Privacy Policy / Politique de confidentialité
Last updated / Dernière mise à jour 2026-05-15
English
This policy explains what data Ripe collects, where it lives, and what your rights are. The team behind Ripe is based in Israel and we operate under GDPR and CCPA across all customers.
1. Data we collect
Account info: email address, full name, plan, and the encrypted Fireberry API token you provide at connection time.
Usage data: conversation contents (messages you send + Ripe’s replies), tool-call metadata (which Fireberry endpoints we hit, durations, error states), and aggregated analytics (turn counts, token usage per plan).
Tenant context: at connection time we discover and cache your Fireberry schema (object types, picklists, custom fields). This is metadata about your CRM structure, NOT the contents of individual records.
We do NOT store the contents of CRM records pulled via queries beyond a short read cache (60 seconds, KV).
2. How we use it
To make Ripe work: we send your messages and Fireberry data excerpts to LLM providers (Anthropic and optionally z.ai) so they can produce responses. Providers act as data processors; they do not train on the data.
To improve quality: aggregated, anonymised metrics (error rates, latency percentiles, popular features) inform engineering priorities. We never inspect individual conversations except to debug a support ticket you opened.
For billing: Stripe processes your payment data directly; we receive only the customer id and subscription state.
3. Where it lives
Database: Supabase Postgres, project ripe-prod, region eu-central-1 (Frankfurt, Germany).
Edge compute: Cloudflare Workers, distributed globally; data in flight is encrypted with TLS.
Object storage: Cloudflare R2, EU region, for generated documents (PDF/Excel quotes you ask Ripe to produce).
LLM providers: Anthropic (US/EU regions) and z.ai (when economical mode is on).
4. Retention
Conversations: kept for the lifetime of your account. You can delete individual conversations or your entire account from the Ripe settings; deletion is immediate and cascades.
Fireberry token: encrypted at rest using AES-256-GCM with a server-side master key. Deleted when you disconnect or close your account.
Audit logs: kept for 12 months (compliance + security).
Backups: full Postgres snapshots are kept for 7 days, then permanently rotated out.
5. Sharing
We do not sell data, ever. We share data only with: (a) sub-processors listed in section 7, strictly for service delivery; (b) law enforcement when legally compelled.
Within your organisation, Ripe data is per-user and not shared between teammates unless you explicitly enable team features (not yet available).
6. Your rights (GDPR / CCPA)
You can: access your data, export it as JSON, correct inaccuracies, delete your account, withdraw consent, port your data, and lodge a complaint with a supervisory authority (in France: CNIL).
To exercise any of these, email privacy@ripe.app. We respond within 14 days.
7. Sub-processors
Anthropic (LLM provider) · z.ai (alternate LLM provider) · Cloudflare (compute + storage) · Supabase (database + auth) · Resend (transactional email) · Stripe (payment processing) · Sentry (error tracking, conversation contents redacted).
We will notify account holders by email at least 14 days before adding a material new sub-processor.
8. Security
All data in transit is encrypted with TLS 1.2+. Fireberry tokens are encrypted at rest with AES-256-GCM. Database access uses row-level security (RLS) so a user can only ever read their own rows.
No security model is perfect. Report vulnerabilities to security@ripe.app — we have a responsible disclosure policy.
9. Children
Ripe is a B2B product. We do not knowingly collect data from anyone under 16. If we learn we have, we delete it.
10. Chrome extension specifics
The Ripe Chrome extension (manifest v3) uses chrome.storage to persist locally only: the session token of the authenticated Ripe user, UI preferences (HE/EN language, selected agent, side panel size), and recent conversation history. No raw Fireberry record content is stored in the browser.
The extension declares three runtime permissions: storage (local persistence as above), sidePanel (the extension UI is a Chrome side panel that opens next to the active Fireberry tab), and activeTab (reads the URL and current record id only when the user explicitly invokes Ripe on a Fireberry tab — never passively).
Declared host permissions: https://*.fireberry.com/* (read CRM context, inject minimal auth overlay), https://ripe-api.rubenlellouche3.workers.dev/* (the Ripe backend, a Cloudflare Worker proxy), https://*.supabase.co/* (user auth and configuration), https://kroki.io/* (server-side rendering of Mermaid diagrams when the agent produces one — no sensitive customer data is sent).
The extension does not execute any remote code. All JavaScript is bundled at build time. No eval, no dynamic <script> injection, no runtime imports from URLs.
Français
Cette politique explique quelles données Ripe collecte, où elles résident, et quels sont vos droits. L’équipe qui maintient Ripe est basée en Israël et nous opérons sous le RGPD et le CCPA pour l’ensemble de nos clients.
1. Données que nous collectons
Informations de compte : adresse e-mail, nom complet, formule d’abonnement, et le jeton API Fireberry chiffré que vous fournissez lors de la connexion.
Données d’usage : contenu des conversations (vos messages + les réponses de Ripe), métadonnées d’appels d’outils (quels endpoints Fireberry sont appelés, durées, états d’erreur), et analyses agrégées (nombre de tours, consommation de tokens par formule).
Contexte tenant : à la connexion, nous découvrons et mettons en cache le schéma de votre Fireberry (types d’objets, picklists, champs personnalisés). Il s’agit de métadonnées sur la structure de votre CRM, et NON du contenu des enregistrements.
Nous ne stockons PAS le contenu des enregistrements CRM récupérés par requêtes au-delà d’un cache de lecture court (60 secondes, KV).
2. Comment nous l’utilisons
Pour faire fonctionner Ripe : nous envoyons vos messages et des extraits de données Fireberry aux fournisseurs de LLM (Anthropic et optionnellement z.ai) afin qu’ils produisent des réponses. Les fournisseurs agissent comme sous-traitants ; ils n’entraînent pas leurs modèles sur vos données.
Pour améliorer la qualité : des métriques agrégées et anonymisées (taux d’erreur, percentiles de latence, fonctionnalités les plus utilisées) orientent nos priorités d’ingénierie. Nous n’inspectons jamais les conversations individuelles, sauf pour résoudre un ticket de support que vous avez ouvert.
Pour la facturation : Stripe traite directement vos données de paiement ; nous ne recevons que l’identifiant client et l’état de l’abonnement.
3. Où elles résident
Base de données : Supabase Postgres, projet ripe-prod, région eu-central-1 (Francfort, Allemagne).
Edge compute : Cloudflare Workers, distribué globalement ; les données en transit sont chiffrées en TLS.
Stockage objet : Cloudflare R2, région UE, pour les documents générés (devis PDF/Excel produits par Ripe à votre demande).
Fournisseurs LLM : Anthropic (régions US/UE) et z.ai (lorsque le mode économique est activé).
4. Conservation
Conversations : conservées pendant toute la durée de vie de votre compte. Vous pouvez supprimer des conversations individuelles ou l’intégralité de votre compte depuis les paramètres Ripe ; la suppression est immédiate et en cascade.
Jeton Fireberry : chiffré au repos avec AES-256-GCM et une clé maître côté serveur. Supprimé dès que vous vous déconnectez ou fermez votre compte.
Journaux d’audit : conservés 12 mois (conformité + sécurité).
Sauvegardes : snapshots complets Postgres conservés 7 jours, puis rotés définitivement.
5. Partage
Nous ne vendons jamais aucune donnée. Nous ne partageons des données qu’avec : (a) les sous-traitants listés en section 7, strictement pour la fourniture du service ; (b) les autorités légales lorsque nous y sommes légalement contraints.
Au sein de votre organisation, les données Ripe sont par utilisateur et ne sont pas partagées entre collègues, sauf si vous activez explicitement les fonctionnalités d’équipe (pas encore disponibles).
6. Vos droits (RGPD / CCPA)
Vous pouvez : accéder à vos données, les exporter au format JSON, corriger des inexactitudes, supprimer votre compte, retirer votre consentement, porter vos données, et déposer une plainte auprès d’une autorité de contrôle (en France : la CNIL).
Pour exercer l’un de ces droits, écrivez à privacy@ripe.app. Nous répondons sous 14 jours.
7. Sous-traitants
Anthropic (fournisseur LLM) · z.ai (fournisseur LLM alternatif) · Cloudflare (compute + stockage) · Supabase (base de données + auth) · Resend (e-mails transactionnels) · Stripe (traitement des paiements) · Sentry (suivi d’erreurs, contenu des conversations expurgé).
Nous notifierons les titulaires de compte par e-mail au moins 14 jours avant l’ajout d’un nouveau sous-traitant significatif.
8. Sécurité
Toutes les données en transit sont chiffrées en TLS 1.2 ou supérieur. Les jetons Fireberry sont chiffrés au repos en AES-256-GCM. L’accès à la base de données utilise la sécurité au niveau ligne (RLS) afin qu’un utilisateur ne puisse lire que ses propres lignes.
Aucun modèle de sécurité n’est parfait. Signalez les vulnérabilités à security@ripe.app — nous appliquons une politique de divulgation responsable.
9. Mineurs
Ripe est un produit B2B. Nous ne collectons pas sciemment de données auprès de personnes de moins de 16 ans. Si nous apprenons l’avoir fait, nous les supprimons.
10. Spécificités de l’extension Chrome
L’extension Chrome Ripe (manifest v3) utilise chrome.storage pour stocker localement uniquement : le jeton de session de l’utilisateur Ripe authentifié, les préférences UI (langue HE/EN, agent sélectionné, taille du panneau), et l’historique de conversation récent. Aucun contenu brut d’enregistrement Fireberry n’est stocké dans le navigateur.
L’extension déclare trois permissions d’exécution : storage (persistance locale ci-dessus), sidePanel (l’UI de l’extension est un panneau latéral Chrome qui s’ouvre à côté de l’onglet Fireberry actif), et activeTab (lit l’URL et l’identifiant de la fiche en cours uniquement lorsque l’utilisateur invoque explicitement Ripe sur un onglet Fireberry — jamais passivement).
Permissions d’hôtes déclarées : https://*.fireberry.com/* (lecture du contexte CRM, overlay d’authentification minimal), https://ripe-api.rubenlellouche3.workers.dev/* (le backend Ripe, un proxy Cloudflare Worker), https://*.supabase.co/* (authentification et configuration utilisateur), https://kroki.io/* (rendu côté serveur de diagrammes Mermaid lorsque l’agent en produit — aucune donnée client sensible n’est transmise).
L’extension n’exécute aucun code distant. Tout le JavaScript est inclus dans le bundle à la compilation. Pas d’eval, pas d’injection dynamique de <script>, pas d’import dynamique depuis une URL.