@elpicorp.com. Le retrait du consentement ne remet pas en cause la licéité du traitement antérieur.

Base légale du traitement

  • E-mail liste d'attente : Consentement (Art. 6(1)(a)) — action d'opt-in explicite sur la page /beta.
  • Signaux d'usage anonymes : Consentement (Art. 6(1)(a)) — bascule opt-in dans les paramètres de l'extension.
  • Journaux serveur Vercel : Intérêt légitime (Art. 6(1)(f)) — surveillance de la sécurité ; portée limitée, rétention 30 jours, aucun profilage individuel. Conforme aux Lignes directrices EDPB 1/2024 (test en trois parties : finalité, nécessité, mise en balance).

Autorité de contrôle

CNIL (Commission Nationale de l'Informatique et des Libertés), France.
https://www.cnil.fr/fr
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Tu as le droit d'introduire une réclamation auprès de la CNIL si tu estimes que tes droits ont été violés (Art. 77 RGPD).

Pour exercer l'un de ces droits, contacte-nous à dpo@elpicorp.com (délai légal RGPD Art. 12(3)). Pour les questions urgentes ou si tu préfères un échange direct, réserve un créneau : https://calendar.app.google/Rs9VYwJXmwL6vPd99

Tes droits CCPA (Californie)

Si tu résides en Californie, le CCPA/CPRA (y compris les nouvelles réglementations effectives au 1er janvier 2026) te confère les droits suivants.

45 jours pour toute demande.

Catégories de données personnelles collectées

  • Identifiants (adresse email — uniquement sur opt-in /beta)
  • Activité Internet (adresse IP, métadonnées navigateur via journaux Vercel, conservation 30 jours)
  • Aucune information personnelle sensible collectée
  • Aucune donnée biométrique, géolocalisation, santé, financière ou commerciale collectée
Droit de savoir
Tu peux demander la divulgation des catégories et éléments spécifiques de données personnelles collectés, leurs sources, leurs finalités et les tiers concernés. Contact : dpo@elpicorp.com
Droit d'accès
Tu peux demander une copie des données personnelles collectées au cours des 12 derniers mois (étendu au 1er janvier 2022 selon les réglementations 2026). Contact : dpo@elpicorp.com
Droit de suppression
Tu peux demander la suppression de tes données personnelles. Nous les supprimerons de nos systèmes et demanderons à nos prestataires de faire de même. Contact : dpo@elpicorp.com
Droit de correction
Tu peux demander la correction des données personnelles inexactes te concernant. Contact : dpo@elpicorp.com
Droit d'opposition à la vente ou au partage
Nous ne vendons pas tes données personnelles et ne les partageons pas avec des tiers à des fins publicitaires ou commerciales. Aucun mécanisme d'opt-out n'est requis, mais nous l'indiquons explicitement.
Droit à la non-discrimination
L'exercice de tout droit CCPA n'entraînera pas de refus de service, de différence de prix ou de réduction de la qualité du service. Ce droit est garanti.
Droit de limiter l'utilisation des données personnelles sensibles
Nous ne collectons pas de données personnelles sensibles au sens du CPRA.

Nous ne vendons pas tes données personnelles et ne les partageons pas à des fins commerciales. Aucun lien d'opt-out n'est requis.

Nous respectons les signaux Global Privacy Control (GPC). Si un signal GPC est détecté, aucun suivi optionnel ne sera initié.

Conformément aux nouvelles réglementations CPPA 2026 : si tu soumets une demande de suppression, nous te confirmerons par écrit l'exécution dans les 45 jours. Les résidents californiens peuvent désigner un agent autorisé pour soumettre des demandes en leur nom (vérification d'autorisation requise avant réponse).

Cookies et stockage local

Cookies tiers

Aucun.

Éléments essentiels stockés localement (sans consentement requis)

  • Préférence de langue (localStorage) — requise pour le routage next-intl (FR/EN).
  • Préférence de thème (localStorage) — requise pour next-themes (Clair / Sombre / Système).

Ces deux éléments sont strictement nécessaires au fonctionnement du service tel que demandé par l'utilisateur. Conformément à la directive ePrivacy (Art. 5(3)) et aux lignes directrices CNIL, le stockage strictement nécessaire ne requiert pas de consentement.

Analytics

Aucun en V1. Aucun Google Analytics, Mixpanel, Amplitude ou équivalent.

Aucune bannière de consentement requise en V1 (lignes directrices CNIL / EDPB — pas de cookies de traçage tiers).

Combien de temps nous conservons les données

DonnéeDuréeJustification
E-mail liste d'attente (Convex, EU)Jusqu'au lancement public + 90 jours de fenêtre d'opt-out post-lancementLes utilisateurs inscrits méritent une sortie propre après le lancement
Signaux d'usage anonymes (si opt-in)Agrégés sans rétention individuelle, durée d'archivage limitée à 24 moisAucun individu n'est identifiable dans les agrégats
Journaux serveur Vercel30 jours (standard Vercel)Surveillance de la sécurité, pratique standard
Données locales navigateur (dossiers, prompts, paramètres)Contrôlé par toi — persiste jusqu'à ce que tu effaces les données du navigateur ou désinstalles l'extensionLes données ne quittent jamais ton appareil
Enregistrements de demandes de suppression3 ans (conformité légale, Art. 5(2) RGPD — obligation de responsabilité)Démontre la conformité en cas d'audit

Demande de suppression de données

Mécanisme V1 (actuel)

Pour supprimer tes données, envoie un e-mail à dpo@elpicorp.com avec l'objet "Demande de suppression de données". On vérifie ton identité en faisant correspondre ton email avec notre liste d'attente, on exécute la suppression dans les délais légaux RGPD / CCPA et on t'envoie une confirmation écrite. Tu préfères un échange direct ? Réserve un créneau sur https://calendar.app.google/Rs9VYwJXmwL6vPd99 — on traite les demandes de suppression en direct.

Mécanisme V2 (Sprint 2 — prévu)

Formulaire en libre-service automatisé sur le site. Confirmation immédiate par e-mail. Suppression automatisée depuis Convex avec journal d'audit.

Vie privée des enfants

Ce service est destiné aux utilisateurs âgés de 13 ans et plus (16 ans dans l'UE conformément à l'Art. 8 RGPD ; la France applique la limite d'âge de 15 ans conformément à la loi Informatique et Libertés). Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 13 ans. Si nous découvrons qu'un enfant de moins de 13 ans a soumis une adresse e-mail sur notre liste d'attente, nous la supprimerons immédiatement.

Si tu es un parent ou tuteur et tu penses que ton enfant nous a fourni des données personnelles, contacte-nous à dpo@elpicorp.com ou réserve un appel sur https://calendar.app.google/Rs9VYwJXmwL6vPd99 — on supprimera ces informations sans délai.

Service non destiné aux mineurs de moins de 13 ans.

Mises à jour de cette politique

Mécanisme de notification

  • Bannière dans l'extension (masquable) affichée au prochain lancement après une mise à jour de la politique.
  • E-mail aux utilisateurs inscrits sur la liste d'attente bêta.

30 jours avant que tout changement matériel entre en vigueur (nouveau type de donnée collecté, nouveau partenaire de partage, nouvelle finalité). Les changements non matériels (clarifications, corrections de fautes, mises à jour des coordonnées) sont effectifs immédiatement avec mise à jour de la date en haut de la politique.

Chaque version de la politique inclut sa date d'entrée en vigueur et un résumé des modifications par rapport à la version précédente.

Contact + droit applicable

Contact confidentialité / DPOdpo@elpicorp.com
Délai de réponse30 jours (RGPD) / 45 jours (CCPA)
Entité légale (data controller)ElPi Corp
Siège socialEn cours de validation — sera mis à jour dès que finalisé.
Droit applicableDroit français, RGPD comme cadre principal de protection des données
Autorité de contrôleCNIL (France)https://www.cnil.fr/fr
Adresse CNIL3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07

La marque grand public est GPTPowerUps. ElPi Corp est l'entité juridique et le responsable du traitement des données au sens du RGPD.

Ce qu'on ne fera jamais

  • On n'exigera jamais ton email pour installer ou utiliser l'extension.
  • On n'exigera jamais de connecter un compte Google ou un compte tiers.
  • On ne t'ajoutera jamais à une liste marketing sans ton accord explicite.
  • On ne vendra, ne louera ni ne cédera jamais tes données à un tiers.
  • On ne fera jamais de télémétrie par défaut. Le suivi est désactivé à moins que tu l'actives explicitement dans les Paramètres.
  • On n'injectera jamais de traceurs tiers, de SDKs d'analytics ou de scripts publicitaires dans aucune page.
  • On n'ajoutera jamais de filigrane à tes conversations IA.
  • On n'augmentera jamais automatiquement le prix de ton abonnement sans ton accord.