Politique de confidentialité

1. Présentation

Selfward (« nous », « notre ») s'engage à protéger votre vie privée. Cette politique explique comment nous collectons, utilisons, stockons et protégeons vos informations personnelles et vos données d'évaluation de découverte de soi lorsque vous utilisez notre site web, nos applications et nos services (collectivement, le « Service »). Nous accordons une attention particulière aux données sensibles de bien-être et ne les partageons jamais avec des annonceurs ou des tiers à des fins marketing.

2. Responsable du traitement des données

Selfward est le responsable du traitement de vos données personnelles. Si vous avez des questions sur la manière dont nous traitons vos données ou si vous souhaitez exercer vos droits, vous pouvez nous contacter à :

• privacy@selfward.ai
• Délégué à la protection des données : privacy@selfward.ai

Représentant UE/Royaume-Uni : Si vous résidez dans l'Espace économique européen ou au Royaume-Uni, vous pouvez contacter notre représentant désigné pour les questions de protection des données à privacy@selfward.ai. Nous sommes en cours de nomination d'un représentant formel dans l'UE conformément à l'article 27 du RGPD et d'un représentant au Royaume-Uni en vertu du UK GDPR. Jusqu'à la finalisation de cette nomination, toutes les demandes doivent être adressées à notre Délégué à la protection des données.

3. Base juridique du traitement

Nous traitons vos données personnelles sur les bases juridiques suivantes conformément à l'article 6 du RGPD :

• Contract Performance: Exécution du contrat : Traitement nécessaire à la fourniture du Service auquel vous vous êtes inscrit(e) (gestion de compte, réalisation des évaluations, génération de rapports, traitement des paiements).
• Consent: Consentement : Lorsque vous avez donné votre consentement explicite, comme l'inscription à des communications par e-mail optionnelles, la participation à notre programme de parrainage ou le consentement aux cookies.
• Legitimate Interest: Intérêt légitime : Traitement nécessaire à nos intérêts commerciaux légitimes, tels que l'amélioration de la qualité du service par des analyses anonymisées, la prévention de la fraude et la garantie de la sécurité. Nous effectuons des tests de proportionnalité pour nous assurer que nos intérêts ne prévalent pas sur vos droits.
• Legal Obligation: Obligation légale : Traitement requis pour se conformer aux lois applicables, telles que la tenue de registres fiscaux, la réponse aux demandes légales des autorités ou les notifications de violation de données.

4. Informations que nous collectons

Nous collectons les catégories d'informations suivantes :

Données de compte

• Adresse e-mail (pour l'authentification et la communication)
• Nom d'affichage (optionnel, pour la personnalisation)
• Fournisseur d'authentification et informations de profil (si vous utilisez la connexion Google : votre nom, adresse e-mail et photo de profil tels qu'autorisés par vous via l'écran de consentement OAuth de Google)
• Préférences et paramètres du compte

Données d'évaluation

• Vos réponses aux questions d'évaluation de découverte de soi
• Le temps passé sur chaque question (pour l'assurance qualité des données)
• Rapports générés, aperçus de la personnalité et historiques des scores
• Données de comparaison (si vous participez à des comparaisons relationnelles, avec consentement mutuel)

Données de paiement

• Enregistrements de transactions et historique d'achats (stockés par nous)
• Détails de facturation tels que le type de carte et les quatre derniers chiffres (traités par l'App Store d'Apple ou le Google Play Store ; nous ne stockons jamais les numéros de carte complets)
• Statut de l'abonnement et dates de renouvellement

Données techniques et d'utilisation

• Adresse IP et géolocalisation approximative (niveau pays/région uniquement)
• Type de navigateur, système d'exploitation et informations sur l'appareil
• Pages visitées, fonctionnalités utilisées et durée de la session
• Source de référence et paramètres UTM (si vous êtes arrivé(e) via un lien de parrainage)

5. Comment nous utilisons vos données

• Pour fournir le Service : générer votre profil personnalisé de découverte de soi, vos rapports et vos aperçus
• Pour traiter les paiements : gérer les transactions, les abonnements et les remboursements via l'App Store d'Apple, le Google Play Store et RevenueCat
• Pour améliorer le Service : analyser des données anonymisées et agrégées pour améliorer la précision des évaluations et l'expérience utilisateur
• Pour communiquer avec vous : envoyer des e-mails transactionnels (vérification de compte, réinitialisation de mot de passe, notifications de rapports, reçus de paiement)
• Pour fournir le support client : répondre à vos demandes et résoudre les problèmes
• Pour assurer la sécurité : détecter la fraude, prévenir les abus et maintenir l'intégrité de la plateforme
• Pour respecter les obligations légales : tenir les registres requis par les lois fiscales, de protection des consommateurs ou autres lois applicables
• Pour administrer le programme de parrainage : suivre les inscriptions par parrainage et distribuer les crédits de parrainage (si vous participez)

7. Sécurité des données

Nous mettons en œuvre des mesures de sécurité complètes pour protéger vos données :

• Chiffrement au repos : Toutes les données sont chiffrées en utilisant le chiffrement AES-256 dans notre base de données (Supabase/PostgreSQL)
• Chiffrement en transit : Toutes les connexions utilisent le chiffrement TLS 1.3
• Sécurité au niveau des lignes (RLS) : Les politiques de base de données garantissent que vous ne pouvez accéder qu'à vos propres données
• Journalisation d'audit immuable : Tous les accès et modifications de données sont enregistrés pour la surveillance de la sécurité
• Pseudonymisation des données personnelles : Les identifiants personnels sensibles sont stockés dans un coffre-fort séparé à accès contrôlé
• Assainissement des entrées : Toutes les entrées utilisateur sont validées et assainies pour prévenir les attaques par injection
• Limitation du débit : Les points de terminaison API sont soumis à une limitation du débit pour prévenir les abus
• Évaluations de sécurité régulières : Nous effectuons des examens périodiques de notre posture de sécurité

Notification de violation de données : En cas de violation de données personnelles présentant un risque pour vos droits et libertés, nous notifierons l'autorité de contrôle compétente dans les 72 heures et vous notifierons sans délai, conformément aux articles 33 et 34 du RGPD.

8. Partage des données et services tiers

Nous partageons vos données uniquement avec les prestataires de services suivants, exclusivement aux fins décrites ci-dessous. Nous ne vendons pas vos données personnelles.

Nos sous-traitants :

• RevenueCat (San Francisco, États-Unis) : Gestion des abonnements et traitement des paiements via l'App Store d'Apple et le Google Play Store. RevenueCat gère les états d'abonnement et la validation des achats. Ils ne reçoivent jamais vos données d'évaluation. Confidentialité : https://www.revenuecat.com/privacy
• Anthropic (San Francisco, États-Unis) : Génération de rapports par AI. Anthropic reçoit des scores d'évaluation anonymisés pour générer vos rapports. Les données sont traitées de manière transitoire et ne sont pas conservées pour l'entraînement. Confidentialité : https://www.anthropic.com/privacy
• Supabase (San Francisco, États-Unis) : Hébergement de base de données et authentification. Toutes vos données de compte et d'évaluation sont stockées sur l'infrastructure de Supabase avec chiffrement au repos. Confidentialité : https://supabase.com/privacy
• Resend (États-Unis) : Livraison d'e-mails transactionnels. Resend reçoit votre adresse e-mail pour délivrer les notifications de compte, les alertes de rapports et les réinitialisations de mot de passe. Confidentialité : https://resend.com/legal/privacy-policy
• Vercel (San Francisco, États-Unis) : Hébergement de l'application web. Vercel héberge notre application web et traite les requêtes HTTP, qui peuvent inclure des adresses IP et des informations de navigateur. Confidentialité : https://vercel.com/legal/privacy-policy
• PostHog (San Francisco, États-Unis) : Analyses produit respectueuses de la vie privée. PostHog reçoit des événements d'utilisation anonymisés (vues d'écran, utilisation des fonctionnalités, métriques de performance). Nous n'envoyons pas d'informations personnellement identifiables ni de données d'évaluation à PostHog. Confidentialité : https://posthog.com/privacy
• Expo / EAS (États-Unis) : Infrastructure de build d'application mobile et livraison de notifications push. Expo reçoit des jetons de notification push pour délivrer les notifications auxquelles vous avez souscrit. Expo ne reçoit pas vos données d'évaluation. Confidentialité : https://expo.dev/privacy

Nous pouvons également divulguer vos données si la loi l'exige, sur ordonnance judiciaire ou demande gouvernementale, ou si cela est nécessaire pour protéger les droits, la propriété ou la sécurité de Selfward, de nos utilisateurs ou d'autrui.

9. Transferts internationaux de données

Nos prestataires de services sont principalement situés aux États-Unis. Si vous résidez dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse, vos données peuvent être transférées et traitées aux États-Unis. Nous veillons à ce que des garanties appropriées soient en place pour ces transferts, notamment les Clauses contractuelles types (CCT) approuvées par la Commission européenne, et nos sous-traitants maintiennent des mesures de protection des données adéquates. Supabase, RevenueCat, Anthropic et Vercel proposent chacun des accords de traitement des données incluant des CCT pour les transferts internationaux.

10. Cookies, suivi et analyses

Nous utilisons uniquement les cookies essentiels nécessaires au fonctionnement du Service (authentification, gestion de session, préférences). Nous n'utilisons pas de réseaux publicitaires, de pixels de suivi ni de cookies de suivi inter-sites. Vos données de découverte de soi ne sont jamais utilisées à des fins publicitaires. Pour des détails complets sur notre utilisation des cookies, veuillez consulter notre politique en matière de cookies.

Do Not Track : Nous respectons les signaux Do Not Track (DNT) des navigateurs. Lorsque nous détectons un signal DNT, nous n'effectuons aucun suivi au-delà de ce qui est strictement nécessaire au fonctionnement du Service.

11. Vos droits

Selon votre lieu de résidence, vous disposez des droits suivants concernant vos données personnelles :

Droits en vertu du RGPD (résidents de l'EEE/Royaume-Uni)

• Droit d'accès (Article 15) : Demander une copie de toutes les données personnelles que nous détenons à votre sujet
• Droit de rectification (Article 16) : Corriger des données personnelles inexactes ou incomplètes
• Droit à l'effacement (Article 17) : Demander la suppression de vos données personnelles (« droit à l'oubli »)
• Droit à la portabilité des données (Article 20) : Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON). Vous pouvez exporter vos données à tout moment depuis les paramètres de votre compte.
• Droit à la limitation du traitement (Article 18) : Demander que nous limitions le traitement de vos données
• Droit d'opposition (Article 22) : S'opposer au traitement fondé sur des intérêts légitimes
• Droit de retirer le consentement : Lorsque le traitement est fondé sur le consentement, vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur
• Droit de déposer une réclamation : Vous avez le droit de déposer une réclamation auprès de votre autorité locale de protection des données

Droits en vertu du CCPA/CPRA (résidents de Californie)

• Droit de savoir : Demander la divulgation des catégories et des éléments spécifiques d'informations personnelles que nous collectons, utilisons et partageons
• Droit de suppression : Demander la suppression de vos informations personnelles
• Droit de refuser la vente : Nous ne vendons pas vos informations personnelles. Il n'y a rien à refuser.
• Droit à la non-discrimination : Nous ne vous discriminerons pas pour l'exercice de vos droits CCPA
• Droit de rectification : Demander la correction d'informations personnelles inexactes

Catégories d'informations personnelles que nous collectons : Identifiants (e-mail, nom), activité Internet (données d'utilisation), informations professionnelles (réponses d'évaluation de carrière) et informations personnelles sensibles (réponses de dépistage de la santé mentale). Nous ne partageons ni ne vendons aucune de ces catégories à des tiers à des fins de publicité comportementale inter-contexte.

Droits en vertu d'autres lois étatiques américaines sur la vie privée

• La Virginie (VCDPA), le Colorado (CPA), le Connecticut (CTDPA), l'Oregon (OCPA), le Texas (TDPSA) et d'autres États disposant de lois sur la confidentialité des données des consommateurs accordent à leurs résidents des droits similaires, notamment le droit d'accéder, de corriger, de supprimer et d'obtenir une copie de leurs données personnelles, ainsi que le droit de refuser la vente de données personnelles, la publicité ciblée et le profilage.
• Selfward ne vend pas de données personnelles, ne pratique pas de publicité ciblée et ne profile pas les utilisateurs pour des décisions produisant des effets juridiques ou d'importance similaire. Par conséquent, il n'y a rien à refuser en vertu de ces lois.
• Si vous résidez dans un État américain disposant d'une loi sur la confidentialité des données des consommateurs et souhaitez exercer vos droits, contactez-nous à privacy@selfward.ai. Si nous rejetons votre demande, vous pouvez faire appel en envoyant un e-mail à privacy@selfward.ai avec l'objet « Appel relatif aux droits à la vie privée » et nous répondrons dans le délai légalement requis.

Pour exercer l'un de ces droits, contactez-nous à privacy@selfward.ai ou utilisez les fonctions d'exportation/suppression de données dans les paramètres de votre compte. Nous répondrons aux demandes vérifiables dans un délai de 30 jours (RGPD) ou 45 jours (CCPA/lois étatiques).

12. Programme de parrainage et avis d'incitation financière

Selfward propose un programme de parrainage permettant aux utilisateurs existants d'inviter d'autres personnes à essayer le Service. Lorsque vous participez :

• Nous collectons : votre code de parrainage unique, les adresses e-mail ou identifiants des personnes qui s'inscrivent via votre lien, et l'activité d'achat liée à votre parrainage
• Le parrain et le filleul peuvent chacun recevoir un crédit de 3 $ lors de l'achat qualifiant du filleul
• La valeur de l'incitation financière (3 $) est raisonnablement liée à la valeur des données fournies, en fonction du coût d'acquisition client
• Vous pouvez vous désinscrire du programme de parrainage à tout moment en nous contactant, et les crédits non utilisés resteront sur votre compte
• Les auto-parrainages sont interdits et automatiquement bloqués

13. Conservation des données

Nous conservons vos données selon le calendrier suivant :

• Données de compte : Conservées tant que votre compte est actif, plus 30 jours après la demande de suppression
• Réponses d'évaluation et rapports : Conservés tant que votre compte est actif. Supprimés dans les 30 jours suivant la suppression du compte.
• Enregistrements de paiement : Conservés pendant 7 ans après la date de transaction, comme l'exigent les réglementations fiscales et financières
• Journaux d'audit : Conservés pendant 3 ans à des fins de sécurité et de conformité
• Données anonymisées et agrégées : Peuvent être conservées indéfiniment à des fins de recherche et d'amélioration du service. Ces données ne peuvent pas être reliées à un individu.
• Données de parrainage : Conservées pendant 2 ans après l'événement de parrainage, ou jusqu'à la suppression du compte, selon la première échéance

Lorsque vous supprimez votre compte, nous procédons à la suppression définitive de toutes vos données personnelles dans les 30 jours. Certaines données peuvent persister dans des sauvegardes chiffrées jusqu'à 90 jours avant d'être purgées. Les données que nous sommes légalement tenus de conserver (par ex., enregistrements de paiement pour conformité fiscale) seront conservées pendant la période légalement requise, puis supprimées.

14. Vie privée des enfants

Selfward n'est pas destiné aux utilisateurs de moins de 18 ans. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de 18 ans. Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter immédiatement à privacy@selfward.ai et nous supprimerons les données dans les 48 heures. Si nous découvrons que nous avons collecté par inadvertance des données d'un enfant de moins de 18 ans, nous les supprimerons rapidement.

15. Modifications de la politique

Nous pouvons mettre à jour cette politique de temps à autre pour refléter les changements dans nos pratiques, la technologie, les exigences légales ou pour d'autres raisons opérationnelles. Pour les modifications importantes, nous vous informerons au moins 30 jours à l'avance par e-mail à l'adresse associée à votre compte et par un avis visible sur notre site web. Votre utilisation continue du Service après la date d'entrée en vigueur des modifications constitue une acceptation de la politique mise à jour. Nous vous encourageons à consulter régulièrement cette politique.