← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : mai 2026

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via le service Carla est :

Yassi Maz
Email : yassine.maz30@icloud.com

2. Données collectées

Le service collecte les données suivantes :

  • Données d'identification : adresse email, prénom (optionnel, renseigné à l'onboarding).
  • Données de conversation : messages échangés avec Carla, conservés pour assurer la continuité du service.
  • Mémoires extraites : faits synthétisés automatiquement à partir des conversations (ex. : situation familiale, contexte de vie) afin de personnaliser les échanges.
  • Données de paiement : gérées exclusivement par Stripe — le service ne conserve que l'identifiant client Stripe, jamais les données bancaires.
  • Données techniques : adresse IP, données de connexion, cookies de session.

3. Finalités du traitement

Les données sont traitées pour :

  • Fournir le service de conversation personnalisée.
  • Gérer les comptes utilisateurs et l'authentification.
  • Traiter les paiements et gérer les abonnements.
  • Améliorer la pertinence des réponses grâce à la mémoire contextuelle.
  • Assurer la sécurité et prévenir les abus.

Base légale : exécution du contrat (art. 6.1.b RGPD) et intérêt légitime (sécurité, qualité du service).

4. Durée de conservation

  • Conversations et mémoires — Essential : 30 jours glissants.
  • Conversations et mémoires — Premium : durée illimitée tant que le compte est actif.
  • Compte utilisateur : jusqu'à suppression du compte ou 3 ans d'inactivité.
  • Données de paiement : conformément aux obligations légales (10 ans pour les données comptables).

5. Hébergement et localisation

Les données sont hébergées exclusivement dans l'Union Européenne :

  • Supabase (base de données) — région EU West (Irlande).
  • Vercel (hébergement applicatif) — région EU (Paris / Francfort).

6. Sous-traitants

Le service fait appel aux sous-traitants suivants, chacun soumis à des garanties contractuelles conformes au RGPD :

  • Anthropic — traitement des messages par le modèle de langage Claude (USA, couvert par les clauses contractuelles types).
  • Stripe — traitement des paiements (USA, certifié PCI DSS, Privacy Shield successor).
  • Supabase — base de données et authentification (Irlande, UE).
  • Vercel — infrastructure et déploiement (UE).

7. Droits des utilisateurs

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie des données vous concernant.
  • Droit de rectification : corriger des données inexactes.
  • Droit à l'effacement : demander la suppression de vos données.
  • Droit à la portabilité : recevoir vos données dans un format structuré.
  • Droit d'opposition : vous opposer à certains traitements.
  • Droit à la limitation : demander la suspension du traitement.

Pour exercer ces droits, contactez : yassine.maz30@icloud.com. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).

8. Cookies

Le service utilise uniquement des cookies strictement nécessaires au fonctionnement :

  • Cookie de session Supabase : maintient l'authentification de l'utilisateur. Durée : session + 7 jours.

Aucun cookie publicitaire ou de tracking tiers n'est utilisé.

9. Sécurité

Les données sont protégées par chiffrement en transit (HTTPS/TLS) et au repos. L'accès à la base de données est restreint par des politiques de sécurité de niveau ligne (Row Level Security). Les mots de passe ne sont jamais stockés en clair.

10. Modifications

Cette politique peut être mise à jour. En cas de modification substantielle, l'utilisateur en sera informé par email ou via l'interface du service.

CGUAccueil