POLITIQUE DE CONFIDENTIALITÉ MINDCHAT

Dernière mise à jour : 16 octobre 2025

INTRODUCTION

LUDOMATIQUE SASU (ci-après « nous », « notre » ou « LUDOMATIQUE »), immatriculée au RCS de Chaumont sous le numéro 992 243 857, numéro de TVA intracommunautaire FR45992243857, dont le siège social est situé 19 rue Saint Jean, 52000 Chaumont, FRANCE, exploite le service MindChat (le « Service »).

Nous nous engageons à protéger vos données personnelles et à respecter votre vie privée. Cette Politique de Confidentialité explique quelles données nous collectons, pourquoi nous les collectons, comment nous les utilisons, et vos droits en vertu du Règlement Général sur la Protection des Données (RGPD) et de la loi française sur la protection des données.

Responsable de traitement : LUDOMATIQUE SASU est le responsable de traitement de vos données personnelles collectées via le Service.

1. DONNÉES QUE NOUS COLLECTONS

1.1. Données de Compte et d’Authentification

Lorsque vous créez un compte, nous collectons :

• Adresse e-mail (requis pour la création de compte et la communication)
• Mot de passe (chiffré et jamais stocké en clair)
• Date de création du compte
• Statut de vérification de l’e-mail

Base légale : Exécution du contrat (Article 6(1)(b) RGPD) Durée de conservation : Durée de votre compte + 30 jours après suppression

1.2. Données de Profil et d’Abonnement

• Rôle utilisateur (anonymous_wanderer, curious_mind, essential_spirit, passionate_scholar, patron)
• ID client Stripe (si vous avez un abonnement payant)
• ID d’abonnement Stripe (si actif)
• Statut et détails de l’abonnement
• Date de dernière mise à jour

Base légale : Exécution du contrat (Article 6(1)(b) RGPD) Durée de conservation : Durée de l’abonnement + 10 ans (exigence de conformité fiscale)

1.3. Données de Paiement et de Facturation

Lorsque vous souscrivez à un forfait payant, nous collectons via Stripe :

• Adresse de facturation (nom, rue, code postal, ville, pays)
• Numéro de téléphone (optionnel)
• Numéro de TVA intracommunautaire (pour les clients professionnels dans l’UE)
• Détails du moyen de paiement (géré par Stripe, nous ne voyons jamais les numéros de carte complets)
• Historique des transactions
• Adresse IP au moment de l’achat

Base légale :

• Exécution du contrat (Article 6(1)(b) RGPD)
• Obligation légale pour la conformité fiscale (Article 6(1)(c) RGPD)

Durée de conservation : 10 ans (exigence légale française pour les documents comptables)

Sous-traitant tiers : Stripe Inc., certifié PCI-DSS Niveau 1. Voir Politique de Confidentialité de Stripe

1.4. Données d’Utilisation

Nous suivons votre utilisation du Service pour appliquer les limites d’abonnement :

• Nombre de messages envoyés par jour
• Auteurs consultés
• Date et heure d’utilisation

Base légale : Exécution du contrat (Article 6(1)(b) RGPD) Durée de conservation :

• Compteurs quotidiens de messages : 24 heures (fenêtre glissante)
• Historique d’accès aux auteurs : Durée du compte
• Logs historiques : 90 jours

1.5. Données de Conversation

• Messages que vous envoyez aux chatbots IA (prompts, questions)
• Réponses générées par l’IA que vous recevez

Base légale :

• Exécution du contrat (Article 6(1)(b) RGPD)
• Intérêt légitime pour l’amélioration du service (Article 6(1)(f) RGPD)

Durée de conservation :

• Pour les utilisateurs inscrits : Durée du compte (accessible dans votre historique)
• Pour les utilisateurs anonymes : 24 heures
• Données analytiques anonymisées : 3 ans

Important : Nous pouvons utiliser des données de conversation anonymisées pour améliorer la qualité de notre Service. Vous pouvez vous y opposer en nous contactant.

1.6. Données Techniques et Analytiques

• Adresse IP (pour la sécurité, la prévention de la fraude et la conformité fiscale)
• Type et version du navigateur
• Type d’appareil (ordinateur, mobile, tablette)
• Système d’exploitation
• Site web référent
• Pages visitées et temps passé
• Préférence linguistique

Fournisseur d’analytics : PostHog (hébergé dans l’UE, conforme RGPD) Base légale : Intérêt légitime (Article 6(1)(f) RGPD) pour l’amélioration du service et la sécurité Durée de conservation :

• Adresses IP brutes : 90 jours
• Analytics anonymisées : 2 ans

Votre choix : Vous pouvez refuser le suivi analytique via notre bannière de consentement aux cookies.

1.7. Cookies

Nous utilisons des cookies pour :

• Cookies essentiels : Authentification, gestion de session (ne peuvent pas être désactivés)
• Cookies analytiques : Statistiques d’utilisation via PostHog (peuvent être désactivés)

Consultez notre Politique de Cookies pour plus de détails sur la gestion des préférences de cookies.

2. COMMENT NOUS UTILISONS VOS DONNÉES

Nous utilisons vos données personnelles pour :

2.1. Fournir le Service

• Créer et gérer votre compte
• Vous authentifier de manière sécurisée
• Permettre les conversations avec les chatbots IA
• Stocker votre historique de conversations (pour les utilisateurs inscrits)
• Appliquer les limites d’utilisation selon votre niveau d’abonnement

2.2. Traiter les Paiements

• Gérer les abonnements et la facturation
• Générer des factures
• Détecter et prévenir la fraude
• Se conformer aux réglementations fiscales (françaises et européennes)

2.3. Communiquer avec Vous

• Envoyer des e-mails transactionnels (vérification de compte, réinitialisation de mot de passe, reçus)
• Vous notifier des mises à jour importantes du Service
• Répondre à vos demandes de support

Communications marketing : Nous n’envoyons actuellement pas d’e-mails marketing. Si cela change, vous aurez le droit de vous désabonner.

2.4. Améliorer le Service

• Analyser les modèles d’utilisation (anonymisés)
• Améliorer la qualité des modèles d’IA (données de conversation anonymisées)
• Corriger les bugs et problèmes techniques
• Développer de nouvelles fonctionnalités

2.5. Conformité Légale

• Se conformer aux obligations légales (registres fiscaux, comptabilité)
• Répondre aux demandes légales des autorités
• Faire respecter nos Conditions Générales d’Utilisation
• Protéger contre la fraude et les abus

3. PARTAGE ET TRANSFERTS DE DONNÉES

3.1. Prestataires de Services Tiers

Nous partageons vos données avec des prestataires de services de confiance :

Tous les sous-traitants tiers sont soigneusement sélectionnés et liés par des accords de traitement de données conformes à l’Article 28 du RGPD.

3.2. Transferts Internationaux

Certains prestataires de services sont situés en dehors de l’Espace Économique Européen (EEE) :

• Stripe, Vercel : S’appuient sur la décision d’adéquation du cadre de confidentialité des données UE-US
• OpenAI : Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne

Nous veillons à ce que des garanties appropriées soient en place pour tous les transferts internationaux.

3.3. Divulgation Légale

Nous pouvons divulguer vos données si requis par la loi, une ordonnance judiciaire ou une autorité gouvernementale, ou pour protéger nos droits légaux.

3.4. Pas de Vente de Données

Nous ne vendons jamais vos données personnelles à des tiers.

4. VOS DROITS EN VERTU DU RGPD

En tant que personne concernée dans l’UE, vous disposez des droits suivants :

4.1. Droit d’Accès (Article 15)

Vous pouvez demander une copie de toutes les données personnelles que nous détenons à votre sujet.

4.2. Droit de Rectification (Article 16)

Vous pouvez corriger des données inexactes ou incomplètes. Vous pouvez mettre à jour la plupart des informations directement dans vos paramètres de profil.

4.3. Droit à l’Effacement / « Droit à l’Oubli » (Article 17)

Vous pouvez demander la suppression de votre compte et de vos données personnelles.

Exceptions importantes :

• Nous devons conserver les données de facturation et de transaction pendant 10 ans (obligation légale française)
• Les données analytiques anonymisées peuvent être conservées à des fins statistiques

4.4. Droit à la Limitation du Traitement (Article 18)

Vous pouvez demander que nous limitions le traitement de vos données dans certaines circonstances.

4.5. Droit à la Portabilité des Données (Article 20)

Vous pouvez recevoir vos données dans un format structuré et lisible par machine (JSON) et les transférer à un autre service.

4.6. Droit d’Opposition (Article 21)

Vous pouvez vous opposer au traitement fondé sur l’intérêt légitime (ex : analytics, marketing).

4.7. Droit de Retirer le Consentement (Article 7)

Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment.

4.8. Droit de Déposer une Plainte

Vous avez le droit de déposer une plainte auprès de votre autorité nationale de protection des données :

• France : CNIL (Commission Nationale de l’Informatique et des Libertés) - www.cnil.fr
• Autres pays de l’UE : Voir edpb.europa.eu

4.9. Comment Exercer vos Droits

Contactez-nous à : contact@mindchat.world

Nous répondrons dans un délai d’1 mois (extensible à 3 mois pour les demandes complexes).

5. SÉCURITÉ DES DONNÉES

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

5.1. Mesures Techniques

• Chiffrement en transit : Toutes les communications utilisent HTTPS/TLS
• Chiffrement au repos : Chiffrement de base de données via Supabase
• Hachage des mots de passe : Algorithme Bcrypt avec salt
• Contrôle d’accès : Accès basé sur les rôles, principe du moindre privilège
• Sauvegardes régulières : Sauvegardes quotidiennes automatisées avec chiffrement
• Surveillance de sécurité : Suivi des erreurs Sentry, alertes automatisées

5.2. Mesures Organisationnelles

• Protection des données dès la conception et par défaut
• Accès limité aux données personnelles pour les employés (besoin de savoir)
• Accords de traitement de données avec tous les sous-traitants
• Audits de sécurité et mises à jour régulières
• Plan de réponse aux incidents

5.3. Notification des Violations de Données

En cas de violation de données susceptible d’entraîner un risque élevé pour vos droits, nous notifierons :

• L’autorité de contrôle compétente (CNIL) dans les 72 heures
• Les utilisateurs concernés sans délai indu

6. CONSERVATION DES DONNÉES

Après la période de conservation, les données sont automatiquement supprimées ou anonymisées.

7. PROTECTION DES MINEURS

Le Service n’est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles d’enfants de moins de 16 ans.

Si vous pensez que nous avons collecté par inadvertance des données d’un enfant de moins de 16 ans, veuillez nous contacter immédiatement à contact@mindchat.world et nous les supprimerons rapidement.

Parents/tuteurs : Si vous découvrez que votre enfant a créé un compte, contactez-nous pour demander sa suppression.

8. PRISE DE DÉCISION AUTOMATISÉE ET PROFILAGE

8.1. Contenu Généré par l’IA

Le Service utilise l’IA pour générer des réponses conversationnelles. Cela n’est pas considéré comme une « prise de décision automatisée » au sens de l’Article 22 du RGPD car cela ne produit pas d’effets juridiques ou ne vous affecte pas de manière significative.

8.2. Détection de Fraude

Nous pouvons utiliser des outils automatisés pour détecter les transactions frauduleuses. Si une transaction est signalée, un humain l’examinera avant toute action.

8.3. Pas de Profilage Marketing

Nous n’utilisons pas vos données pour du profilage automatisé ou de la publicité ciblée.

9. MODIFICATIONS DE CETTE POLITIQUE

Nous pouvons mettre à jour cette Politique de Confidentialité pour refléter des changements :

• De nos pratiques en matière de données
• D’exigences légales ou réglementaires
• De fonctionnalités du Service

Notification : Nous vous notifierons des modifications importantes par :

• E-mail (à votre adresse e-mail enregistrée)
• Avis visible sur le Service

Votre consentement : L’utilisation continue du Service après les modifications constitue une acceptation. Si vous n’êtes pas d’accord, vous pouvez supprimer votre compte.

Historique des versions : Les versions précédentes sont disponibles sur demande.

10. NOUS CONTACTER

Délégué à la Protection des Données

LUDOMATIQUE SASU n’a actuellement pas de DPD dédié (non requis par le RGPD pour notre taille). Pour toute demande relative à la protection des données :

E-mail : contact@mindchat.world Adresse postale : LUDOMATIQUE SASU Service Protection des Données 19 rue Saint Jean 52000 Chaumont FRANCE

Délai de réponse : Nous visons à répondre dans les 5 jours ouvrables pour les demandes générales, et dans 1 mois pour les demandes d’exercice de droits (tel que requis par le RGPD).

11. INFORMATIONS SPÉCIFIQUES POUR LES RÉSIDENTS DE L’UE

11.1. Résumé des Bases Légales

Nous traitons vos données personnelles sur les bases légales suivantes :

• Exécution du contrat (Article 6(1)(b)) : Compte, fourniture du Service, abonnements
• Obligation légale (Article 6(1)(c)) : Conformité fiscale, registres comptables
• Intérêt légitime (Article 6(1)(f)) : Analytics, prévention de la fraude, amélioration du service
• Consentement (Article 6(1)(a)) : Cookies analytiques optionnels, marketing (le cas échéant)

11.2. Autorité de Protection des Données

France : CNIL - 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 Site web : www.cnil.fr Téléphone : +33 1 53 73 22 22

11.3. Transferts Transfrontaliers

Lorsque nous transférons des données en dehors de l’EEE, nous nous appuyons sur :

• Décisions d’adéquation (Article 45) : Pour les pays jugés adéquats par la Commission européenne
• Clauses Contractuelles Types (Article 46) : Pour les autres transferts
• Votre consentement explicite (Article 49) : Dans des cas spécifiques où vous êtes informé

12. RÉSIDENTS DE CALIFORNIE (CCPA)

Si vous êtes résident de Californie, vous disposez de droits supplémentaires en vertu du California Consumer Privacy Act (CCPA) :

• Droit de savoir quelles informations personnelles sont collectées
• Droit de savoir si les informations personnelles sont vendues ou divulguées
• Droit de refuser la vente (nous ne vendons pas de données)
• Droit à la suppression
• Droit à la non-discrimination

Note : MindChat sert principalement des utilisateurs de l’UE. Les droits CCPA sont fournis par courtoisie mais peuvent ne pas s’appliquer si vous n’êtes pas résident de Californie.

13. GLOSSAIRE

• RGPD : Règlement Général sur la Protection des Données (UE) 2016/679
• Données Personnelles : Toute information relative à une personne physique identifiée ou identifiable
• Responsable de Traitement : L’entité qui détermine les finalités et les moyens du traitement des données personnelles (LUDOMATIQUE SASU)
• Sous-traitant : Une entité qui traite des données personnelles pour le compte du responsable de traitement (ex : Stripe, Supabase)
• Personne Concernée : L’individu auquel les données personnelles se rapportent (vous)
• Traitement : Toute opération effectuée sur des données personnelles (collecte, stockage, utilisation, divulgation, suppression)

TABLEAU RÉCAPITULATIF : VOS DONNÉES EN UN COUP D’ŒIL

Cette Politique de Confidentialité a été mise à jour le 16 octobre 2025 et est effective immédiatement.

Si vous avez des questions concernant cette Politique de Confidentialité ou nos pratiques en matière de données, veuillez nous contacter à contact@mindchat.world.