Cette politique de confidentialité décrit comment Online Presence Builder SRL (« RespirAIA », « nous ») traite les données personnelles dans l'application mobile RespirAIA, sur le site marketing respiraiapp.com et dans les services associés.
Nous traitons tes données de manière licite, transparente, et uniquement dans la mesure nécessaire pour fournir et améliorer RespirAIA. Nous sommes basés en Roumanie, mais nous servons des utilisateurs partout dans le monde.
1. Qui nous sommes
Responsable du traitement / vendeur enregistré :
| Dénomination sociale | Online Presence Builder SRL |
| Siège social | Bd. Siderurgiștilor 15, Bl. SD10B, parter, Galați, România |
| Code fiscal roumain (CUI/CIF) | 35799807 |
| Numéro de TVA UE | RO45030362 (opérations intracommunautaires uniquement) |
| Registre du commerce | J17/450/2016 · J2016000450170 |
| Administrateur unique | Gabriel Ursan |
| Contact public | [email protected] |
Contact pour la protection des données : Gabriel Ursan, joignable à [email protected].
2. Ce que nous collectons
Ce que tu fournis
- Informations de compte (e-mail, prénom optionnel, mot de passe — haché via Clerk)
- Profil (langue, fuseau horaire, date de naissance pour la vérification d'âge)
- Profil tabac (consommation quotidienne, années d'usage, coût par paquet, score FTND)
- Raisons et déclencheurs
- Tentatives, événements d'impulsion, entrées de journal
- Conversations avec le compagnon IA
Générées automatiquement
- Résumés et embeddings du compagnon IA (pour conserver le contexte de tes échanges)
- Métadonnées d'événements de crise — le fait qu'un message ait été signalé et la couche qui l'a signalé. Nous ne stockons pas le texte du message.
- État de l'abonnement depuis RevenueCat (Apple IAP + Google Play)
- Statistiques d'usage de l'application (uniquement avec ton consentement — Amplitude UE)
- Journaux de plantage (Sentry)
- Journaux d'audit (horodatages d'actions avec IP hachée et user agent)
Ce que nous ne collectons pas
- Données de niveau dossier médical (tension, résultats d'analyses, etc.)
- Facebook, Google Analytics, TikTok, ni aucun SDK de traçage publicitaire
- Nous ne vendons pas tes données, jamais.
3. Pourquoi nous traitons ces données (base légale)
| Fournir le service principal | Contrat (RGPD art. 6(1)(b)) |
| Traiter les données liées à la santé (profil tabac, journal, compagnon) | Consentement explicite (art. 9(2)(a)) |
| Détecter et répondre à une crise de santé mentale | Intérêts vitaux (art. 9(2)(c)) + ton consentement |
| Facturer le Premium | Contrat |
| Envoyer des e-mails transactionnels | Contrat |
| Envoyer des e-mails marketing | Consentement — opt-in, désinscription à tout moment |
| Détecter la fraude et les abus | Intérêt légitime (art. 6(1)(f)) |
| Respecter la loi (fiscalité, demandes ANSPDCP) | Obligation légale |
4. Sous-traitants
Nous utilisons des services tiers pour faire fonctionner RespirAIA. Chacun a signé un accord de traitement des données et ne traite ces données que sur nos instructions.
| Sous-traitant | Finalité | Région |
|---|---|---|
| Render | Calcul, service web, cron, journaux | UE (Francfort) |
| Cloudflare R2 | Stockage objet, sauvegardes, exports RGPD | Juridiction UE |
| Clerk | Authentification | Configuré UE |
| Anthropic | Compagnon IA + classifieur (Claude Sonnet + Haiku) | Endpoint UE |
| RevenueCat | Unification Apple IAP + Play Store IAP | États-Unis (CCT) |
| Brevo | E-mails transactionnels et marketing | UE |
| Amplitude EU | Statistiques produit (sous consentement) | UE (Francfort) |
| Sentry | Suivi des erreurs | Région UE (de.sentry.io) |
| Cloudflare Web Analytics | Statistiques du site marketing — sans cookies | Edge mondial |
Pour les sous-traitants enregistrés aux États-Unis, nous nous appuyons sur les Clauses contractuelles types (CCT) prévues au chapitre V du RGPD. Nous ne vendons ni ne partageons tes données personnelles avec des annonceurs, des courtiers en données ou des réseaux marketing.
5. Combien de temps nous conservons les données
| Informations de compte, profil tabac, journal, conversations avec le compagnon | Jusqu'à la suppression de ton compte |
| Métadonnées d'événements de crise | 24 mois, puis anonymisées |
| Journaux d'audit | 12 mois |
| Sauvegardes | 90 jours, glissants |
| Factures fiscales | 10 ans (loi fiscale roumaine) |
| Opt-in marketing par e-mail | Jusqu'à ta désinscription |
6. Tes droits (RGPD + UK GDPR)
- Accéder aux données personnelles que nous détenons (art. 15)
- Rectifier les données inexactes (art. 16)
- Supprimer tes données (art. 17)
- Limiter le traitement (art. 18)
- Recevoir tes données dans un format portable (art. 20)
- T'opposer à un traitement fondé sur l'intérêt légitime (art. 21)
- Retirer ton consentement à tout moment (art. 7(3))
- Déposer une plainte auprès de ton autorité de contrôle — pour la Roumanie, l'ANSPDCP à dataprotection.ro
La plupart de ces droits s'exercent directement dans l'application (Réglages → Confidentialité). Tu peux aussi écrire à [email protected]. Nous répondons sous 30 jours, en général plus vite.
7. Mineurs
RespirAIA s'adresse aux adultes de 18 ans et plus. Nous ne collectons pas sciemment de données concernant les personnes de moins de 18 ans. Si tu apprends qu'un mineur s'est inscrit, écris à [email protected] et nous supprimerons le compte.
8. Cookies
Le site marketing utilise Cloudflare Web Analytics — un service de statistiques sans cookies, respectueux de la vie privée. Nous ne posons pas de cookies marketing ni de cookies tiers sur ce site. L'application mobile n'utilise aucun cookie. Consulte notre Politique relative aux cookies pour la liste complète des technologies essentielles utilisées.
9. Sécurité
Nous suivons les bonnes pratiques du secteur : TLS 1.3 en transit, chiffrement au repos (AES-256-GCM avec chiffrement enveloppe pour les contenus sensibles), accès au moindre privilège, journalisation d'audit, secrets dans 1Password, accès aux médias par URL signée, revues de sécurité trimestrielles.
En cas de violation de données personnelles, nous notifierons l'ANSPDCP roumaine sous 72 heures lorsque cela est requis, et nous informerons les personnes concernées si la violation présente un risque élevé pour leurs droits.
10. Transferts internationaux
Lorsque des données quittent l'EEE, nous utilisons les Clauses contractuelles types (Module 2, responsable vers sous-traitant) et exigeons du destinataire un niveau de protection équivalent au RGPD.
11. Modifications de cette politique
Nous mettons cette politique à jour quand notre traitement évolue. Les changements importants sont notifiés par e-mail et via une bannière intégrée à l'application ; la date de « Dernière mise à jour » reflète toujours la version la plus récente.
12. Contact
Questions liées à la confidentialité : [email protected].