La version juridiquement contraignante. Pour le résumé d’une page, voir La confidentialité chez Ostler.
Version courte : Ostler fonctionne sur votre Mac. Votre graphe de connaissances importé – contacts, messages, calendrier, notes, inférences – est stocké chiffré sur votre appareil sous une phrase secrète que vous seul connaissez. Creative Machines n’exploite aucun serveur qui le reçoit ou le détient. Nous ne pouvons pas le lire. L’application effectue toutefois certains appels sortants limités (recherches de données publiques, recherche web si vous la déclenchez, mises à jour des modèles et des logiciels) qui sont décrits honnêtement au §5.
Creative Machines elle-même ne détient que : des identifiants de facturation (si vous vous abonnez), la correspondance d’assistance par e-mail (si vous nous écrivez) et des analyses d’audience de base du site web. C’est la liste complète.
La plupart des politiques de confidentialité sont longues parce que l’entreprise détient une grande quantité de vos données et doit expliquer ce qu’elle fait de l’ensemble. La nôtre est plus courte parce que nous détenons très peu. Ce n’est cependant pas nul, et ce document expose honnêtement ce que nous faisons, ce que nous ne faisons pas et où se situent les limites. Il s’agit de la version juridiquement contraignante ; pour le résumé d’une page, voir La confidentialité chez Ostler.
Creative Machines Limited est une société constituée à Hong Kong (Companies Registry no. 78699170 ; Business Registration no. 78699170). Nous publions Ostler.
Le droit de la protection des données (GDPR, UK GDPR et équivalents) répartit la responsabilité entre les responsables du traitement (qui déterminent les finalités et les moyens du traitement) et les sous-traitants (qui traitent les données pour un responsable du traitement en vertu d’un contrat). L’architecture d’Ostler’s répartit ces rôles sur trois zones, et la chose la plus honnête que nous puissions faire est de vous indiquer où nous nous situons dans chacune.
Lorsque vous installez Ostler et importez vos contacts, votre calendrier, vos messages, vos notes, votre historique de navigation, etc., ces données résident dans des bases de données chiffrées sur votre Mac. Vous décidez de ce qu’il faut importer, conserver, supprimer et avec qui partager des dérivés. Nous n’exploitons aucun serveur qui reçoit votre graphe. Nous n’avons aucun moyen technique de le récupérer, de le déchiffrer, de le consulter ou de l’exporter. Comme nous ne traitons pas ces données pour votre compte, aucun accord de traitement des données au titre du GDPR Article 28 n’est requis pour le graphe local – il n’y a rien que nous puissions traiter. (Remarque : l’application effectue des appels sortants étroits sans rapport avec nous qui peuvent contenir des noms, décrits au §5 ; ceux-ci se font entre vous et le service tiers que vous avez configuré, et ne constituent pas un trafic vers Creative Machines.)
Même si nous ne pouvons pas voir vos données, nous prenons des décisions qui façonnent la manière dont elles sont traitées sur votre appareil : les catégories de données que les importateurs acceptent, le comportement de conservation par défaut, les schémas d’inférence (par exemple, les signaux de chaleur relationnelle et les observations de coaching), le choix du modèle sur l’appareil, et la logique qui extrait des faits de vos fichiers importés. Selon la jurisprudence de la CJUE (Fashion ID C-40/17, Wirtschaftsakademie C-210/16), une entité qui détermine les moyens du traitement peut être responsable conjoint du traitement pour cette couche de conception, même sans accès aux données elles-mêmes. Nous acceptons cette qualification pour la couche de conception et y répondons par la présente politique, par une documentation publiée sur l’architecture et la sécurité, et par les choix que nous vous offrons dans l’application pour désactiver ou reconfigurer ces fonctionnalités.
Répartition des responsabilités au titre du GDPR Art. 26. Lorsque le droit traite cette relation comme une responsabilité conjointe du traitement, nous répartissons les responsabilités comme suit : Creative Machines est responsable de la conception des importateurs, de la logique d’inférence et des paramètres par défaut, ainsi que du présent document de transparence. Vous, l’utilisateur, êtes responsable des sources activées, de ce qui est importé, de la durée de conservation des données et de la manière dont les dérivés sont partagés. Pour les personnes concernées souhaitant exercer leurs droits, l’Art. 26(3) permet d’exercer le droit à l’encontre de l’un ou l’autre des responsables du traitement ; notre point de contact unique pour ces demandes est [email protected], depuis lequel nous orienterons de manière appropriée (vers l’utilisateur, lorsque la demande concerne des données qui n’existent que sur son appareil, sous réserve des mécanismes du §3).
Pour les catégories limitées de données que Creative Machines détient directement – identifiants de facturation, correspondance d’assistance, analyse d’audience du site web – nous sommes le responsable du traitement. La manière dont ces données sont gérées, conservées et protégées est décrite aux §4 et §8.
Ostler imports, processes, and stores personal data entirely on your Mac. The databases run as local container services on your Mac, with all data files written to your home directory under ~/.ostler/ (engine zone) and ~/Documents/Ostler/ (visible zone), and all services bound to 127.0.0.1. None of this data is transmitted to us. Nothing is imported on a fresh install – every source below is opt-in, per-source, with a separate consent prompt.
macOS Full Disk Access est une autorisation sensible. L’accorder permet à toute application de lire les fichiers situés sous les préfixes protégés de votre système, y compris le courrier, les messages, les notes, les photos et les bases de données de navigateur. Ostler ne demande jamais le FDA à l’installation, et ne le demande que si et lorsque vous activez une fonctionnalité spécifique dépendante du FDA. Lorsque vous le faites, nous le demandons via l’invite d’autorisation propre à macOS’s, que vous pouvez révoquer à tout moment dans Réglages Système > Confidentialité & Sécurité > Full Disk Access.
Si vous accordez le FDA, Ostler ne lit que les magasins spécifiques que vous avez activés dans le sélecteur de sources à l’installation (ou ultérieurement dans les Réglages). Chaque source peut être activée ou désactivée indépendamment. La liste complète des sources dérivées du FDA prises en charge par Ostler :
Bookmarks.plist. Traités comme de forts signaux d’intérêt (vous avez délibérément enregistré ces pages)..mbox isolé dans vos Téléchargements / Bureau / Documents à l’installation (ou si vous orientez Ostler vers un tel fichier ultérieurement), et que vous confirmez l’importation, Ostler lit les messages Gmail directement depuis ce fichier. Creative Machines ne se connecte jamais à l’API de Google’s pour cela ; le fichier Takeout est une archive statique que vous avez téléchargée vous-même depuis takeout.google.com. Champs stockés par message : From / To / Subject / Date / étiquettes Gmail / un aperçu du corps (500 premiers caractères). Le corps complet est analysé en mémoire mais seul l’aperçu est conservé, de sorte que la taille sur disque est bornée.La portée du FDA au niveau de macOS est plus large que la plupart des autorisations d’application, parce que macOS lui-même n’offre pas de granularité plus fine par application. Nous compensons par une minimisation au niveau logiciel : adhésion volontaire par source à l’installation (modifiable à tout moment dans les Réglages), limites de plage de dates sur chaque extracteur, exclusion du contenu verrouillé, et suppression par enregistrement dans l’application.
Une note sur Gmail et les autres webmails. Si vous avez ajouté Gmail (ou tout autre compte IMAP/Exchange) à Apple Mail sur votre Mac, Apple gère l’authentification OAuth ou IMAP avec ce fournisseur, et les messages résident dans votre magasin Mail local. Lorsque vous activez Apple Mail dans le sélecteur de sources d’Ostler’s, Ostler lit ce magasin local. Creative Machines ne se connecte pas à Google ni à aucun fournisseur de webmail pour votre compte, n’a pas de client OAuth Google Cloud et n’est sous-traitant d’aucune donnée de webmail. Si vous ne voulez pas qu’Ostler voie les messages Gmail, n’ajoutez pas Gmail à Apple Mail (ou décochez Apple Mail dans le sélecteur de sources).
Tout ce qui précède est stocké dans des bases de données locales (Qdrant pour les vecteurs, Oxigraph pour les données de graphe RDF, Valkey pour le cache) chiffrées au repos avec une phrase secrète que vous seul connaissez. Sans votre phrase secrète, les données sont illisibles – pour vous, pour nous, pour quiconque.
Vos exports RGPD et vos bases de données de contacts contiennent des données personnelles appartenant à d’autres personnes – vos amis, collègues, votre famille, etc. – qui n’ont pas consenti à ce que vous traitiez leurs informations dans Ostler. C’est une véritable question juridique que vous devriez comprendre.
Le GDPR Article 2(2)(c) exempte le traitement “effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique.” Utiliser Ostler pour tenir un carnet d’adresses personnel, vous souvenir de vos relations et organiser votre propre vie peut relever de cette exemption. Il s’agit d’une exemption étroite, et le fait qu’elle couvre votre usage spécifique dépend de ce que vous faites avec le graphe, des personnes avec qui vous partagez des dérivés, et du point de savoir si le traitement dépasse votre propre cercle personnel fermé.
Toutefois, l’exemption est perdue si vous utilisez Ostler pour :
Si vous utilisez Ostler à des fins commerciales ou au-delà de fins strictement personnelles, vous devenez le responsable du traitement au titre du RGPD pour les données personnelles contenues dans votre graphe de connaissances. Il vous appartient d’obtenir une base légale appropriée, de répondre aux demandes d’exercice des droits des personnes concernées et de remplir toutes les autres obligations du responsable du traitement. Creative Machines n’est pas responsable de votre conformité. Un usage commercial à grande échelle peut également exiger que vous réalisiez une analyse d’impact relative à la protection des données (GDPR Art. 35) avant de commencer, parce qu’Ostler traite un large ensemble de catégories de données personnelles, y compris des inférences de type profilage.
La CJUE interprète l’exemption domestique de manière étroite (voir Ryneš C-212/13 et Jehovan todistajat C-25/17). Un traitement qui s’étend au-delà d’un cercle personnel fermé, ou qui couvre des catégories sensibles, ou qui pourrait affecter des tiers de manière substantielle, peut tomber en dehors de l’exemption même lorsque l’utilisateur n’exerce pas d’activité commerciale. Partez du principe que si vous n’écririez pas l’information dans un carnet d’adresses personnel, l’exemption ne couvre probablement pas le fait de la mettre dans Ostler. Notez également que les requêtes sortantes d’Ostler’s vers Wikidata et la recherche web optionnelle (voir §5) transportent des noms hors de votre appareil, ce qui constitue un facteur pour apprécier si le traitement est encore “strictement personnel.”
Un point spécifique sur les importations Mail, iMessage et Photos : ces sources contiennent par nature de la correspondance et des images impliquant d’autres personnes qui n’ont pas consenti à ce que vous importiez ce contenu dans Ostler. Même au sein de l’exemption domestique, vous conservez une obligation de loyauté envers ces tiers en vertu des principes ordinaires du droit civil, et si vous partagez ultérieurement un dérivé de ce contenu (un résumé, un export wiki, une capture d’écran), l’exemption domestique peut ne pas l’accompagner. Utilisez ces importations en gardant cela à l’esprit.
Le modèle sur l’appareil d’Ostler’s crée de nouvelles données personnelles concernant des personnes qui apparaissent dans vos importations : résumés, scores de chaleur relationnelle, actions suggérées, entrées de chronologie, observations de coaching. Au titre du RGPD, ces données déduites sont elles-mêmes des données personnelles concernant ces tiers. Leurs droits (accès, rectification, effacement, opposition) s’y rattachent.
Parce que ces données n’existent que sur votre Mac, nous ne pouvons pas mettre en œuvre ces droits – nous ne pouvons pas voir les données, ne pouvons pas les rechercher et ne pouvons pas les exporter. Vous, en tant que responsable du traitement de votre graphe, êtes la partie qui le peut. Si un tiers contacte Creative Machines au sujet d’inférences détenues à son égard dans une instance Ostler, nous :
Nous offrons également des contrôles destinés aux tiers directement dans le produit. Toute personne dont les données figurent dans un graphe Ostler peut demander à l’utilisateur de (a) afficher toutes les inférences que l’application détient à son sujet, (b) corriger les erreurs, (c) supprimer la génération d’inférences pour cette personne, ou (d) supprimer tous les enregistrements la concernant. Ostler expose chacune de ces actions en un seul clic. Si vous êtes un utilisateur : vous êtes tenu de donner suite aux demandes raisonnables de ce type. Si vous êtes un tiers et que vous ne pouvez pas joindre l’utilisateur, contactez [email protected] et nous vous aiderons dans la mesure où l’architecture le permet.
Ce que “supprimer” signifie réellement dans le code. Lorsque l’utilisateur exécute une demande de type “oublier cette personne”, l’enregistrement de contact de la personne nommée, toutes les inférences la concernant et tous les embeddings mis en cache dérivés de ses données sont supprimés des magasins locaux Qdrant, Oxigraph et Valkey en une seule opération. Il n’y a pas de journal fantôme, pas de cache de réhydratation, et pas d’export d’analyse qui survivrait à cette action. Réimporter des données mentionnant la même personne recréera des inférences à partir de zéro, sauf si l’utilisateur marque séparément la personne comme supprimée.
Cette section décrit chaque catégorie de données personnelles que Creative Machines détient elle-même. Il y en a trois :
Si vous achetez le Hub, nous utilisons Stripe pour traiter le paiement unique de $99. Si vous vous abonnez à Ostler Pro, la facturation est gérée par Apple via l’iOS App Store. Le prestataire de paiement détient votre moyen de paiement, votre adresse de facturation et votre historique de transactions selon ses propres conditions de confidentialité. Nous ne recevons que : un identifiant d’abonnement, le niveau et le statut de paiement. Nous ne voyons pas votre numéro de carte. Nous conservons les enregistrements de facturation pendant 7 ans à compter de la fin de l’exercice fiscal auquel ils se rapportent, conformément aux exigences de la Hong Kong Inland Revenue Ordinance et à la plus longue durée de conservation applicable parmi les juridictions où nous sommes imposés. Les registres d’entreprise requis par le droit des sociétés de Hong Kong sont conservés pendant la durée légale prévue par ce droit.
The Hub on your Mac needs to know whether your Ostler Pro subscription is active so it knows whether to keep ingesting new data. We do this by reading the reçu StoreKit présent sur votre iPhone associé – un blob signé émis par Apple qui atteste que « cet identifiant Apple dispose d’un abonnement Ostler Pro actif ». Le Hub valide le reçu localement et ne conserve que le booléen qui en résulte (actif / expiré) ainsi qu’un identifiant d’abonnement opaque.
Le reçu StoreKit est la seule donnée que nous transmettons à Apple pour valider l’abonnement. Apple ne voit rien de ce que vous avez demandé à votre assistant, du contenu de votre wiki, des personnes présentes dans votre graphe ou de ce que vous avez ingéré. Vos données ne quittent jamais votre appareil. L’aller-retour du reçu est un mécanisme standard de l’App Store d’Apple qu’utilise chaque application payante sur iOS.
Si votre iPhone est injoignable pendant une période prolongée (actuellement 30 jours), le Hub laisse l’ingestion se poursuivre, afin que des vacances sans réseau ne vous pénalisent pas. Après l’expiration de Pro, l’ingestion continue pendant 14 jours supplémentaires (le délai de grâce d’atterrissage en douceur) avant de se mettre en pause.
Si vous nous écrivez à [email protected] ou à [email protected], nous verrons votre adresse e-mail, votre nom (s’il est fourni) et tout ce que vous choisissez d’inclure dans le message. Nous conservons les e-mails d’assistance jusqu’à 2 ans afin de pouvoir répondre aux questions de suivi, puis les supprimons.
Mise en balance de l’intérêt légitime (Art. 6(1)(f)). Finalité : répondre aux questions des utilisateurs, résoudre les tickets récurrents et suivre les tendances révélant des bogues du produit. Nécessité : sans conservation, nous ne pouvons pas traiter les messages de suivi faisant référence à une correspondance antérieure. Mise en balance : les données sont minimales (e-mail, nom le cas échéant, contenu du message choisi par l’utilisateur), l’accès est restreint au personnel d’assistance selon le principe du besoin d’en connaître, le stockage est chiffré en transit et au repos, et le plafond de conservation est de deux ans. Vous pouvez vous opposer à ce traitement à tout moment au titre de l’Art. 21 en écrivant à [email protected] ; nous supprimerons votre historique d’assistance sur demande, sauf si la loi nous oblige à conserver un enregistrement spécifique (par exemple, en cas de réclamation juridique en cours).
Si vous utilisez le bouton Envoyer par e-mail dans Ostler Doctor, un rapport de diagnostic prérempli est préparé localement et s’ouvre dans votre client de messagerie. Rien ne nous est transmis tant que vous ne l’avez pas examiné et n’avez pas cliqué sur Envoyer dans votre propre client de messagerie.
Le rapport Doctor contient uniquement :
Le rapport Doctor ne contient pas :
Le rapport complet s’affiche dans votre client de messagerie avant que vous ne l’envoyiez, afin que vous puissiez vérifier ces limites dans chaque cas.
Le site web marketing (creativemachines.ai/ostler et ostler.ai) et le site de documentation (docs.ostler.ai) utilisent Cloudflare Web Analytics, un service d’analyse sans cookie et respectueux de la vie privée dérivé des journaux de requêtes en périphérie, pour compter les visites et comprendre quelles pages sont lues. Aucun cookie identifiant n’est déposé. Aucun profil de visiteur n’est constitué. Les adresses IP ne sont pas conservées sous une forme permettant de les relier à des visites individuelles.
Nous n’utilisons ni Google Analytics, ni Facebook Pixel, ni aucun traceur publicitaire. Le faire enverrait les habitudes de lecture de chaque visiteur à un tiers – ce qui est précisément la dynamique à laquelle Ostler existe pour vous offrir une alternative. Nous tenons la surface marketing au même standard que celui auquel nous tenons le produit.
Nous mettrons à jour cette section dans les 14 jours suivant tout changement de prestataire.
Le site web marketing ne dépose pas de cookies ni de technologies de suivi similaires à des fins d’analyse, de publicité ou de mesure inter-sites. Lorsque des cookies fonctionnels sont utilisés (par exemple, pour mémoriser un thème de couleur sélectionné), ils sont strictement nécessaires, déposés uniquement à votre action, et ne portent aucun identifiant reliant les sessions ou les sites. Nous n’utilisons pas de technologies publicitaires, de reciblage ou d’empreinte numérique de tiers. Aucune bannière de cookies n’est affichée car aucun cookie nécessitant un consentement n’est déposé ; c’est le résultat recherché au titre de la directive ePrivacy et du PECR, et non une omission.
L’application Ostler elle-même n’utilise aucun cookie. Elle ne communique pas avec nos serveurs ; il n’y a aucune session à maintenir.
Ostler effectue des appels réseau sortants. Il ne diffuse votre graphe de connaissances nulle part, et ne téléverse jamais vos fichiers importés, vos messages ou vos sorties d’inférence vers nous ou vers un tiers. Mais l’application n’est pas isolée du réseau (air-gapped), et nous voulons être précis sur ce qui sort effectivement.
Deux fonctionnalités émettent des requêtes sortantes dont le contenu est dérivé de votre graphe. Nous voulons être directs à ce sujet, parce que les noms des personnes figurant dans vos contacts sont eux-mêmes des données personnelles au titre du GDPR Art. 4(1) (Breyer C-582/14).
Dans les deux cas, la requête ne contient que ce qui est requis pour la recherche, et non votre graphe de connaissances. Ostler ne pousse aucun flux de vos contacts, messages ou inférences où que ce soit. Si vous désactivez l’enrichissement et n’effectuez pas de recherches web, aucune requête dérivée du graphe ne quitte votre appareil.
Vous pouvez isoler Ostler du réseau (air-gap). La machine étant hors ligne, les importations, l’inférence, la recherche sur votre graphe et toutes les fonctionnalités locales continuent de fonctionner. Vous perdez l’enrichissement, la recherche web et les mises à jour, rien d’autre.
Vous disposez de droits au titre du RGPD, de l’UK GDPR, du CCPA, de la PDPO (Hong Kong), de la LGPD (Brésil) et de cadres similaires. Le tableau ci-dessous indique ce que signifie chaque droit pour les données locales (que vous contrôlez directement) et pour la faible quantité de données que nous détenons à votre sujet (facturation, e-mails d’assistance).
| Droit | Données locales (les vôtres) | Données que nous détenons |
|---|---|---|
| Accès (Art. 15) | Exporter depuis ~/.ostler/ à tout moment – SQL complet, JSON, vCard, ICS |
Écrivez à [email protected] – nous répondons dans un délai d’un mois (GDPR Art. 12(3)) |
| Portabilité (Art. 20) | Même export, dans des formats ouverts standard – transférable vers tout autre outil | Les données que nous détenons (identifiants de facturation, e-mail d’assistance) sont minimales ; nous les exporterons sur demande via [email protected] |
| Rectification (Art. 16) | Modifier localement dans l’application | Écrivez-nous pour corriger les enregistrements de facturation ou d’assistance |
| Suppression / effacement (Art. 17) | Exécuter ostler-uninstall |
Écrivez-nous – nous supprimons dans un délai d’un mois (sous réserve de la conservation légale des registres fiscaux) |
| Limitation du traitement (Art. 18) | Cessez d’utiliser l’application ou mettez-la en pause | Annulez votre abonnement |
| Opposition au traitement (Art. 21) | Désactivez toute fonctionnalité ou source d’importation à tout moment ; exécutez ostler-uninstall |
Opposez-vous à notre traitement fondé sur l’intérêt légitime des e-mails d’assistance en écrivant à [email protected] ; nous cesserons sauf si nous pouvons démontrer des motifs légitimes impérieux |
| Retrait du consentement (Art. 7(3)) | Désactivez les fonctionnalités fondées sur le consentement dans les Réglages ; désinstallez | Annulez l’abonnement ; désinscrivez-vous des e-mails produit |
| Réclamation auprès du régulateur | Vous pouvez introduire une réclamation auprès de l’autorité de contrôle de votre pays de résidence ou de votre lieu de travail habituel. Exemples : UK ICO, DPC irlandaise, CNIL française, Hong Kong PCPD, CPPA de Californie ou Attorney General, ANPD brésilienne. Si vous ne savez pas quelle autorité est appropriée, l’une quelconque d’entre elles vous le dira. | |
Base légale pour la faible quantité de données que nous détenons : contrat pour la facturation (GDPR Article 6(1)(b)), intérêt légitime pour la correspondance d’assistance (Article 6(1)(f)), obligation légale pour les registres fiscaux (Article 6(1)(c)).
Creative Machines est établie à Hong Kong. Nous n’avons pas encore désigné de représentant au titre de l’Article 27 dans l’UE ou au Royaume-Uni. Nous considérons qu’un représentant au titre de l’Article 27 n’est pas actuellement requis car nous n’offrons pas de biens ou de services à des personnes concernées dans l’UE/au Royaume-Uni à une échelle, ni ne surveillons leur comportement, d’une manière qui déclenche le test d’extraterritorialité de l’Article 3(2) / UK GDPR pour les données que nous détenons nous-mêmes (facturation, assistance, analyse). Le graphe de connaissances local ne nous parvient jamais et n’est pas traité par Creative Machines, de sorte qu’il ne déclenche pas non plus le test.
Nous reconnaissons que cette analyse peut évoluer à mesure que le produit se développe. Nous désignerons un représentant au titre de l’Article 27 dans l’UE et au Royaume-Uni dans les 90 jours suivant l’acquisition par Ostler d’une base d’utilisateurs significative dans l’UE ou au Royaume-Uni, et en tout état de cause avant le lancement de toute fonctionnalité qui amènerait Creative Machines à traiter sur ses propres serveurs les données personnelles de personnes concernées dans l’UE/au Royaume-Uni. Une fois désigné, les coordonnées du représentant seront publiées dans cette section.
Dans l’intervalle, les résidents de l’UE et du Royaume-Uni peuvent nous joindre à [email protected]. Il s’agit d’un contact direct avec Creative Machines, et non d’un substitut à un représentant au titre de l’Art. 27.
CCPA / CPRA (Californie) : nous ne vendons ni ne partageons de renseignements personnels. Le terme “partager” est employé ici au sens défini par le CPRA, à savoir la publicité comportementale inter-contextes. Les données minimales que nous détenons (identifiants de facturation, e-mails d’assistance, analyse d’audience agrégée du site web) ne sont pas échangées avec des tiers contre une contrepartie monétaire ou autrement valorisable, et ne sont pas divulguées à des fins de publicité comportementale inter-contextes. Les résidents de Californie disposent des droits décrits ci-dessus, du droit de limiter l’utilisation des renseignements personnels sensibles, et du droit à la non-discrimination pour l’exercice de l’un quelconque d’entre eux.
LGPD (Brésil) : les droits ci-dessus s’appliquent. Pour les données locales, vous êtes le responsable du traitement et détenez les droits à votre propre encontre. Pour les données que nous détenons, écrivez à [email protected].
PDPO (Hong Kong) : nous respectons les six principes de protection des données. Comme les données que nous détenons sont restreintes, la plupart des principes sont satisfaits par conception plutôt que par politique, mais nous voulons être explicites sur chacun :
Ostler est destiné à un usage réservé aux adultes. Vous devez avoir au moins 18 ans pour installer et utiliser Ostler. En l’installant, vous confirmez avoir 18 ans ou plus.
Ostler traite des données personnelles appartenant à d’autres personnes – vos contacts, vos interlocuteurs et d’autres personnes dont les informations apparaissent dans vos importations. Le traitement de ces données comporte des responsabilités juridiques qui, selon notre évaluation, requièrent un utilisateur adulte.
L’âge est appliqué par auto-déclaration à l’installation, acceptation des Conditions et (pour les niveaux payants) un moyen de paiement qui exige typiquement que le titulaire du compte ait 18 ans ou plus. Nous ne collectons pas de données d’âge ni de documents d’identité. Nous avons mis cela en balance avec le UK Age Appropriate Design Code (“Children’s Code”) : le Code s’applique aux services susceptibles d’être consultés par des enfants. Comme Ostler est un programme d’installation pour ordinateur de bureau distribué via des canaux destinés aux adultes, commercialisé auprès de professionnels gérant leurs propres relations et carrières, tarifé comme un outil payant et tenu de traiter les jeux de données d’adulte préexistants de l’utilisateur (exports RGPD, historique de paiements de l’App Store, contacts remontant à des années), nous estimons qu’Ostler n’est pas susceptible d’être consulté par des enfants au sens du Code. Nous considérons qu’une vérification d’identité obligatoire constituerait un traitement supplémentaire disproportionné de données sensibles au regard de cette évaluation.
If we become aware that the App is being used by someone under 18, we will terminate the licence. If you are a parent or guardian and believe a minor has installed Ostler, contact [email protected]; because data is stored locally, our direct ability to act is limited to revoking any subscription. Local data can be deleted by running ostler-uninstall, which stops all Hub services and the local database containers and removes the ~/.ostler/ and ~/Documents/Ostler/ directories; instructions are linked from the email acknowledgement we send.
Nous réexaminerons cette évaluation si Ostler livre des fonctionnalités (par exemple, un client mobile, une couche sociale ou un niveau grand public distribué via le réseau) qui modifient le profil de risque. Nous traitons le Children’s Code comme un document vivant, et non comme une case à cocher unique.
Les bases de données locales sont chiffrées au repos avec une phrase secrète dérivée au moyen de PBKDF2 (600,000 iterations) et stockée au moyen de SQLCipher (AES-256). Sans votre phrase secrète, les données sont illisibles pour quiconque, y compris nous. Vous pouvez changer la phrase secrète à tout moment. Une clé de récupération unique est générée lors de la configuration ; nous recommandons de la stocker dans macOS Keychain ou un gestionnaire de mots de passe, car si vous perdez à la fois la phrase secrète et la clé de récupération, vos données sont perdues à jamais. C’est intentionnel – c’est la même raison pour laquelle nous ne pouvons pas lire vos données.
The three local databases (Qdrant, Oxigraph, Valkey) run as local container services bound to 127.0.0.1 and are not exposed to the network. Ostler does not authenticate them because it doesn’t need to – they are only reachable from your own machine.
Les données que nous détenons (facturation via Stripe ou Apple, correspondance d’assistance par e-mail) sont protégées par les contrôles de sécurité habituels de ces prestataires et de notre infrastructure de messagerie. Les e-mails d’assistance sont chiffrés en transit (TLS) et au repos. L’accès est restreint au personnel autorisé.
Nous accueillons favorablement l’examen par des chercheurs en sécurité indépendants. Si vous identifiez une vulnérabilité dans Ostler, veuillez écrire à [email protected] avec les détails ; nous visons à accuser réception dans les 72 heures et travaillerons de bonne foi vers une divulgation coordonnée. Un examen de sécurité indépendant est en cours de cadrage dans le cadre de nos plans de lancement ; nous visons à publier un résumé public une fois achevé. Nos engagements de notification de violation figurent au §10 ; nos sous-traitants au §9.
Ce tableau énumère chaque tiers auquel Creative Machines a recours pour exploiter Ostler, quelles données leur parviennent et sur quelle base. Il énumère également les parties avec lesquelles vous interagissez directement lorsque vous utilisez l’application, qui sont des fournisseurs pour vous plutôt que nos sous-traitants.
Nous distinguons entre :
Nos sous-traitants ne peuvent pas recevoir votre graphe de connaissances parce que nous ne le détenons pas. Le tableau ci-dessous ne couvre que les données de facturation, d’assistance et d’analyse décrites au §4, ainsi que les parties avec lesquelles vous interagissez directement lorsque vous utilisez l’application. Aucun sous-traitant, présent ou futur, ne peut se voir confier des données que Creative Machines ne possède pas.
| Partie | Rôle | Données reçues | Lieu |
|---|---|---|---|
| Stripe, Inc. | Sous-traitant (paiements, facturation directe) | Nom, e-mail, moyen de paiement, adresse de facturation, historique des transactions – gérés par Stripe selon ses propres conditions | USA (GDPR SCCs) |
| Apple Inc. | Sous-traitant (facturation App Store, si l’abonnement est acheté via l’App Store) ; fournisseur pour vous pour la synchronisation iCloud et les services macOS | Comme l’exige l’App Store pour la facturation ; données de synchronisation iCloud gérées par Apple selon ses propres conditions | USA / Irlande |
| Buttondown LLC | Sous-traitant (infrastructure d’inscription à la newsletter et à l’accès anticipé) | Adresse e-mail, nom (si vous en fournissez un), sélection d’étiquette (par exemple, accès anticipé, newsletter), horodatage de la soumission. Utilisés uniquement pour vous transmettre nos mises à jour. Désinscription en un clic dans chaque e-mail. | USA (GDPR SCCs) |
| Cloudflare, Inc. | Sous-traitant (analyse d’audience du site web + hébergement en périphérie pour ostler.ai et docs.ostler.ai) | Nombre de pages vues, géolocalisation approximative (pays uniquement), référent, classe d’appareil. Aucun cookie déposé. Aucun suivi inter-sites. Les adresses IP ne sont pas conservées sous une forme permettant de les relier à des visites individuelles. | USA (GDPR SCCs) |
| Hébergeur de messagerie (sélection du prestataire en cours) | Sous-traitant (infrastructure de messagerie d’assistance pour support@ / privacy@ / security@ / legal@ / [email protected]) | Contenu et métadonnées des e-mails d’assistance – chiffrés en transit, au repos sur les systèmes du prestataire’s | Le prestataire spécifique sera nommé dans ce tableau dans les 14 jours suivant le lancement et une notification de changement de sous-traitant sera envoyée aux abonnés conformément à la clause de préavis de 30 jours ci-dessous |
| Hébergeur web (sélection du prestataire en cours) | Sous-traitant (hébergement de site statique pour ostler.ai et creativemachines.ai) | Journaux de requêtes web standard (y compris l’IP) pendant la durée de conservation standard du cache / CDN | Le prestataire spécifique sera nommé dans ce tableau dans les 14 jours suivant le lancement et une notification de changement de sous-traitant sera envoyée aux abonnés conformément à la clause de préavis de 30 jours ci-dessous |
| Ollama, Hugging Face | Fournisseur pour vous (distribution de modèles d’IA) | Votre adresse IP, nom du modèle demandé. Ils ne reçoivent pas votre graphe. | USA |
| Homebrew | Fournisseur pour vous (distribution de logiciels) | Votre adresse IP, versions de paquets demandées | USA |
| Wikimedia Foundation (Wikidata / Wikipedia) | Fournisseur pour vous (enrichissement de données publiques) | Votre adresse IP, termes de requête (qui peuvent inclure des noms de tiers issus de votre graphe – voir §5) | USA |
| Votre fournisseur de recherche web | Fournisseur pour vous (déclenché uniquement lorsque vous demandez une recherche web) | Votre adresse IP, contenu de la requête de recherche | Selon le fournisseur |
| Fournisseurs d’exports RGPD (LinkedIn, Meta, Google, Apple, etc.) | Fournisseurs de données sources pour vous | Lorsque vous demandez votre export, il voyage directement d’eux vers vous – Ostler ne sert pas d’intermédiaire | Selon le fournisseur |
Nous réexaminons cette liste à chaque mise à jour de la politique. Lorsque nous ajoutons un sous-traitant qui reçoit des données personnelles concernant des utilisateurs que nous avons déjà, nous en informerons les utilisateurs existants au moins 30 jours avant que le nouveau sous-traitant ne commence le traitement, vous laissant ainsi la possibilité de vous opposer ou de résilier. Les ajouts substantiels seront également signalés dans l’application.
Deux des lignes ci-dessus sont marquées “sélection du prestataire en cours” (hébergeur de messagerie et hébergeur web). Nous nommons la catégorie et nous engageons sur un délai de 14 jours à compter du lancement plutôt que de les laisser sous silence, parce que les lignes directrices réglementaires (ICO, EDPB) privilégient la divulgation des catégories de destinataires même lorsque l’entité spécifique reste à sélectionner. Une fois sélectionnée, la ligne sera mise à jour et les utilisateurs existants seront informés conformément à la clause de changement de sous-traitant à 30 jours.
Les données que Creative Machines détient directement sont restreintes (identifiants de facturation, correspondance d’assistance, analyse d’audience du site web), mais nous anticipons néanmoins la possibilité d’un accès non autorisé.
Le GDPR Art. 22 confère aux personnes concernées le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou des effets l’affectant de manière significative de façon similaire.
Ostler ne prend pas de telles décisions. L’application génère des inférences (résumés, scores de chaleur relationnelle, actions suggérées, observations de coaching) et vous les présente. Vous décidez de ce qu’il convient d’en faire, le cas échéant. Nous ne prenons aucune décision vous concernant ou concernant un tiers dans votre graphe ; l’utilisateur reste toujours dans la boucle, et les décisions concernant des tiers relèvent de l’utilisateur lui-même selon l’analyse domestique/responsable du traitement du §3.
Pour Creative Machines elle-même : nous n’appliquons pas de décision automatisée à la facturation, à l’assistance ou à toute autre interaction. Nous ne notons pas les utilisateurs, ne les classons pas et ne les excluons pas des services de manière algorithmique.
Si vous estimez un jour qu’une sortie d’Ostler est traitée comme une décision produisant un effet juridique ou un effet significatif similaire (par exemple, parce qu’un tiers se fonde sur une inférence Ostler pour prendre une décision vous concernant), contactez [email protected]. Vous avez le droit de contester l’inférence, de demander une explication sur la manière dont elle a été produite et de nous demander de supprimer cette inférence à l’avenir.
Une note honnête sur la rectification des inférences d’IA. Si vous demandez à Ostler de corriger une inférence (par exemple, “la chronologie indique que j’ai travaillé chez Company X de 2018 à 2020, c’est faux”), l’inférence peut être supprimée ou remplacée dans le graphe local immédiatement. Nous ne pouvons pas réentraîner le modèle de langage sur l’appareil pour “désapprendre” le fait source qui a produit l’inférence, mais nous pouvons faire en sorte que ce fait ne soit plus présenté comme une inférence. Il en va de même pour les inférences concernant des tiers.
L’Article 25 exige des responsables du traitement qu’ils mettent en œuvre des mesures techniques et organisationnelles appropriées conçues pour intégrer les principes de protection des données dans le traitement, et pour garantir que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique soient traitées.
Par défaut. Une nouvelle installation d’Ostler n’importe rien. Chaque source de données – contacts, calendrier, messages, historique de navigation, courrier – repose sur une adhésion volontaire et est désactivée jusqu’à ce que vous l’activiez explicitement. L’enrichissement (requêtes sortantes vers Wikidata) est désactivé par défaut. La recherche web n’est déclenchée que lorsque vous le demandez. La capture de conversation est désactivée par défaut. Aucune télémétrie d’aucune sorte n’est présente.
Mesures techniques. Bases de données locales chiffrées au repos (PBKDF2 600,000 iterations, SQLCipher AES-256), liées à 127.0.0.1 sans écouteur externe, matériel de clé détenu uniquement par l’utilisateur, étayé par une clé de récupération facultative détenue uniquement par l’utilisateur. Aucun serveur de Creative Machines ne reçoit les données de graphe de l’utilisateur. Voir la page sur l’architecture de sécurité pour le modèle de menace complet.
Mesures organisationnelles. Conception axée sur l’architecture où la confidentialité est appliquée par le code et non par la politique. Documentation de sécurité publiée. Audit indépendant prévu (voir §8). Règles d’ingénierie codées en dur contre : la télémétrie, les rapporteurs de plantage incluant des données utilisateur, l’analyse du comportement des utilisateurs, tout serveur recevant des données de graphe. Réexamen régulier de la présente politique et de la liste des sous-traitants.
Creative Machines est constituée à Hong Kong. Hong Kong n’a pas fait l’objet d’une décision d’adéquation de l’UE au titre du GDPR Art. 45, et n’est pas reconnue comme une juridiction adéquate dans le cadre du dispositif d’adéquation du Royaume-Uni. Les transferts de données personnelles vers Creative Machines depuis l’UE ou le Royaume-Uni requièrent donc un mécanisme de transfert spécifique. Pour les catégories limitées de données qui nous parviennent depuis l’UE ou le Royaume-Uni, les bases de transfert sont les suivantes :
Nous réexaminerons ces bases de transfert à chaque fois que l’analyse du représentant au titre de l’Art. 27 au §6 sera reprise, et mettrons en œuvre des SCC directement avec les utilisateurs de l’UE si le produit évolue de manière à les requérir.
Creative Machines est constituée à Hong Kong. Nous sommes soumis au droit de Hong Kong, y compris à la Personal Data (Privacy) Ordinance (PDPO) et à toute ordonnance judiciaire applicable. Nous comprenons que notre constitution soulève des questions pour certains utilisateurs ; nous nous efforçons d’y répondre honnêtement ici plutôt que de les laisser sans réponse.
Quelles demandes gouvernementales pourraient nous parvenir. Seulement les données que nous détenons : identifiants de facturation, correspondance d’assistance par e-mail, analyse d’audience de base du site web. Nous ne détenons pas votre graphe de connaissances, vos messages, vos contacts, votre calendrier, ni aucune donnée que vous avez importée dans Ostler. Aucune demande – émanant de quelque gouvernement que ce soit – ne peut nous contraindre à produire des données que nous ne possédons pas et auxquelles nous ne pouvons pas accéder.
Nos engagements.
Ce que le droit de Hong Kong autorise spécifiquement et n’autorise pas. En vertu de la PDPO et du droit de procédure pénale applicable, Creative Machines est tenue d’assister les forces de l’ordre sur production d’une ordonnance judiciaire ou d’un mandat, et uniquement pour les données que nous détenons effectivement. Nous ne sommes pas soumis aux US National Security Letters, aux ordonnances FISA, ni à des ordonnances de production non judiciaires similaires qui lient les entreprises constituées aux États-Unis. Nous ne sommes pas soumis à l’EU Law Enforcement Directive ni aux avis d’exigence de capacité technique de l’UK Investigatory Powers Act qui lient les télécommunications du Royaume-Uni. Les pouvoirs de production prévus par l’Article 43 de la Hong Kong National Security Law’s requièrent un mandat délivré par un magistrat ; nous exigerons de voir ce mandat avant toute production. Nous divulguerons publiquement tout changement de cette analyse lors de la prochaine mise à jour de la politique.
Défense architecturale. La protection la plus forte contre une divulgation contrainte n’est pas la politique mais l’architecture. Ostler est conçu de telle sorte que nous ne pouvons pas produire votre graphe de connaissances même sous la contrainte, parce que nous ne l’avons pas et ne pouvons pas le déchiffrer. Il s’agit d’un choix de conception délibéré, précisément pour cette raison.
Nous pouvons mettre à jour la présente politique occasionnellement pour refléter des changements dans le produit, dans le droit ou dans les juridictions où nous opérons. Les modifications substantielles seront annoncées dans l’application et sur le site web au moins 30 jours avant leur entrée en vigueur. La date “Dernière mise à jour” en haut de cette page reflète la version actuelle.
Nous conservons les versions antérieures de la présente politique accessibles pendant au moins 24 mois, afin que vous puissiez vérifier ce que disait la politique lorsque vous avez installé Ostler ou lorsqu’un événement particulier s’est produit. Les versions archivées sont liées depuis cette section dans la politique en ligne.
Questions sur la présente politique, ou demandes d’exercice de l’un quelconque des droits décrits ci-dessus :
Creative Machines Limited
Incorporated in Hong Kong
HK Companies Registry no. 78699170
Délégué à la protection des données. Creative Machines n’a pas désigné de délégué formel à la protection des données. Notre traitement n’atteint pas les seuils de l’Article 37 GDPR (nous ne sommes pas une autorité publique, nous n’effectuons pas de surveillance systématique à grande échelle, et nous ne traitons pas de catégories particulières à grande échelle sur nos propres serveurs). Les questions de confidentialité chez Creative Machines sont gérées par une personne responsable désignée au sein de l’entreprise, dont l’adresse de contact est [email protected]. Nous réévaluerons la désignation d’un DPD si notre traitement évolue de manière à franchir les seuils de l’Art. 37.
Local · Vérifiable · À vous