Politique de confidentialité
Dernière mise à jour : 5 mai 2026 - Version 2.0
1. Responsable du traitement
Nala (« nous », « notre ») est une application de bien-être éditée par Mathias Robin, entrepreneur individuel domicilié en France.
Contact protection des données : privacy@nala-meditation.com
2. Bases légales du traitement (RGPD Article 6)
| Traitement | Base légale |
|---|---|
| Création de compte et authentification | Exécution du contrat (Art. 6(1)(b)) |
| Scores de bien-être, journal, micro-actions | Exécution du contrat (Art. 6(1)(b)) |
| Conversations IA | Consentement explicite (Art. 6(1)(a) & Art. 9(2)(a)) |
| Analytics (événements d'usage) | Consentement (Art. 6(1)(a)) |
| Notifications push | Consentement (Art. 6(1)(a)) |
| Abonnement et facturation | Exécution du contrat (Art. 6(1)(b)) |
| Rapports de plantage | Intérêt légitime (Art. 6(1)(f)) - stabilité de l'application |
3. Données collectées
Données de compte : adresse email, nom d'affichage (via Firebase Authentication), préférence de langue (par exemple « fr » ou « en ») et code pays dérivé des paramètres de votre appareil (par exemple « FR »). Ces données servent à afficher l'application dans votre langue.
Données de bien-être : transcriptions de conversations avec l'IA, entrées de journal, scores de bien-être, sélections d'humeur, micro-actions. Ces données peuvent inclure des informations relatives à votre état émotionnel, vos habitudes de sommeil, votre niveau de stress ou votre bien-être général. Bien qu'elles ne constituent pas strictement des « données de santé » au sens de l'Article 9 du RGPD, nous les protégeons avec le même niveau de rigueur que des données sensibles.
Données analytiques : collectées uniquement avec votre consentement explicite. Comprennent des événements d'usage anonymisés (contenu écouté, fonctionnalités utilisées, durée de session). Nous ne collectons pas votre nom ni votre email dans les événements analytiques.
Données techniques : type d'appareil, version de l'application, rapports de plantage (Firebase Crashlytics). Aucune adresse IP n'est conservée durablement.
Données de paiement : entièrement gérées par Google Play. Nous n'avons jamais accès à vos informations de carte bancaire et nous ne les stockons pas.
Jeton de notification push : collecté uniquement si vous activez les notifications. Utilisé exclusivement pour vous envoyer les rappels que vous avez configurés.
4. Conversations IA - Information particulière
Lorsque vous utilisez le chat IA de Nala, vos messages sont envoyés à l'API Anthropic (Claude) pour traitement. Cela signifie :
- Vos messages quittent l'UE et sont traités sur les serveurs d'Anthropic aux États-Unis.
- Anthropic n'utilise pas vos données pour entraîner ses modèles d'IA (selon ses conditions API commerciales).
- Vos conversations sont stockées dans notre base de données européenne pour assurer la continuité entre les sessions.
- Les messages de plus de 90 jours sont automatiquement supprimés (seuls les résumés sont conservés).
- Votre prénom est partagé avec l'IA pour personnaliser les échanges. Aucun autre identifiant personnel n'est transmis.
Avant votre première conversation avec l'IA, l'application vous demande votre consentement explicite à ce traitement. Vous pouvez utiliser toutes les autres fonctionnalités de Nala sans utiliser le chat IA.
5. Utilisation de vos données
- Fournir un accompagnement personnalisé via l'IA bien-être (avec votre consentement)
- Calculer et afficher vos scores de bien-être
- Envoyer des rappels de notifications via Firebase Cloud Messaging (avec votre consentement)
- Améliorer l'expérience de l'application via des analytics anonymisés (avec votre consentement)
- Détecter et corriger les plantages (intérêt légitime)
Nous ne vendons jamais vos données. Nous ne les partageons jamais avec des annonceurs. Nous ne les utilisons jamais pour du profilage ou de la prise de décision automatisée.
6. Stockage et sécurité (Article 32)
Vos données sont stockées sur Supabase (PostgreSQL, région UE) avec :
- Chiffrement au repos (AES-256) et en transit (TLS 1.3)
- Row-Level Security (RLS) sur toutes les tables de la base de données
- Authentification Firebase avec jetons JWT aux standards de l'industrie
- Limitation de débit (rate limiting) sur tous les endpoints API
- Politique de sécurité du contenu (CSP) stricte
- HSTS avec preload pour tout le trafic web
7. Transferts internationaux de données (Chapitre V)
Vos données principales sont stockées dans l'UE (Supabase, région UE). Certains traitements impliquent des sous-traitants situés aux États-Unis. Ces transferts sont protégés par :
- Le cadre de protection des données UE-États-Unis (Data Privacy Framework, lorsque le sous-traitant est certifié)
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne
- Les engagements contractuels de protection des données de chaque sous-traitant
8. Sous-traitants (Article 28)
Nous utilisons les services tiers suivants pour faire fonctionner Nala :
| Sous-traitant | Localisation | Finalité | Données partagées |
|---|---|---|---|
| Supabase | UE | Base de données et hébergement | Toutes les données de compte et de contenu |
| Firebase (Google) | États-Unis | Authentification, notifications push, rapports de plantage | Email, jeton push, journaux de plantage |
| Anthropic | États-Unis | Traitement des conversations IA (API Claude) | Messages de chat, prénom, contexte bien-être |
| Railway | États-Unis | Hébergement du serveur backend | Requêtes en transit (chiffrées) |
| ElevenLabs | États-Unis | Génération vocale pour le contenu audio | Aucune donnée personnelle (scripts uniquement) |
| Upstash (Redis) | UE | Cache temporaire (jetons d'authentification) | Jetons chiffrés, TTL 30 secondes |
| Mixpanel | UE (api-eu.mixpanel.com) | Analyse comportementale (événements, entonnoirs de conversion) | Identifiants d'événements anonymes, interactions app (pas d'email) |
| Brevo (Sendinblue) | UE (France) | Envoi d'emails transactionnels (bienvenue, rappels d'essai) | Email, prénom, statut d'abonnement |
9. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte (email, nom) | Jusqu'à la suppression du compte |
| Messages de conversation IA | 90 jours, puis suppression automatique (résumés conservés) |
| Scores de bien-être | Jusqu'à la suppression du compte |
| Entrées de journal | Jusqu'à la suppression du compte |
| Événements analytiques | 1 an, puis purge automatique |
| Jetons de notification push | Jusqu'à la suppression du compte ou la désactivation |
| Rapports de plantage | 90 jours (paramétrage Firebase Crashlytics par défaut) |
Lorsque vous supprimez votre compte, toutes les données sont effacées définitivement et immédiatement. Les sauvegardes résiduelles sont purgées sous 30 jours.
10. Vos droits (RGPD Articles 15 à 22)
Vous avez le droit de :
- Accéder à vos données - Réglages > Exporter mes données (téléchargement JSON)
- Supprimer votre compte et toutes les données associées - Réglages > Supprimer mon compte
- Portabilité - téléchargez vos données dans un format JSON lisible par machine
- Rectification - mettez à jour vos informations de profil dans l'application
- Retirer votre consentement - désactivez les analytics ou les notifications à tout moment dans les Réglages
- Vous opposer - refuser tout traitement basé sur l'intérêt légitime
- Limiter le traitement - demander la limitation d'activités spécifiques
- Déposer une réclamation auprès de l'autorité de contrôle française :
CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr/plaintes
Pour exercer vos droits, utilisez les Réglages dans l'application ou écrivez à privacy@nala-meditation.com. Nous vous répondrons sous 30 jours conformément au RGPD.
11. Cookies
Le site Nala n'utilise aucun cookie tiers, aucun cookie de tracking et aucun cookie publicitaire. Nous utilisons un système d'analyse minimal côté serveur qui ne suit pas les utilisateurs entre les sessions et n'utilise pas de cookies.
12. Mineurs (Article 8)
Nala est conçu pour les utilisateurs âgés de 13 ans et plus. Pour les utilisateurs de moins de 16 ans dans l'Union européenne, le consentement parental ou du tuteur légal est requis conformément à l'Article 8 du RGPD. Nous ne collectons pas sciemment de données auprès d'enfants de moins de 13 ans. Si vous pensez qu'un enfant de moins de 13 ans nous a fourni des données personnelles, contactez-nous immédiatement à privacy@nala-meditation.com.
13. Notification de violation de données (Articles 33 et 34)
En cas de violation de données personnelles présentant un risque pour vos droits et libertés :
- Nous notifierons la CNIL dans un délai de 72 heures après en avoir pris connaissance.
- Si la violation est susceptible d'entraîner un risque élevé pour vous, nous vous notifierons sans délai injustifié par email et/ou notification dans l'application.
- Nous tenons un registre de toutes les violations de données, y compris celles qui ne nécessitent pas de notification.
14. Modifications de cette politique
Nous pouvons mettre à jour cette politique. Les changements significatifs seront communiqués via l'application et/ou par email. La date « Dernière mise à jour » en haut sera révisée. La poursuite de l'utilisation au-delà de 30 jours constitue une acceptation de la politique mise à jour.