Cette traduction est fournie à titre indicatif. Seule la version anglaise fait foi sur le plan juridique. Version anglaise
Politique de confidentialité
1. Responsable du traitement
Le responsable du traitement de tes données personnelles est :
Hiatus Holding GmbH
Kortumstraße 75, D-44787 Bochum, Germany
Registre du commerce : Bochum HRB16203
Gérant : Tim Kahrmann
Pour toute question relative à la confidentialité, contacte-nous via notre formulaire de contact.
2. Trois promesses.
Tes pensées n’entraînent jamais une IA. Jamais.
Ni les modèles de Tonight. Ni ceux de qui que ce soit d’autre. Ni anonymisées, ni agrégées, ni « pour la sécurité ». Nous signons des accords de traitement des données avec chaque fournisseur de modèle qui excluent contractuellement tout entraînement. Si un fournisseur ne peut pas offrir cela, nous ne l’utilisons pas.
Chaque voix est une Whisperer — une voix IA soigneusement sélectionnée.
Aucun acteur n’entend ce que tu dis. Chaque voix est synthétique et ajustée. Nous le divulguons sur la page d’accueil, dans l’app, dans le press kit, ici. Le règlement européen sur l’IA (EU AI Act) l’exige. Nous le divulguerions de toute façon.
Au matin, ce que tu as dit ce soir a disparu — sauf si tu le gardes.
Ta One Thought est chiffrée au repos et supprimée par défaut au lever du soleil dans ta région. Si tu actives Keep My Nights (désactivé sauf si tu le choisis), la session de cette nuit-là reste réécoutable pendant une journée et tes mots chiffrés sont conservés 45 jours pour que tu puisses les relire — et tu peux en supprimer une partie, ou la totalité, à tout moment.
3. Données que nous collectons
Nous collectons et traitons les catégories suivantes de données personnelles :
Données de compte
- Adresse e-mail (requise pour la création du compte et l’authentification)
- Nom (facultatif, utilisé pour des salutations personnalisées)
- Fuseau horaire et préférence d’heure de coucher (pour délivrer les sessions au bon moment)
Données de contenu
- Réflexions quotidiennes (tes saisies de texte à propos de ta journée)
- Évaluations et retours sur les sessions (facultatif)
Données techniques
- Informations sur l’appareil et le navigateur (pour la fourniture du service)
- Heure du rappel de coucher (stockée uniquement sur ton appareil — le rappel facultatif de mise en veille est une notification locale, jamais un push)
- Journaux de session et d’utilisation (pour l’amélioration du service)
- Événements d’analyse produit anonymes (Mixpanel) — quels écrans et fonctionnalités sont utilisés ainsi que des entonnoirs agrégés, afin que nous puissions voir ce qui aide. Jamais le contenu de ce que tu écris, et jamais ton nom ou ton e-mail. Sur le site web, cela nécessite ton consentement aux cookies ; dans l’app, c’est activé par défaut et peut être désactivé à tout moment dans Réglages → Confidentialité et données.
- Rapports de plantage (Sentry) — si l’app plante ou rencontre une erreur fatale, un rapport technique (modèle d’appareil, version de l’OS, version de l’app, l’erreur et sa trace d’appels, et ton identifiant utilisateur pseudonyme) est envoyé à Sentry afin que nous puissions trouver et corriger le défaut. Les rapports de plantage sont configurés pour ne jamais inclure le contenu de ce que tu écris.
Données de paiement
- Identifiant client Stripe (nous ne stockons jamais directement les détails de carte)
- Statut de l’abonnement et historique de facturation
4. Base légale du traitement
Nous traitons tes données personnelles sur les bases légales suivantes (article 6 du RGPD) :
| Finalité | Base légale |
|---|---|
| Création de compte et authentification | Exécution du contrat (art. 6(1)(b)) |
| Génération de sessions de sommeil personnalisées | Exécution du contrat (art. 6(1)(b)) |
| Traitement des paiements | Exécution du contrat (art. 6(1)(b)) |
| Envoi d’e-mails transactionnels | Intérêt légitime (art. 6(1)(f)) |
| Communications marketing | Consentement (art. 6(1)(a)) |
| Suivi des ouvertures/clics d’e-mails | Consentement (art. 6(1)(a)) |
| Cookies d’analyse du site web (Mixpanel) | Consentement (art. 6(1)(a)) |
| Analyse produit anonyme dans l’app (Mixpanel) | Intérêt légitime (art. 6(1)(f)) — désactivation dans les réglages de l’app |
| Rapports de plantage et stabilité de l’app (Sentry) | Intérêt légitime (art. 6(1)(f)) |
| Amélioration du service et débogage | Intérêt légitime (art. 6(1)(f)) |
5. Conservation des données
Nous ne conservons tes données que le temps nécessaire à leur finalité :
| Type de données | Durée de conservation |
|---|---|
| Réflexions quotidiennes (texte brut, chiffré au repos) — par défaut | Jusqu’au prochain lever du soleil dans ton fuseau horaire (supprimées dans les 15 minutes suivant l’expiration) |
| Réflexions quotidiennes (texte brut) — avec Keep My Nights activé | 45 jours, ou jusqu’à ce que tu les supprimes |
| Étiquettes de thème (travail, deuil, corps, etc. — aucun texte brut) | 45 jours |
| Résumés mensuels de réflexions (décomptes et statistiques d’intensité — aucun texte brut) | 13 mois |
| Sessions audio générées — par défaut | Jusqu’au prochain lever du soleil (supprimées automatiquement après expiration) |
| Sessions audio générées — avec Keep My Nights activé | ~1 jour après la nuit où elle a été créée, puis supprimée automatiquement |
| Journal d’audit des événements de sécurité (hachage SHA-256 uniquement, jamais le texte) | 24 mois |
| Rapports de plantage (données techniques uniquement, jamais ton texte) | 90 jours |
| Données de compte (e-mail, nom, préférences) | Jusqu’à la suppression du compte |
| Métadonnées de session et évaluations | Jusqu’à la suppression du compte |
| Enregistrements de paiement | 7 ans (obligation légale) |
| Enregistrements de consentement marketing | Jusqu’au retrait du consentement + 3 ans |
6. Éphémérité dès la conception
Par défaut, rien de ce que tu écris n’est conservé pendant la nuit. La phrase que tu saisis pendant un rituel One Thought existe sous forme chiffrée uniquement jusqu’au prochain lever du soleil dans ton fuseau horaire, où elle est définitivement supprimée.
Garder tes nuits (facultatif). L’éphémérité est le réglage par défaut. Si tu le souhaites, tu peux activer Keep My Nights dans les Réglages de confidentialité : la session de cette nuit-là reste réécoutable pendant environ une journée et ta One Thought chiffrée est conservée 45 jours, pour que tu puisses la relire. C’est désactivé sauf si tu l’actives, cela ne s’applique qu’à partir du moment où tu l’actives, et tu peux supprimer des entrées individuelles ou tout ce qui est conservé, à tout moment. Nous n’entraînons toujours jamais d’IA dessus et ne le vendons jamais.
Ce que nous conservons, c’est le thème que tu portais — de courtes étiquettes comme travail, deuil, corps, ou une personne — sans aucun de tes mots. Les thèmes des 7 dernières nuits orientent doucement le prochain rituel pour que l’expérience donne l’impression d’être mémorisée, et non surveillée. Les entrées de thème détaillées sont supprimées après 45 jours.
À la fin de chaque mois, nous regroupons ces thèmes dans un petit résumé structuré (quels thèmes sont apparus, intensité moyenne, tonalité émotionnelle dominante) afin de pouvoir proposer à l’avenir un rituel de réflexion « C’était ton mois de février ». Ces résumés mensuels sont conservés 13 mois et ne contiennent aucun texte. Tu peux désactiver la mémoire ou tout supprimer — détaillé et mensuel — dans les Réglages de confidentialité, à tout moment.
Nous n’utilisons aucune de ces données pour entraîner des modèles d’IA, et nous ne les partageons pas avec des tiers au-delà des sous-traitants divulgués à la section 7.
6a. Journalisation des événements de sécurité
Lorsque notre système de sécurité intercepte une soumission One Thought contenant du contenu suggérant une crise active (automutilation, suicide, violence), nous enregistrons une petite entrée d’audit afin de pouvoir vérifier a posteriori notre réponse de protection. L’entrée contient un hachage SHA-256 à sens unique de la phrase identifiée (jamais réversible vers tes mots), la gravité attribuée par notre classificateur, quelle couche du système s’est déclenchée, ce que nous avons fait en réponse, et un horodatage.
Base légale : art. 6(1)(f) du RGPD (intérêt légitime à exploiter un service de bien-être sûr) combiné à l’art. 9(2)(g) (intérêt public important dans la prévention du suicide). Les enregistrements sont accessibles uniquement à notre équipe conformité et sont conservés 24 mois. Tu peux demander une copie de tout événement de sécurité enregistré sur ton compte via notre procédure DSAR.
7. Sous-traitants et transferts de données
Nous partageons tes données avec les prestataires de services suivants :
| Prestataire | Finalité | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données, authentification | UE/US | EU-US Data Privacy Framework |
| Stripe | Traitement des paiements | US | EU-US Data Privacy Framework |
| Resend | E-mails transactionnels | US | Clauses contractuelles types |
| Mixpanel | Analyse produit et site web (anonyme ; désactivation dans l’app, consentement sur le web) | UE | Résidence des données dans l’UE (api-eu.mixpanel.com) |
| Google (Gemini API) | Génération de session par IA — traite ce que tu écris pour composer ton rituel (jamais utilisé pour l’entraînement) | US | Avenant de traitement des données ; EU-US Data Privacy Framework |
| Anthropic (Claude) | Outils d’ingénierie logicielle et de diagnostic — peut traiter des données opérationnelles pseudonymes lorsque nous déboguons le service (jamais le contenu de ce que tu écris, jamais pour l’entraînement) | US | Avenant de traitement des données ; EU-US Data Privacy Framework |
| ElevenLabs | Génération de voix | US | Avenant de traitement des données |
| Sentry (Functional Software, Inc.) | Rapports de plantage (données techniques uniquement) | UE | Résidence des données dans l’UE ; EU-US Data Privacy Framework |
| Vercel | Hébergement de l’application (sert l’API de l’app) | UE/US | Avenant de traitement des données ; EU-US Data Privacy Framework |
Nous avons des accords de traitement des données avec tous les prestataires. Pour les transferts en dehors de l’EEE, nous nous appuyons sur les clauses contractuelles types (CCT), l’EU-US Data Privacy Framework, ou des garanties équivalentes approuvées par la Commission européenne.
8. Cookies et suivi
Nous utilisons des cookies et des technologies similaires. Pour des informations détaillées, consulte notre Politique en matière de cookies.
Les e-mails marketing peuvent contenir des pixels de suivi qui enregistrent le moment où tu ouvres un e-mail et cliques sur des liens. Ce suivi n’est utilisé que lorsque tu as consenti aux communications marketing.
9. Tes droits
En vertu du RGPD, tu disposes des droits suivants concernant tes données personnelles :
- Droit d’accès — Demander une copie de tes données personnelles
- Droit de rectification — Corriger des données inexactes ou incomplètes
- Droit à l’effacement — Demander la suppression de tes données (« droit à l’oubli »)
- Droit à la limitation — Limiter la manière dont nous traitons tes données
- Droit à la portabilité des données — Recevoir tes données dans un format lisible par machine
- Droit d’opposition — T’opposer à un traitement fondé sur l’intérêt légitime
- Droit de retirer ton consentement — Révoquer ton consentement à tout moment (sans affecter les traitements antérieurs)
Pour exercer l’un de ces droits, utilise notre formulaire de contact. Nous répondrons sous 30 jours.
10. Suppression du compte
Tu peux supprimer ton compte à tout moment via les réglages de l’app (menu Cœur → Supprimer le compte). Cela supprimera définitivement toutes les données associées, y compris ton profil, ton historique de sessions, et toutes les préférences stockées. Certaines données peuvent être conservées pour des raisons de conformité légale (p. ex. les enregistrements de paiement pendant 7 ans).
11. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger tes données :
- Toutes les données transmises via chiffrement HTTPS/TLS
- Chiffrement de la base de données au repos
- Politiques de sécurité au niveau des lignes restreignant l’accès aux données
- Audits de sécurité et revues d’accès réguliers
- Principe de collecte minimale des données
12. Confidentialité des enfants
Tonight est destiné aux adultes et ne s’adresse à personne de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 18 ans. Si tu penses que nous avons collecté des données auprès d’une personne de moins de 18 ans, contacte-nous immédiatement et nous les supprimerons.
13. Modifications de cette politique
Nous pouvons mettre à jour cette politique périodiquement. Les changements importants seront communiqués par e-mail ou par notification dans l’app. La poursuite de l’utilisation du service après des changements vaut acceptation de la politique mise à jour.
14. Autorité de contrôle
Tu as le droit d’introduire une réclamation auprès d’une autorité de protection des données. Pour Hiatus Holding GmbH, l’autorité compétente est :
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn, Germany
www.bfdi.bund.de
Tu peux aussi contacter ton autorité locale de protection des données si tu préfères.
15. Contact
Pour toute question concernant cette politique ou tes données personnelles, contacte-nous via notre formulaire de contact.