Politique de confidentialité

Tes données, expliquées sans jargon.

Cette page décrit honnêtement ce que Vellume fait des données que tu nous confies. Conforme à la LPD suisse (1er septembre 2023) et au RGPD européen.

Mise à jour le 2026-04-30

Qui est responsable

Vellume est un projet personnel d'un apprenti CFC informaticien suisse. C'est lui qui décide ce qui est collecté et comment c'est traité. Adresse de contact en bas de page.

Quelles données on collecte

Strictement le minimum pour que l'app fonctionne. On ne collecte pas ton IP « pour les statistiques », on ne te tracke pas entre les sessions.

Données de compte

  • Adresse email — pour la connexion et les notifications produit (réinitialisation de mot de passe, etc.).
  • Prénom et nom — pour l'affichage dans l'app et le dossier partageable.
  • Filière CFC choisie (Développement / Exploitation) et année de début — pour adapter ton catalogue de modules.
  • Mot de passe — stocké sous forme de hash bcrypt, jamais en clair. Si tu te connectes via Google, aucun mot de passe n'est stocké.

Contenu que tu créés

  • Documents uploadés (PDF, images, textes) — utilisés pour générer tes flashcards et alimenter le tuteur.
  • Flashcards générées et leur historique de révision FSRS.
  • Notes par module et niveaux de compétences que tu renseignes.
  • Examens planifiés et conversations avec le tuteur.
  • Conversations avec le tuteur IA — gardées 90 jours puis purgées automatiquement.

Données techniques minimales

  • Cookie de session Better-Auth — strictement nécessaire à la connexion. Aucun cookie tiers, aucun analytics.
  • Erreurs runtime via Sentry (opt-in via une variable d'environnement, désactivé par défaut en self-host).

Utilisation de l'IA (Gemini, Claude, OpenAI)

Les flashcards et les réponses du tuteur sont générées en envoyant tes documents à un fournisseur IA (Google Gemini par défaut, ou Claude / OpenAI si tu as fourni ta propre clé via BYOK). Ces fournisseurs ont leurs propres politiques de confidentialité.

Vellume n'utilise pas tes documents pour entraîner ses propres modèles — elle n'en a pas. Les fournisseurs IA, par contrat, ne réutilisent pas non plus le contenu envoyé via leur API pour de l'entraînement (à confirmer dans leur politique respective).

Si tu utilises BYOK (Bring Your Own Key), ta clé API est chiffrée au repos avec AES-256-GCM avant d'être stockée. La clé maître de chiffrement est différente de la base de données : compromettre la base seule ne suffit pas à lire les clés.

Où vivent les données

Tous les sous-traitants utilisés par Vellume :

  • Railway (Suisse / Europe) — base de données MySQL chiffrée, sauvegardes nightly retenues 90 jours.
  • Vercel Blob Storage — fichiers uploadés (PDFs, images), accès via URLs signées.
  • Vercel — hébergement de l'app, edge network européen.
  • Brevo (anciennement Sendinblue, France) — emails transactionnels uniquement (vérification, reset de mot de passe). Aucune newsletter sans opt-in explicite.
  • Sentry — capture des erreurs runtime, hébergement EU si activé. Désactivé par défaut.

Données sensibles (clés BYOK) chiffrées au repos avec AES-256-GCM. Mots de passe hashés avec bcrypt.

Tes droits

La LPD suisse et le RGPD te garantissent les droits suivants. Tous sont implémentés en libre-service dans Vellume — tu n'as pas besoin de nous écrire pour exercer la majorité d'entre eux.

  • AccèsVoir ce qu'on a sur toi : page /account/profile + /account/settings + dossier partageable.
  • PortabilitéTélécharger toutes tes données au format JSON depuis /account/settings → "Exporter mes données".
  • RectificationModifier ton profil (filière, année, etc.) à tout moment dans /account/profile.
  • SuppressionBouton "Supprimer mon compte" dans /account/settings — supprime tout en cascade : compte, documents, flashcards, examens, conversations tuteur, dossier.
  • OppositionTu peux à tout moment refuser un traitement spécifique en nous écrivant. Vellume ne fait pas de marketing direct ni de profilage publicitaire de toute façon.

Combien de temps on garde

Tant que ton compte existe, tes données restent accessibles. Si tu supprimes ton compte, tout est effacé sous 30 jours (le délai correspond à la rétention des sauvegardes de la base de données).

Les conversations avec le tuteur IA sont purgées automatiquement après 90 jours d'inactivité — c'est un compromis entre confort (retrouver une vieille conversation) et minimisation des données.

Cookies et tracking

Vellume utilise un seul cookie : le cookie de session Better-Auth, strictement nécessaire à ta connexion. Pas de bandeau cookies à cliquer parce qu'aucun consentement n'est requis pour un cookie strictement essentiel.

Aucun Google Analytics, aucun pixel Meta, aucun tracker tiers. Si un jour on ajoute de l'analytics, ce sera Umami self-hosted, anonymisé, sans cookies.

Apprentis mineurs

Le CFC commence majoritairement à 15-16 ans. Si tu es mineur, l'utilisation de Vellume nécessite l'accord de tes parents ou de ton représentant légal. En créant un compte, tu déclares avoir cet accord. Aucune donnée n'est partagée avec des tiers à des fins commerciales, indépendamment de l'âge.

Modifications de cette politique

Si on change la politique de confidentialité, la date "Mise à jour le" en haut de cette page change. Pour tout changement substantiel (nouvelle catégorie de données, nouveau sous-traitant), on prévient par email les utilisateurs actifs.

Nous contacter

Pour toute question relative à tes données, écris-nous à contact@vellume.ch.

Voir aussi nos conditions d'utilisation.