Document juridique
Politique de confidentialité.
Version 1.0 — brouillon de travail.
Date d'entrée en vigueur : [À COMPLÉTER au moment de la mise en ligne]
Éditeur du service : Black Pearl Retail & Consulting SARL — RCS Mulhouse 930 789 862 — 8 impasse des capucins, 68730 Blotzheim, France
Cette politique est écrite pour être comprise sans dictionnaire juridique. Chaque section commence par une phrase claire, et le langage technique ou réglementaire arrive ensuite. Si une formulation vous paraît floue, écrivez-nous — l'adresse de contact est en bas de page.
Sommaire ▾
- 1. Ce qui ne quitte jamais votre machine, et ce qui transite chiffré
- 2. Qui édite ce service
- 3. Quels emails sont lus, par qui, pourquoi, et où
- 4. Ce que Bostaji stocke sur votre machine
- 5. La synchronisation chiffrée entre vos appareils
- 6. Que voit le moteur d'intelligence artificielle
- 7. Ce qu'on demande à votre messagerie, et pourquoi
- 8. Cookies et mesure d'audience sur ce site
- 9. Nos sous-traitants
- 10. Sécurité technique
- 11. Ce que vous pouvez vérifier vous-même
- 12. Vos droits
- 13. Mentions Google requises
- 14. Modifications de cette politique
- 15. Comment nous joindre
1. Ce qui ne quitte jamais votre machine, et ce qui transite chiffré
Bostaji est conçu pour qu'un maximum de choses restent là où elles sont déjà : sur votre ordinateur et dans votre messagerie. Le tableau ci-dessous montre exactement ce qui se passe, sans nuance commerciale.
Ce qui ne quitte jamais votre machine
- Le contenu complet de vos emails
- Vos pièces jointes
- Vos clés d'accès à votre messagerie (jetons OAuth ou mot de passe d'application)
- Le cache de classement local
- Vos brouillons en cours de rédaction
Ce qui transite chiffré bout-à-bout entre vos appareils
- Vos règles de tri
- Vos préférences
- L'historique de vos décisions de tri
- Vos corrections lorsque Bostaji s'est trompé
La synchronisation chiffrée entre appareils est optionnelle. Si vous n'utilisez Bostaji que sur une seule machine, elle n'est pas activée et rien ne sort de votre ordinateur en dehors de la communication avec le moteur d'intelligence artificielle décrit plus bas (section Que voit le moteur d'intelligence artificielle).
2. Qui édite ce service
Bostaji est édité par Black Pearl Retail & Consulting SARL — RCS Mulhouse 930 789 862 — 8 impasse des capucins, 68730 Blotzheim, France, société établie en France.
Au sens du Règlement Général sur la Protection des Données (RGPD), Black Pearl Retail & Consulting SARL est responsable de traitement pour les données personnelles décrites dans ce document.
Pour toute question relative à vos données personnelles, à vos droits, ou à cette politique, vous pouvez écrire à :
- Contact général : bostaji@bostaji.app
- Demandes liées à la protection des données : bostaji@bostaji.app
3. Quels emails sont lus, par qui, pourquoi, et où
Bostaji est un assistant email supervisé. Il prend en charge plusieurs messageries, à parité — Gmail, Outlook/Microsoft et les boîtes IMAP (Yahoo, Orange, et d'autres). Quand vous connectez votre boîte, Bostaji se met à lire les emails entrants pour les classer, les ranger dans les bons dossiers, vous proposer des décisions, et apprendre de vos corrections.
Qui lit vos emails
L'application Bostaji installée sur votre ordinateur. Pas un serveur distant, pas un employé, pas un robot hébergé ailleurs. Le programme tourne sur votre machine et y reste.
Pourquoi vos emails sont lus
Pour les classer (urgent, à lire, newsletter, etc.), pour vous proposer des règles, et pour exécuter les actions que vous avez validées (déplacer dans un dossier, marquer lu, archiver). Aucun email n'est lu pour de la publicité, de l'analyse comportementale, ou de la revente. Aucun email n'est jamais utilisé pour entraîner un modèle.
Où vos emails sont lus
Vos emails restent dans votre messagerie (Gmail, Outlook/Microsoft ou votre boîte IMAP). Bostaji s'y connecte avec votre permission, lit les messages directement chez votre fournisseur, et exécute les actions de tri sur ces mêmes messages chez votre fournisseur. Vos emails ne sont jamais copiés sur un serveur de Bostaji. Ils ne transitent jamais par une infrastructure tierce. La seule exception est la communication avec le moteur d'intelligence artificielle, expliquée à la section Que voit le moteur d'intelligence artificielle.
4. Ce que Bostaji stocke sur votre machine
Pour fonctionner, Bostaji enregistre certaines choses dans un dossier dédié sur votre ordinateur. Toutes ces données restent sur votre machine et sont supprimables à tout moment via le menu de l'application.
| Type de donnée | Pourquoi | Durée de conservation |
|---|---|---|
| Vos règles de tri et préférences | Faire fonctionner le tri | Tant que vous utilisez Bostaji |
| Cache local des classements récents | Éviter de re-classer le même mail et économiser des appels au moteur IA | Environ 30 jours |
| Journal technique des actions | Vous permettre de relire ce qui a été décidé et corriger | Environ 90 jours |
| Vos corrections (quand vous nous reprenez) | Apprendre vos préférences sans deviner | Tant que le compte est actif |
| Clé d'accès à votre messagerie (jeton OAuth ou mot de passe d'application) | Vous éviter de devoir vous reconnecter à chaque ouverture | Tant que vous ne révoquez pas l'accès chez votre fournisseur |
Où précisément ? Dans un dossier dédié à Bostaji sur votre ordinateur. Les clés d'accès à votre messagerie sont stockées dans le coffre-fort système de votre système d'exploitation : Trousseau d'accès sur macOS, DPAPI sur Windows. Ils ne sont jamais transmis à un serveur tiers.
Suppression
Vous pouvez supprimer toutes ces données à tout moment depuis les réglages de l'application (« Réinitialiser les données locales »). La désinstallation de l'application supprime également ces données.
5. La synchronisation chiffrée entre vos appareils
Si vous utilisez Bostaji sur plusieurs appareils (par exemple votre ordinateur professionnel et votre ordinateur personnel), vous pouvez activer la synchronisation. Ce qui est synchronisé entre vos appareils est uniquement :
- Vos règles de tri
- Vos préférences
- L'historique de vos décisions de tri
- Vos corrections
Pas vos emails. Pas le contenu de vos messages. Pas vos pièces jointes. Pas vos jetons OAuth. Ces éléments restent sur chaque machine, indépendamment de la synchronisation.
Comment c'est techniquement protégé
Avant de quitter votre machine, ces données sont chiffrées avec une clé qui ne se trouve que sur vos appareils. Le serveur qui transporte les données entre vos machines voit passer des fichiers chiffrés (que nous appelons blobs) dont il ne peut pas lire le contenu. Ni nous, ni notre hébergeur ne peuvent les lire. Seuls vos appareils, qui ont la clé, peuvent les déchiffrer.
C'est ce qu'on appelle le chiffrement de bout en bout, mais cette protection s'applique uniquement à cette couche de synchronisation entre vos appareils. Elle ne s'applique pas au contenu de vos emails, qui doit être lu en clair par le moteur d'intelligence artificielle pour être classé (voir section Que voit le moteur d'intelligence artificielle).
Où est hébergé le serveur de synchronisation
Chez un hébergeur européen certifié, dans un centre de données situé dans l'Union européenne. Aucun transfert vers les États-Unis, aucun transfert hors Union européenne pour les blobs chiffrés.
6. Que voit le moteur d'intelligence artificielle
Pour classer un email, Bostaji envoie deux choses, et seulement deux choses, au moteur d'intelligence artificielle Mistral, fourni par Mistral SAS, société française basée à Paris :
- Le sujet du mail
- Le corps du mail (le texte du message)
Ce qui n'est jamais envoyé au moteur d'intelligence artificielle :
- Vos pièces jointes
- Le contenu des images intégrées au mail
- Vos clés d'accès à votre messagerie
- Vos contacts complets
- Vos brouillons en cours, vos archives, vos messages envoyés
- Vos règles, vos préférences, vos corrections (qui sont traitées par Bostaji localement)
Mistral SAS, en clair
Mistral SAS est une société française. Ses serveurs sont en Europe. Mistral fournit le modèle d'intelligence artificielle qui aide Bostaji à comprendre le sens d'un mail (« est-ce un message urgent ? une newsletter ? une facture ? ») et à proposer un classement.
Pas d'entraînement sur vos emails
Mistral SAS n'utilise pas vos emails pour entraîner ses modèles. C'est une condition contractuelle que Black Pearl Retail & Consulting SARL a négociée et qui figure dans l'accord de sous-traitance signé avec Mistral. Vos emails servent à classer un mail, à un moment précis, et c'est tout.
Pas d'autre moteur d'IA, pas d'autre tiers
Bostaji ne transmet aucune donnée à un fournisseur tiers d'intelligence artificielle ou de service email. Le seul moteur d'IA utilisé est Mistral, et le seul fournisseur d'email connecté à votre compte est celui que vous avez vous-même connecté (Gmail, Outlook/Microsoft ou une boîte IMAP comme Yahoo ou Orange).
Cache local pour limiter les appels
Quand Bostaji a déjà classé un mail, le résultat est mis en cache sur votre machine pour ne pas redemander inutilement le même classement à Mistral. Ce cache est local, supprimable, et n'est jamais transmis à Mistral.
7. Ce qu'on demande à votre messagerie, et pourquoi
Pour trier vos mails à votre place, Bostaji a besoin de quelques permissions sur votre boîte. Le détail exact dépend de votre fournisseur, parce que chacun a son propre système d'autorisation. Dans tous les cas, Bostaji demande le strict nécessaire pour un assistant de tri, et jamais plus.
Ce que Bostaji peut faire sur votre messagerie
- Lire vos emails pour les classer.
- Déplacer un email d'un dossier à un autre (sur Gmail, c'est « ajouter un libellé »).
- Marquer un email comme lu ou non lu.
- Archiver un email.
- Mettre un email à la corbeille (où il reste récupérable pendant la durée prévue par votre fournisseur — par défaut 30 jours sur Gmail).
Ce que Bostaji ne fait jamais
- Envoyer un email à votre place sans votre validation. Bostaji peut préparer un brouillon, dans toutes les formules, mais c'est vous qui cliquez sur « envoyer », jamais Bostaji tout seul.
- Supprimer définitivement un email. Quel que soit le fournisseur, Bostaji n'utilise jamais la suppression définitive. Le pire qu'il puisse faire, c'est mettre un mail à la corbeille, où il reste récupérable.
- Modifier le contenu d'un email existant.
- Accéder à votre carnet de contacts complet en dehors des adresses présentes dans les emails que vous lui faites lire.
Le détail technique, par fournisseur
Pour les personnes qui veulent la liste exacte des permissions demandées :
- Gmail (Google). Bostaji demande la permission
gmail.modify, qui regroupe exactement les actions de tri listées ci-dessus. C'est la permission minimale pour un assistant de tri. La permission d'envoi (gmail.send) n'est demandée que si vous utilisez une fonction qui en a besoin. - Outlook / Microsoft. Via Microsoft Graph, Bostaji demande
Mail.ReadWrite(lire et organiser vos messages),Mail.Send(envoyer un brouillon que vous avez validé),Calendars.Read(lire votre agenda pour vous proposer des créneaux de rendez-vous) etMailboxSettings.Read(lire les réglages de votre boîte, comme votre fuseau horaire). Chez Microsoft, l'envoi exige une permission distincte : c'est pourquoiMail.Sendest listée à part. - Boîte IMAP (Yahoo, Orange, etc.). L'IMAP n'a pas de système de permissions granulaires : vous fournissez des identifiants — souvent un « mot de passe d'application » créé chez votre fournisseur — que Bostaji range dans le coffre-fort système. Bostaji se limite alors, par conception, aux mêmes actions de tri que ci-dessus, et n'utilise jamais la suppression définitive.
9. Nos sous-traitants
Pour fournir le service Bostaji, Black Pearl Retail & Consulting SARL fait appel à deux sous-traitants techniques. Ce sont les seuls.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Mistral SAS | Moteur d'intelligence artificielle (classement des emails) | France (Paris) — Union européenne |
| Hébergeur européen certifié | Hébergement du serveur de synchronisation chiffrée entre vos appareils | Union européenne |
Ces sous-traitants sont engagés contractuellement à respecter le RGPD et à ne traiter les données que pour les finalités décrites dans cette politique. Aucun autre tiers n'a accès à vos données.
Pas de revente, pas de partage à des fins publicitaires
Bostaji ne vend aucune donnée personnelle. Bostaji ne partage aucune donnée à des fins publicitaires. Bostaji ne fait pas de profilage à des fins de marketing. La seule finalité du traitement de vos emails est de les classer pour vous.
10. Sécurité technique
Voici les mesures concrètes que Bostaji met en place pour protéger vos données.
- Communications chiffrées en transit (TLS). Toutes les communications réseau de Bostaji (vers votre messagerie, vers Mistral, vers le serveur de synchronisation) passent par TLS, le protocole standard du web sécurisé.
- Données chiffrées au repos sur le serveur de synchronisation (AES-256). Les blobs synchronisés entre vos appareils sont stockés chiffrés sur le serveur, en plus du chiffrement bout-à-bout.
- Clés d'accès à votre messagerie dans le coffre-fort système. Vos clés d'accès (jetons OAuth pour Gmail et Outlook/Microsoft, mot de passe d'application pour une boîte IMAP) sont stockées dans le Trousseau d'accès macOS ou dans DPAPI sur Windows. Elles ne sont jamais en clair dans un fichier accessible par d'autres applications, ni transmises à un serveur tiers.
- Pas d'envoi automatique d'email. Bostaji ne déclenche jamais un envoi sans votre validation explicite.
- Pas de suppression définitive d'email. Quel que soit le fournisseur, Bostaji n'utilise jamais la suppression définitive.
- Validation humaine pour les actions sensibles. En cas de doute sur le classement d'un mail, Bostaji vous demande, plutôt que de décider seul.
Le service est en phase de bêta privée fermée pendant laquelle Bostaji fonctionne en mode Testing de l'OAuth Google. Au moment de l'ouverture publique du service, un audit indépendant de sécurité (CASA Tier 2) sera effectué par un laboratoire spécialisé reconnu par Google, en vue de la verification Production.
11. Ce que vous pouvez vérifier vous-même
Une politique de confidentialité, c'est utile, mais ce sont des mots. Ce qui compte vraiment, c'est ce que vous pouvez vérifier de vos propres yeux dans le produit.
Bostaji est conçu pour rendre chaque proposition observable. Dans le menu Stats de l'application, vous accédez à un journal qui montre :
- la liste des décisions prises par Bostaji sur vos mails ;
- pour chacune, la raison donnée par Bostaji et la source de cette raison (le mail concerné) ;
- le niveau de confiance et le niveau de risque attribués à la décision ;
- si la décision était réversible, et si vous avez validé ou corrigé Bostaji ;
- l'agrégation par fonctionnalité (combien de classements de newsletters, combien d'archivages, combien de corrections, etc.).
Vous n'avez pas à nous croire sur parole : ouvrez le menu Stats, lisez le journal, contredisez-nous si vous voyez un écart.
Cette transparence est volontaire, et elle est un engagement produit. Si à un moment cette traçabilité disparaît ou devient incomplète, c'est qu'il y a un problème. Écrivez-nous (section contact).
12. Vos droits
Conformément au Règlement Général sur la Protection des Données et à la loi française « Informatique et Libertés », vous disposez des droits suivants sur vos données personnelles.
- Droit d'accès. Vous pouvez demander quelles données personnelles Black Pearl Retail & Consulting SARL détient sur vous.
- Droit de rectification. Vous pouvez demander la correction d'une donnée personnelle inexacte.
- Droit de suppression (« droit à l'oubli »). Vous pouvez demander la suppression de vos données. Côté local : c'est immédiat depuis l'application. Côté serveur de synchronisation : c'est sous 30 jours.
- Droit à la portabilité. Vous pouvez récupérer vos règles, préférences et historique dans un format réutilisable (JSON).
- Droit d'opposition. Vous pouvez vous opposer à un traitement spécifique.
- Droit de retirer votre consentement à tout moment. En particulier, vous pouvez révoquer l'accès de Bostaji depuis les paramètres de votre compte (Google ou Microsoft), retirer les identifiants d'une boîte IMAP depuis Bostaji, et désinstaller l'application.
- Droit d'introduire une réclamation auprès d'une autorité de contrôle. En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés). Vous pouvez la saisir directement sans nous prévenir.
Pour exercer un de ces droits, écrivez à bostaji@bostaji.app. Nous vous répondrons dans un délai d'un mois maximum, conformément à l'article 12 du RGPD.
13. Mentions Google requises
Bostaji utilise les Google API Services pour se connecter à votre boîte Gmail.
L'usage des données utilisateur reçues via les Google API Services par Bostaji, et la transmission éventuelle de ces données à toute autre application, respecte la Google API Services User Data Policy, y compris les exigences d'usage limité (Limited Use requirements).
Concrètement, et conformément à la Limited Use Policy :
- Les données reçues via les Google APIs sont utilisées uniquement pour fournir et améliorer les fonctions de tri d'emails de Bostaji visibles par l'utilisateur.
- Ces données ne sont jamais transmises à des tiers, sauf (a) si nécessaire pour fournir ou améliorer les fonctions de tri visibles par l'utilisateur, (b) pour des raisons de sécurité, ou (c) pour respecter une obligation légale.
- Ces données ne sont jamais utilisées pour de la publicité, y compris ciblée ou personnalisée.
- Ces données ne sont jamais utilisées pour entraîner des modèles d'intelligence artificielle généralistes.
- Aucun être humain salarié ou prestataire de Black Pearl Retail & Consulting SARL ne lit le contenu de vos emails, sauf (a) avec votre permission explicite, (b) pour des raisons de sécurité, (c) pour respecter une obligation légale, ou (d) si les données sont agrégées et utilisées à des fins internes anonymisées.
Pour Outlook/Microsoft, Bostaji accède à votre messagerie via Microsoft Graph, dans le respect des conditions d'utilisation des API Microsoft et selon le même principe d'usage limité : les données ne servent qu'aux fonctions de tri visibles par vous, jamais à de la publicité ni à l'entraînement de modèles d'intelligence artificielle généralistes. Pour une boîte IMAP, Bostaji se connecte directement à votre fournisseur avec vos identifiants, sans passer par une plateforme d'API tierce.
14. Modifications de cette politique
Cette politique peut évoluer. Quand nous la modifions, nous mettons à jour la date d'entrée en vigueur en haut de page. Pour les changements importants (ajout d'un sous-traitant, modification du périmètre des données traitées, nouvelle finalité), nous vous prévenons par email au moins 30 jours avant l'entrée en vigueur de la nouvelle version.
Les versions précédentes de cette politique restent consultables à des fins de traçabilité juridique, sur demande à bostaji@bostaji.app.
15. Comment nous joindre
Pour toute question relative à cette politique ou à vos données personnelles :
- Email contact général : bostaji@bostaji.app
- Email pour les demandes RGPD (accès, rectification, suppression, portabilité) : bostaji@bostaji.app
- Adresse postale : 8 impasse des capucins, 68730 Blotzheim, France
Pour toute préoccupation sur le respect de vos droits, vous pouvez aussi saisir la CNIL directement, sans nous prévenir.
Politique de confidentialité de Bostaji — version 1.0 — brouillon de travail.
Date d'entrée en vigueur : [À COMPLÉTER au moment de la mise en ligne].
Éditeur : Black Pearl Retail & Consulting SARL — RCS Mulhouse 930 789 862 — 8 impasse des capucins, 68730 Blotzheim, France.