Politique de confidentialité
La présente politique décrit la manière dont Calmauria (ci-après « Calmauria », « nous ») traite les données personnelles des utilisateurs du site calmauria.com et du service associé (le « Service »), conformément au Règlement (UE) 2016/679 (« RGPD ») et au décret législatif italien 196/2003, tel que modifié par le décret législatif 101/2018.
Calmauria est un service de soutien émotionnel et de bien-être fondé sur l'intelligence artificielle. Ce n'est pas un service de santé : il ne fournit ni diagnostics, ni thérapie, ni traitement, et il ne remplace pas l'avis d'un médecin ou d'un psychologue.
1. Responsable du traitement
Le responsable du traitement est CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria, dont le siège social est situé à Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia. Pour toute demande concernant tes données, tu peux nous écrire à [email protected].
2. Catégories de données que nous traitons
- Données de compte : adresse e-mail, nom (facultatif), mot de passe (conservé exclusivement sous forme de hachage cryptographique), confirmation de la majorité.
- Données de session : thème choisi, brève description initiale, mode (audio/téléphone), voix sélectionnée, durée et horaire des sessions.
- Contenu des conversations : ce que tu dis pendant tes sessions avec Auria et les réponses correspondantes. Ce contenu peut révéler des données de catégories particulières au sens de l'article 9 du RGPD (notamment des données relatives à la santé et au bien-être psychologique).
- Données de paiement : gérées directement par Stripe. Nous ne traitons ni ne conservons les numéros de carte ; nous recevons uniquement les identifiants de transaction, le montant, le statut du paiement et l'e-mail de facturation.
- Données techniques : adresse IP, type d'appareil et de navigateur, journaux techniques et de sécurité nécessaires au fonctionnement et à la protection du Service.
3. Finalités et bases juridiques
- Fourniture du Service (compte, sessions, paiements) : la base juridique est l'exécution du contrat (art. 6, par. 1, point b) du RGPD).
- Traitement du contenu des conversations et mémoire entre les sessions (données de catégories particulières) : la base juridique est ton consentement explicite (art. 9, par. 2, point a) du RGPD), que tu peux retirer à tout moment.
- Sécurité, prévention des abus et gestion des situations de crise : intérêt légitime (art. 6, par. 1, point f)) et, le cas échéant, sauvegarde des intérêts vitaux (art. 9, par. 2, point c)).
- Obligations fiscales et comptables liées aux paiements : obligation légale (art. 6, par. 1, point c)).
- Communications de service (par ex. confirmations, avis de sécurité) : exécution du contrat et intérêt légitime.
4. Mémoire entre les sessions
Uniquement si tu donnes un consentement spécifique et facultatif, Auria conserve un résumé chiffré de tes conversations afin que tu puisses reprendre là où tu t'étais arrêté lors des sessions suivantes. Tu peux retirer ce consentement à tout moment depuis ton espace personnel ou en nous écrivant : à partir de ce moment, la mémoire ne sera plus utilisée et les résumés seront supprimés.
5. Comment nous protégeons tes données
Les contenus sensibles (transcriptions et résumés des sessions) sont chiffrés au niveau applicatif à l'aide de l'algorithme AES-256-GCM ; les clés de chiffrement sont gérées séparément de la base de données. Les mots de passe sont protégés par des fonctions de dérivation de clé (scrypt). Nous adoptons des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité.
6. Prestataires et sous-traitants
Pour fournir le Service, nous faisons appel à des prestataires agissant en qualité de sous-traitants, chacun encadré par des garanties contractuelles appropriées :
- Stripe — paiements ;
- Neon — base de données ;
- LiveKit — transmission audio/vidéo en temps réel ;
- Anam — avatar vidéo (fonctionnalité actuellement inactive) ;
- Cartesia — synthèse vocale ;
- Deepgram — transcription vocale ;
- Anthropic — le modèle d'intelligence artificielle qui génère les réponses.
Certains prestataires peuvent traiter des données en dehors de l'Espace économique européen. Dans ce cas, les transferts ont lieu sur la base de garanties appropriées au sens des articles 44 et suivants du RGPD (en particulier les clauses contractuelles types). Lorsque cela est techniquement possible, nous privilégions les prestataires offrant un hébergement des données dans l'UE et des engagements contractuels de ne pas entraîner leurs modèles sur tes contenus.
7. Décisions automatisées
Le Service utilise l'intelligence artificielle pour générer les réponses et, en parallèle, un classificateur de sécurité automatisé qui analyse chaque échange afin de détecter des signaux de risque (par ex. pensées suicidaires, danger pour toi-même ou pour autrui). Ce traitement ne produit pas d'effets juridiques te concernant : sa seule finalité est ta sécurité. Nous n'effectuons aucun profilage à des fins de marketing.
8. Durée de conservation des données
- Données de compte : pendant la durée de la relation et tant que le compte reste actif.
- Transcriptions et résumés : conservés uniquement avec ton consentement ; si tu ne consens pas à la mémoire, le contenu n'est pas conservé au-delà de la session ou est supprimé dans les délais prévus par nos politiques de conservation.
- Données de paiement et documents fiscaux : pendant la période exigée par la loi.
- Journaux de sécurité : pendant la durée strictement nécessaire aux finalités de sécurité.
9. Mineurs
Le Service est strictement réservé aux personnes majeures (18 ans ou plus). Nous ne collectons pas sciemment de données de mineurs. Si nous détectons des indices laissant penser qu'un utilisateur pourrait être mineur, nous mettons fin à la session et l'orientons vers des ressources dédiées. Si tu penses qu'un mineur nous a fourni des données, écris-nous et nous les supprimerons.
10. Gestion des situations de crise
Calmauria ne gère pas les urgences. En présence de signaux de risque pour la vie, Auria interrompt la conversation et oriente l'utilisateur vers une aide humaine immédiate (numéros d'urgence et lignes d'écoute). En cas de danger imminent, appelle le 112 (ou le numéro d'urgence local).
11. Tes droits
En tant que personne concernée, tu peux exercer à tout moment les droits prévus aux articles 15 à 22 du RGPD :
- l'accès à tes données et l'obtention d'une copie de celles-ci ;
- la rectification des données inexactes ;
- l'effacement (« droit à l'oubli ») ;
- la limitation du traitement et l'opposition à celui-ci ;
- la portabilité des données ;
- le retrait du consentement à tout moment, sans que cela n'affecte la licéité du traitement effectué auparavant.
Pour exercer tes droits, écris à [email protected]. Nous répondrons dans les délais prévus par la loi.
12. Réclamation auprès d'une autorité de contrôle
Tu as le droit d'introduire une réclamation auprès de l'autorité italienne de protection des données (Garante per la protezione dei dati personali, www.garanteprivacy.it) ou auprès de l'autorité de contrôle de l'État membre de l'UE dans lequel tu résides.
13. Modifications
Nous pouvons mettre à jour la présente politique de temps à autre. Les modifications seront publiées sur cette page, accompagnées de la date de mise à jour correspondante.
Information complémentaire pour les résidents des États-Unis — Consumer Health Data
Le contenu de tes conversations avec Auria peut constituer des « consumer health data » (données de santé du consommateur) au sens de certaines lois d'États américains, dont le Washington My Health My Data Act. Cette section s'applique aux résidents des États-Unis. En ce qui concerne ces données :
- nous les collectons et les traitons uniquement avec ton consentement explicite et dans le seul but de te fournir le Service ;
- nous ne vendons pas de consumer health data et nous ne les partageons pas à des fins publicitaires ;
- tu peux exercer à tout moment tes droits d'accès, de suppression et de retrait du consentement en écrivant à [email protected] ;
- ces données sont protégées par un chiffrement au niveau applicatif, tel que décrit à la section 5.
Remarque : la présente version est une traduction de courtoisie, fournie pour ta commodité. En cas de divergence entre la version française et la version italienne, la version italienne prévaut dans la mesure permise par les dispositions impératives du droit de la consommation. Cette politique est rédigée avec le plus grand soin mais ne remplace pas un conseil juridique personnalisé : une revue par un conseil qualifié est recommandée avant le lancement public, ainsi qu'une analyse d'impact relative à la protection des données (AIPD/DPIA).