Politique de Confidentialité

1. Responsable du traitement

2. Données collectées

2.1 Données fournies par l'Utilisateur

• Adresse email — Identification, connexion, communication (exécution du contrat)
• Mot de passe (haché) — Authentification (exécution du contrat)
• Prénom (optionnel) — Personnalisation des consultations (consentement)
• Date de naissance (optionnelle) — Consultations astrologiques et numérologiques (consentement)
• Signe astrologique (optionnel) — Personnalisation du contenu (consentement)

2.2 Données générées par l'utilisation

• Historique des consultations, tirages de tarot, données de paiement (via Stripe), voyants consultés et fréquence, données de navigation, adresse IP, données de l'appareil.

2.3 Données NON collectées

Nous ne collectons pas de données de santé, de données biométriques, ni de données de géolocalisation précise. Nous ne vendons jamais vos données à des tiers.

3. Finalités du traitement

• Gestion du compte utilisateur (exécution du contrat)
• Fourniture du service de consultation (exécution du contrat)
• Facturation et paiement (exécution du contrat)
• Personnalisation du contenu (consentement)
• Amélioration du service (intérêt légitime)
• Communications transactionnelles (exécution du contrat) et newsletter/horoscope (consentement)
• Prévention des abus et sécurité (intérêt légitime)
• Conformité légale (obligation légale)

4. Sous-traitants et transferts de données

4.1 Sous-traitants

• Anthropic (USA) — Intelligence artificielle (Claude API). Clauses contractuelles types, pas de stockage des conversations en mode API.
• Stripe (Irlande, UE) — Paiement sécurisé. Certifié PCI DSS Niveau 1, conforme RGPD.
• Infomaniak Network SA (Suisse, Genève) — Hébergement serveurs. Conforme LPD et RGPD, certifié ISO 27001.
• Google (USA) — Authentification OAuth. Clauses contractuelles types.
• Apple (USA) — Authentification Sign-In. Clauses contractuelles types.

4.2 Transferts hors UE/Suisse

Certaines données peuvent être transférées vers les États-Unis (Anthropic, Google, Apple). Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, le cadre de protection des données UE-USA, et des mesures de sécurité supplémentaires (chiffrement en transit et au repos).

4.3 Données transmises à Anthropic (Claude API)

Lors d'une consultation, les messages de l'Utilisateur sont transmis à l'API Claude d'Anthropic pour générer les réponses du Voyant. Les messages ne sont pas utilisés pour entraîner les modèles d'IA, ne sont pas stockés de manière permanente par Anthropic, et sont traités puis supprimés conformément à la politique de rétention d'Anthropic (30 jours maximum pour les logs de sécurité).

5. Durée de conservation

• Compte utilisateur: jusqu'à suppression du compte
• Historique des consultations : selon le plan (3 jours à illimité)
• Données de facturation : 10 ans après la transaction (obligation légale)
• Logs techniques : 12 mois
• Données marketing: jusqu'au désabonnement
• Compte inactif: suppression automatique après 24 mois d'inactivité

Après suppression du compte, les données sont effacées sous 30 jours, sauf celles soumises à une obligation de conservation légale (facturation).

6. Droits des Utilisateurs

6.1 Droits RGPD (résidents UE)

Accès, rectification, suppression, limitation, portabilité, opposition, retrait du consentement.

6.2 Droits LPD (résidents Suisse)

Les résidents suisses bénéficient des mêmes droits, conformément à la nouvelle Loi fédérale sur la Protection des Données (nLPD) entrée en vigueur le 1er septembre 2023.

6.3 Droits canadiens

Les résidents canadiens bénéficient des droits prévus par la LPRPDE et, pour le Québec, de la Loi 25.

6.4 Exercer vos droits

Contactez-nous à : contact@divinalys.com. Nous répondrons dans un délai de 30 jours.

6.5 Réclamation

• Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT)
• France : CNIL (cnil.fr)
• Belgique : APD (autoriteprotectiondonnees.be)
• Canada : Commissariat à la protection de la vie privée

7. Cookies et traceurs

7.1 Cookies strictement nécessaires (pas de consentement requis)

• Session d'authentification — maintenir la connexion (durée de la session)
• Préférences d'affichage — mode sombre/clair, langue (1 an)
• Sécurité (CSRF) — protection contre les attaques (durée de la session)

7.2 Cookies analytiques (consentement requis)

Statistiques de navigation — amélioration du service (13 mois max).

Pas de cookies publicitaires.Divinalys n'utilise pas de cookies de ciblage publicitaire ni de traceurs tiers à des fins marketing. Un bandeau de consentement est affiché lors de la première visite.

8. Sécurité

• Chiffrement des données en transit (TLS 1.3)
• Chiffrement des mots de passe (bcrypt)
• Accès restreint aux données (principe du moindre privilège)
• Sauvegardes régulières et chiffrées
• Monitoring des accès et alertes de sécurité
• Pas de stockage de données bancaires (délégué à Stripe)

9. Mineurs

La Plateforme est interdite aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons qu'un mineur a créé un compte, nous le supprimons immédiatement.

10. Modifications

Cette politique peut être modifiée à tout moment. Les modifications substantielles seront communiquées par email ou notification in-app au moins 30 jours avant leur entrée en vigueur.