Responsable du traitement
Le responsable du traitement des données personnelles collectées sur cooklab.me est :
- Nom : Hugo Doens
- Statut : Personne physique
- Contact : formulaire de contact (catégorie « Question légale / RGPD »).
Données collectées
Cooklab collecte uniquement les données nécessaires à la fourniture du service, selon les catégories suivantes :
Compte et authentification
- Adresse e-mail (identifiant unique, jamais affichée publiquement)
- Mot de passe (stocké sous forme de hash bcrypt — jamais en clair ni accessible)
- Données OAuth (nom, photo de profil) fournies par Google lors d'une connexion tiers
- Nom d'utilisateur public, photo de profil, biographie (facultatifs)
Contenu publié
- Recettes, collections, livres de recettes et carnets créés par l'utilisateur
- Photos associées aux recettes (les métadonnées EXIF sont supprimées à l'upload)
- Commentaires, notes et retours laissés sur les recettes
- Signalements de contenu
Préférences et paramètres
- Paramètres de notification (email ou in-app)
- Thème d'affichage (clair/sombre — stocké localement dans le navigateur)
- Clés API IA personnelles BYOK (chiffrées en base, jamais transmises à des tiers)
- Choix du modèle IA et préférences d'assistant
Données techniques
- Journaux d'accès serveur (adresse IP, user-agent, horodatage) — conservés par Vercel conformément à sa politique de confidentialité
- Jetons de session (cookies Auth.js, voir Mentions légales)
Nous ne collectons pas de données de géolocalisation, de profils publicitaires ni de données comportementales à des fins de ciblage.
Données collectées via le formulaire de contact
Lorsque vous nous écrivez via notre formulaire de contact, nous collectons :
| Donnée | Origine | Finalité | Base légale |
|---|---|---|---|
| Adresse email | Vous | Vous répondre | Consentement (case à cocher) |
| Nom (facultatif) | Vous | Personnaliser la réponse | Consentement |
| Catégorie et message | Vous | Traiter votre demande | Consentement |
| Empreinte IP (sha256 salé) | Technique | Lutte anti-spam | Intérêt légitime |
| User-Agent du navigateur | Technique | Diagnostic technique | Intérêt légitime |
| ID de votre compte (si connecté·e) | Système | Lier votre demande à votre profil | Consentement |
Durée de conservation
- Messages traités (répondus ou archivés) : 1 an glissant après la dernière interaction, puis suppression automatique.
- Messages classés spam : 3 mois (entraînement des filtres) puis suppression.
Vos droits
Vous pouvez à tout moment demander la rectification ou la suppression de vos messages en nous écrivant via le même formulaire, catégorie Question légale / RGPD.
Destinataires
Ces données sont accessibles uniquement aux administrateurs de Cooklab. Sous-traitants : Resend (envoi d'emails — UE/US) et Neon (hébergement DB — UE Frankfurt). Aucun transfert hors-UE en dehors de Resend.
Intelligence artificielle
Cooklab propose deux modes d'utilisation de l'IA :
Mode BYOK (Bring Your Own Key)
Vous fournissez votre propre clé API (Anthropic, OpenAI, Gemini, Groq, DeepSeek, OpenRouter). Votre clé est chiffrée en AES-256-GCM avant stockage et n'est jamais transmise à des tiers autre que le fournisseur correspondant lors de l'exécution de votre requête. Les prompts et réponses transitent directement entre Cooklab et le fournisseur IA choisi.
Mode Premium (clé mutualisée)
En mode Premium, Cooklab utilise ses propres clés API. Vos requêtes transitent par notre infrastructure avant d'être transmises aux fournisseurs IA listés dans le tableau des sous-traitants ci-dessous.
Entraînement des modèles
Cooklab n'utilise jamais vos données pour entraîner des modèles IA, qu'il s'agisse de nos modèles ou de ceux de nos sous-traitants. Les contrats conclus avec nos fournisseurs IA comportent des clauses explicites interdisant l'utilisation de vos données à des fins d'entraînement.
Journaux d'utilisation IA
Les métadonnées d'utilisation (nombre de requêtes, modèle utilisé, horodatage — mais pas le contenu des prompts) sont conservées pendant 13mois à des fins de facturation et de détection d'abus.
Indexation par les moteurs de recherche et assistants IA
Les contenus publiés en mode public sur Cooklab (recettes, livres, carnets) sont accessibles à toute personne disposant de leur URL et peuvent être indexés par des robots tiers à des fins de référencement.
Périmètre d'indexation autorisé
- Moteurs de recherche classiques(Google, Bing, DuckDuckGo, Qwant, etc.) : indexation autorisée sur l'ensemble du site public.
- Assistants IA(GPTBot d'OpenAI, ClaudeBot d'Anthropic, Google-Extended, PerplexityBot) : indexation autorisée uniquement sur les pages de recettes publiques (
/recettes/...), livres (/livres/...) et carnets (/carnets/...). - Profils utilisateurs (
/profile/...), feed, paramètreset toute zone connectée sont exclus de l'indexation par les assistants IA.
Ce que cela implique
Lorsqu'une de vos recettes publiques est indexée, son contenu (titre, description, ingrédients, étapes, photo) ainsi que votre nom d'utilisateur et votre nom affiché peuvent être restitués par ces services dans leurs résultats ou réponses générées. Cooklab ne contrôle pas la manière dont ces tiers utilisent le contenu indexé une fois récupéré, ni leur éventuel usage à des fins d'entraînement de modèles — la politique de chaque fournisseur s'applique alors.
Cooklab ne transmet activementaucune donnée à ces services : ce sont leurs robots qui récupèrent les contenus publiquement accessibles. Aucune donnée personnelle au sens du RGPD (e-mail, clé API, paramètres privés) n'est exposée à ces robots.
Comment retirer un contenu de l'indexation
- Passer une recette en mode privédepuis sa page d'édition — elle disparaît de l'ensemble des indexations au prochain passage des robots.
- Supprimer le contenu ou votre compte — voir Durées de conservation.
Note : les contenus déjà restitués par des assistants IA dans leurs réponses générées avant le retrait ne peuvent pas être révoqués rétroactivement. Cooklab honore les demandes de désindexation mais ne peut garantir leur exécution par des services tiers indépendants.
Transparence
La liste précise des robots autorisés et refusés est publique dans le fichier /robots.txt. Un guide à destination des assistants IA est également mis à disposition dans /llms.txt.
Sous-traitants
Cooklab fait appel aux sous-traitants suivants pour la fourniture du service. Chaque sous-traitant a signé des clauses contractuelles types (CCT) conformes au RGPD ou bénéficie d'un mécanisme de transfert adéquat.
| Sous-traitant | Finalité | Pays | Base légale du transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement applicatif et Edge Network | États-Unis | CCT + Data Privacy Framework |
| Neon Inc. | Base de données PostgreSQL serverless | États-Unis / UE | CCT |
| Vercel Blob Storage | Stockage des médias (photos) | États-Unis | CCT |
| Resend Inc. | Email transactionnel | États-Unis | CCT + DPA |
| Anthropic PBC | LLM Claude (mode Premium) | États-Unis | CCT |
| OpenAI LLC | LLM GPT + génération images | États-Unis | CCT |
| Google LLC | OAuth + Gemini | États-Unis | CCT + Data Privacy Framework |
| Groq Inc. | LLM Llama | États-Unis | CCT |
| DeepSeek | LLM DeepSeek (désactivable) | Hong Kong / Chine | Consentement explicite utilisateur |
| OpenRouter Inc. | Passerelle LLM (génération images optionnelle) | États-Unis | CCT |
Transferts hors Union européenne
La majorité de nos sous-traitants sont établis aux États-Unis. Les transferts vers ces entités s'effectuent sur la base des Clauses Contractuelles Types(CCT) adoptées par la Commission européenne (décision 2021/914), et, lorsqu'ils y participent, du Data Privacy FrameworkUE-États-Unis (décision d'adéquation du 10 juillet 2023).
Cas particulier — DeepSeek :ce fournisseur est établi à Hong Kong et opère avec des serveurs en Chine, pays ne bénéficiant pas de décision d'adéquation. Son utilisation est désactivée par défaut et requiert votre consentement explicite (activation dans les paramètres de votre assistant IA).
Durées de conservation
- Compte actif : données conservées pendant toute la durée du compte.
- Compte inactif : après 3ans d'inactivité, une notification est envoyée avant suppression définitive.
- Journaux e-mail : 12 mois (horodatage et statut de délivrance — pas le contenu).
- Journaux utilisation IA : 13 mois (métadonnées uniquement).
- Nom d'utilisateur après suppression : 30 jours de quarantaine, puis redirections permanentes maintenues pour protéger les anciens liens.
- Suppression du compte : effective immédiatement depuis Paramètres → Compte. Les contenus partagés publiquement sont anonymisés, sauf demande explicite de suppression totale.
Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
- Accès : obtenir une copie de vos données (disponible depuis Paramètres → Mes données).
- Rectification : corriger vos informations depuis votre profil.
- Effacement : supprimer votre compte et vos données depuis Paramètres → Compte.
- Portabilité : exporter vos données au format JSON depuis Paramètres → Mes données.
- Opposition et limitation : nous écrire via notre formulaire de contact.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).
Sécurité
Cooklab met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Transport : toutes les communications sont chiffrées en HTTPS (TLS 1.2+).
- Mots de passe : hashés avec bcrypt (facteur de coût adaptatif).
- Clés API BYOK : chiffrées en AES-256-GCM avant stockage en base de données.
- Sessions : jetons JWT signés, rotation automatique, révocation immédiate à la déconnexion.
- Secrets :aucune clé secrète n'est exposée dans le code source (variables d'environnement Vercel).
- Médias :les métadonnées EXIF (géolocalisation, appareil) sont supprimées à l'upload.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures et vous en informerons sans délai indu.
Mineurs
Cooklab est ouvert aux personnes âgées d'au moins 15 ans, conformément à l'article 8 du RGPD tel qu'adapté par la loi française (loi Informatique et Libertés, art. 7-1).
Si vous êtes parent ou tuteur et constatez que votre enfant a créé un compte sans votre consentement, contactez-nous via notre formulaire de contact pour procéder à la suppression.
Dernière mise à jour : 2026-05-25. Pour toute question, utilisez notre formulaire de contact.