Politique de confidentialité

1. Introduction et champ d'application

socialistic.ai (le « Service ») est exploité par haitai social (« haitai social », « nous », « notre »). La présente Politique de confidentialité s'applique à l'ensemble des données à caractère personnel collectées par le biais du Service accessible à l'adresse https://socialistic.haitai-social.com, y compris l'application web et les API. En utilisant le Service, vous reconnaissez les pratiques décrites ici. Si vous n'acceptez pas ces pratiques, vous devez cesser d'utiliser le Service.

2. Roles

One account can act in two roles depending on the context:

• Consumer You are a consumer when you visit a Skill published by someone else, upload files to it, or start a conversation with it.
• Creator You are a creator when you publish a Skill, configure its API key or hosting mode, or manage it from your Skills page.

The same account can switch between roles at any time. Sections labeled "Creator" or "Consumer" apply only when you act in that role; unlabeled sections apply to both.

3. Architecture du Service

Le Service repose sur une couche web et API Next.js hébergée sur Vercel ; des agents d'exécution de compétences (« agents Goose ») fonctionnant sur des serveurs privés virtuels gérés par haitai social ; ainsi que des services d'authentification, de base de données et de stockage fournis par Supabase. Chaque composant traite les données à caractère personnel uniquement dans la mesure nécessaire à l'exécution de sa fonction, et les communications entre composants sont chiffrées en transit au moyen de HTTPS/TLS.

4. Données que nous collectons

• 4.1 Données de compte et d'authentification. Lorsque vous vous connectez, nous recevons et stockons les informations de profil provenant de la méthode que vous choisissez — actuellement Google, GitHub ou WeChat, ou un lien de connexion par e-mail à usage unique. Selon la méthode, cela peut inclure votre nom d'affichage, votre adresse e-mail, l'image de votre avatar et un identifiant unique attribué par le fournisseur. Nous ne recevons ni ne stockons jamais de mot de passe.
• 4.2 Contenu utilisateur.
  • Créateurs : métadonnées de la Compétence (URL source, titre, description, configuration) et, en modes Own key ou abonnement propre, votre clé API LLM ou vos identifiants d'abonnement. Les créateurs peuvent également choisir le mode hébergé, qui ne nécessite aucune clé — la plateforme effectue les requêtes via l'API publique OpenRouter en leur nom.
  • Consumers: files and links submitted on the cold-start surface, and the messages exchanged in conversation sessions.
• 4.3 Télémétrie et données d'utilisation. Nous collectons des données d'analyse produit par l'intermédiaire de PostHog (pages consultées, interactions avec l'interface, événements de fonctionnalités, durée des sessions, source de référencement) ainsi que des journaux serveur standard (adresse IP, agent utilisateur, horodatages, codes de réponse, URI des requêtes), utilisés uniquement pour l'exploitation, la surveillance et le débogage du Service.
• 4.4 Données de crédits et de transactions. Si vous utilisez les crédits credits, nous stockons le solde de votre portefeuille et un registre en ajout seul des mouvements de crédits — prélèvements liés à l'usage hébergé et dotations promotionnelles — incluant le montant, le motif, la contrepartie et ce qui a autorisé chaque mouvement.

5. Comment nous utilisons vos données

We process your personal data for these purposes:

• Authenticate you and maintain your account.
• Render and distribute the Skill cards you create.
• Provision and manage agent sessions for conversations.
• Transmit your messages to the LLM provider configured for a Skill.
• Operate the credit system and keep an auditable record of credit movements.
• Diagnose errors and maintain stability.
• Comply with legal obligations.

We do not sell, rent, or license personal data. We do not use your messages, uploaded files, or conversation history to train or improve any machine-learning model.

6. Flux de données lors de l'exécution d'une Compétence

When you use a Skill, your input — text, uploaded files, code, and URLs — is sent to the LLM provider configured for that Skill. The call uses either the creator's own API key (Own key mode) or the platform's key (hosted mode).

The provider returns a response. Both your input and the response are stored in our database (Supabase) so the conversation can continue across turns. Uploaded files are stored in Supabase Storage.

We do not inspect, analyze, or mine the content of your conversations or files for any purpose beyond delivering the Service. Each LLM provider's own privacy policy governs how it handles the data it receives.

Data handling by mode

In all modes, your input and the LLM response are stored in the platform database (Supabase). Uploaded files are stored in Supabase Storage. You can see which mode applies when you start a session.

Créateurs : en modes Own key ou abonnement propre, votre clé API est stockée sur la plateforme et transmise à l'environnement d'exécution de l'agent via des connexions chiffrées pour servir les appels LLM. Les conversations des consommateurs acheminées via votre clé sont visibles par votre fournisseur de LLM. Si vous choisissez le mode hébergé, aucune clé n'est nécessaire — la plateforme utilise sa propre clé pour effectuer les requêtes via OpenRouter.

7. Sécurité des clés API LLM

Nous savons qu'une clé API est sensible. Les créateurs peuvent choisir le mode hébergé, qui ne nécessite aucune clé — la plateforme effectue les requêtes LLM via l'API publique OpenRouter en leur nom. Si vous choisissez d'utiliser Own key mode, voici comment votre clé est protégée :

• Votre clé n'est jamais visible par les consommateurs, par les autres créateurs ou par quiconque avec qui vous partagez votre Compétence. Elle n'apparaît jamais dans une page partagée, une URL, une surface de partage ou une conversation. Vous seul, connecté à votre propre compte, pouvez la consulter ou la modifier.
• Votre clé est stockée sur nos serveurs uniquement pour servir les appels LLM de votre Compétence, et n'est transmise que par des connexions chiffrées (HTTPS/TLS) entre le navigateur, nos serveurs et l'environnement d'exécution de l'agent.
• L'accès aux systèmes qui détiennent votre clé est limité au personnel autorisé sur la base du besoin d'en connaître. Vous pouvez modifier, supprimer ou renouveler votre clé à tout moment depuis la configuration de votre compétence ; sa suppression empêche immédiatement la Compétence d'être partageable. Toutes les données en transit entre les clients, nos serveurs et les composants internes sont protégées par TLS.

8. Données de crédits et données financières

Le registre credits est l'enregistrement faisant autorité, en ajout seul, de chaque mouvement de crédits ; le solde de votre portefeuille est une lecture en cache de ce registre. Nous conservons les enregistrements du registre et des transactions aussi longtemps que nécessaire pour fournir le Service, résoudre les litiges et satisfaire aux obligations légales et comptables, ce qui peut s'étendre au-delà de la clôture du compte.

9. Destinataires tiers des données

• 9.1 Fournisseurs d'identité. Google LLC, GitHub, Inc. et/ou Tencent (pour la connexion via WeChat) reçoivent et traitent les données d'authentification lorsque vous choisissez de vous connecter par leur intermédiaire.
• 9.2 Fournisseurs LLM. When a Skill runs, consumer messages and attached content are sent to the third-party LLM provider configured for that Skill — in hosted mode, the platform selects the provider; in creator-provided modes, the creator’s own key or subscription routes the call. We do not control how those providers handle data.
• 9.3 Fournisseurs d'infrastructure et de services. Vercel, Inc. (hébergement et CDN), Supabase, Inc. (base de données, authentification, stockage et envoi des liens de connexion par e-mail) et PostHog, Inc. (analyse produit). Chacun agit en qualité de sous-traitant de données selon nos instructions et conformément à son propre accord de traitement des données.

Nous ne divulguons pas de données à caractère personnel à des annonceurs ou à des courtiers en données, ni à un quelconque tiers à des fins de marketing.

10. Conservation des données

Account data is kept while your account is active. Skill metadata, conversation history, and uploaded files are kept until you delete them or close your account. After that, data is removed from active systems within 30 days. Encrypted backups are purged within 90 days.

Credit ledger and transaction records may be retained longer to meet legal, accounting, and dispute-resolution obligations.

11. Vos droits et choix

Sous réserve du droit applicable, vous pouvez accéder aux données à caractère personnel que nous détenons vous concernant, demander leur rectification ou leur suppression, vous opposer à certains traitements ou les restreindre, et demander une copie portable. Vous pouvez supprimer vos Compétences à tout moment depuis votre page de compétences, et vous pouvez nous contacter pour exercer tout droit ou demander la suppression de votre compte. Nous répondons aux demandes vérifiées dans un délai de trente (30) jours ou dans le délai requis par la loi.

/me/skills · official@tinkerland.app

12. Cookies et suivi

Le Service utilise un ensemble limité de cookies propriétaires strictement nécessaires aux sessions d'authentification, à la préférence linguistique et à l'enregistrement de votre réponse à la question relative à la disposition à payer. PostHog dépose un cookie d'analyse propriétaire pour la déduplication des visiteurs ; vous pouvez le bloquer via les paramètres de votre navigateur sans perdre les fonctionnalités essentielles. Nous n'utilisons pas de cookies publicitaires tiers ni de suivi inter-sites.

13. Protection des données des mineurs

Le Service n'est pas destiné aux personnes âgées de moins de treize (13) ans ou n'ayant pas atteint l'âge du consentement numérique dans leur juridiction, et nous ne collectons pas sciemment de données à caractère personnel auprès de telles personnes. Si nous prenons connaissance de la collecte de telles données, nous les supprimerons rapidement.

14. Signalements d'abus et enquêtes

Si vous signalez un abus, ou si vous faites l'objet d'un signalement, nous traitons les informations contenues dans le signalement — y compris les Compétences, les comptes et les éléments de preuve concernés — afin d'enquêter et de prendre les mesures appropriées. Nous traitons l'identité de l'auteur d'un signalement comme confidentielle et ne la divulguons pas à la partie signalée. Nous conservons les enregistrements d'enquête et d'application aussi longtemps que nécessaire pour préserver la sécurité du Service, traiter les recours et satisfaire aux obligations légales.

15. Legal Basis for Processing

If you are located in the European Economic Area (EEA), the United Kingdom, or another jurisdiction that requires a legal basis, we rely on the following grounds:

• Contract performance. Processing necessary to provide the Service you signed up for — account authentication, Skill rendering and distribution, agent session management, message transmission to the LLM provider, and credit system operation.
• Legitimate interest. Processing necessary for our legitimate business interests, where those interests are not overridden by your rights — product analytics and telemetry, error diagnosis and stability, abuse investigation, and service security.
• Legal obligation. Processing necessary to comply with applicable law — regulatory compliance and retention of financial records.
• Consent. Where we rely on your consent (e.g. the PostHog analytics cookie), you may withdraw it at any time by adjusting your browser settings. Withdrawal does not affect processing carried out before the withdrawal.

16. International Data Transfers

The Service is operated from servers located in the United States. If you access the Service from outside the US, your personal data is transferred to and processed in the US.

For transfers from the EEA, the UK, or Switzerland, we rely on the Standard Contractual Clauses (SCCs) published by the European Commission, supplemented by additional technical and organizational measures where appropriate.

Our principal sub-processors and their locations: Vercel, Inc. (US — hosting and CDN), Supabase, Inc. (US — database, authentication, storage), PostHog, Inc. (US/EU — product analytics). LLM provider locations vary by the Skill's hosting configuration.

17. Jurisdiction-Specific Rights

Depending on where you live, you may have additional rights under local data protection law. This section supplements — but does not replace — section 11.

• 17.1 European Economic Area and United Kingdom. Under the GDPR / UK GDPR you may: access your data, request rectification or erasure, restrict or object to processing, request data portability, and withdraw consent at any time. You also have the right to lodge a complaint with your local supervisory authority. The data controller is haitai social.
• 17.2 California (CCPA / CPRA). California residents may: know what personal information we collect and how it is used, request deletion, and opt out of any sale or sharing. We do not sell personal information. We do not discriminate against you for exercising these rights.
• 17.3 China (PIPL). Under the Personal Information Protection Law you may: know about and decide on the processing of your personal information, restrict or refuse processing, request access, portability, correction, and deletion. Cross-border transfers are based on your informed consent provided at sign-up.

18. Modifications de la présente Politique

Nous pouvons modifier la présente Politique de confidentialité à tout moment. En cas de modification substantielle, nous mettrons à jour la date d'« entrée en vigueur » ci-dessus et, dans la mesure du possible, vous en informerons par le biais du Service. Votre utilisation continue du Service après la publication d'une politique révisée vaut acceptation de celle-ci.

19. Continuité du Service

Le Service est exploité sur une base commercialement raisonnable, au mieux des capacités. Nous ne garantissons pas une disponibilité ininterrompue et pouvons modifier, suspendre ou interrompre toute partie du Service à tout moment, sous réserve de la section 18 relative aux modifications substantielles.

20. Coordonnées

Pour toute question ou demande concernant la présente Politique de confidentialité ou nos pratiques de traitement des données, écrivez-nous à l'adresse ci-dessous.

official@tinkerland.app