Confidentialité

Politique de Confidentialité

Dernière mise à jour : mars 2026

1. Responsable du traitement

Onirae SAS, société par actions simplifiée immatriculée en France, est responsable du traitement de vos données personnelles au sens de l'article 4(7) du Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données, ci-après « RGPD ») dans le cadre de la fourniture de ses services. Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données (DPO) : privacy@oni-rae.com

2. Données collectées

Dans le cadre de la fourniture du Service, nous collectons et traitons les catégories de données personnelles suivantes :

  • Données d'identification : adresse email, nom et prénom (facultatif), identifiant unique de compte
  • Données de profil enfant : prénom, âge, genre (optionnel), centres d'intérêt, traits de caractère (optionnel), description physique (optionnel) — ces données sont nécessaires à la personnalisation des histoires
  • Données de paiement : traitées exclusivement par notre prestataire de paiement Stripe Inc. — Onirae ne collecte, ne stocke et n'a jamais accès à vos données bancaires (numéro de carte, CVV, etc.)
  • Données techniques : adresse IP, type et version du navigateur, système d'exploitation, logs de connexion et d'utilisation du Service, identifiants de session
  • Données de contenu : histoires générées, enregistrements vocaux parentaux, suggestions envoyées
  • Données de préférences : langue sélectionnée, paramètres d'affichage

3. Finalités et base légale du traitement

Vos données sont traitées pour les finalités suivantes, chacune associée à une base légale spécifique :

  • Exécution du contrat (article 6.1.b RGPD) : fourniture du Service de génération d'histoires personnalisées, gestion de votre compte utilisateur, gestion de votre abonnement et facturation, support client
  • Intérêt légitime (article 6.1.f RGPD) : amélioration continue du Service, détection et prévention des fraudes, modération des contenus et sécurité du Service, statistiques d'utilisation anonymisées
  • Obligation légale (article 6.1.c RGPD) : conservation des données de facturation (obligations fiscales et comptables), réponse aux réquisitions judiciaires, respect des obligations LCEN
  • Consentement (article 6.1.a RGPD) : envoi de communications marketing (le cas échéant), dépôt de cookies non essentiels (le cas échéant)

4. Protection des données des enfants

Onirae accorde une attention particulière à la protection des données personnelles des enfants, conformément à l'article 8 du RGPD et à l'article 45 de la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés). Les données des enfants (prénom, âge, centres d'intérêt, traits de caractère) sont collectées uniquement auprès du Responsable Légal de l'enfant — jamais directement auprès des enfants eux-mêmes. Ces données sont utilisées exclusivement pour la personnalisation des histoires et ne sont jamais utilisées à des fins de profilage commercial, de publicité ciblée ou de marketing. Les données relatives aux enfants ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales. Lors de la transmission au service de génération d'histoires (OpenAI), seuls le prénom, l'âge et les centres d'intérêt sont transmis, de manière anonymisée (aucun identifiant de compte, aucune donnée permettant de rattacher l'enfant à un utilisateur). Vous pouvez à tout moment supprimer les profils enfants et les données associées depuis votre espace personnel, ou en adressant une demande à privacy@oni-rae.com.

5. Sous-traitants et transferts de données

Nous ne vendons jamais vos données personnelles. Dans le cadre de la fourniture du Service, vos données peuvent être communiquées aux sous-traitants suivants, conformément à l'article 28 du RGPD :

  • Supabase Inc. (San Francisco, USA) — hébergement de la base de données, authentification et stockage de fichiers. Données concernées : toutes les données utilisateur et enfant. Garanties : clauses contractuelles types (CCT) approuvées par la Commission européenne, chiffrement au repos et en transit
  • Stripe Inc. (San Francisco, USA) — traitement sécurisé des paiements. Données concernées : données de facturation. Garanties : certification PCI DSS niveau 1, CCT, Data Privacy Framework EU-US
  • Anthropic PBC (San Francisco, USA) — génération des histoires et modération des contenus par intelligence artificielle (Claude). Données concernées : prénom et âge de l'enfant, centres d'intérêt, thème et paramètres de l'histoire (données anonymisées, sans identifiant utilisateur). Garanties : CCT, les données transmises ne sont pas utilisées pour l'entraînement des modèles (API mode)
  • OpenAI LP (San Francisco, USA) — narration audio des histoires par synthèse vocale (TTS), plans Rêveur et Famille uniquement. Données concernées : texte de l'histoire générée. Garanties : CCT, les données transmises ne sont pas utilisées pour l'entraînement des modèles (API mode)
  • Resend Inc. (USA) — envoi d'emails transactionnels (confirmation de compte, réinitialisation de mot de passe, notifications). Données concernées : adresse email. Garanties : CCT, chiffrement TLS
  • Vercel Inc. (San Francisco, USA) — hébergement de l'application web et réseau de diffusion de contenu (CDN). Données concernées : données techniques de navigation. Garanties : CCT, infrastructure certifiée SOC 2 Type II
  • Personnel administrateur habilité d'Onirae — accès strictement limité aux finalités de sécurité, modération et support, soumis à une obligation contractuelle de confidentialité renforcée. Tous les accès sont tracés dans les journaux système de notre infrastructure d'hébergement et dans notre journal d'audit interne

Certains de nos sous-traitants sont situés aux États-Unis. Les transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914), le Data Privacy Framework EU-US lorsqu'applicable, et des mesures techniques supplémentaires (chiffrement, pseudonymisation). Vous pouvez obtenir une copie des garanties appropriées en nous contactant à privacy@oni-rae.com.

6. Conservation des données

Vos données personnelles sont conservées selon les durées suivantes :

  • Données de compte (email, nom) : durée de vie du compte, puis 3 ans après la clôture du compte conformément au délai de prescription en matière civile
  • Données de profil enfant : durée de vie du profil (suppression immédiate sur demande), puis effacement immédiat à la clôture du compte
  • Histoires générées : conservées jusqu'à suppression par l'utilisateur ou clôture du compte. Les histoires supprimées sont effacées définitivement et immédiatement
  • Enregistrements vocaux : conservés jusqu'à suppression par l'utilisateur ou clôture du compte
  • Données de facturation : 10 ans conformément aux obligations comptables et fiscales françaises (article L123-22 du Code de commerce)
  • Données techniques et logs : 12 mois conformément aux obligations de la LCEN (article 6-II)
  • Données de modération : durée nécessaire au traitement du signalement, puis archivage pendant 1 an

À l'expiration des durées de conservation, les données sont supprimées de manière sécurisée ou anonymisées de manière irréversible.

7. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles et sur celles de vos enfants :

  • Droit d'accès (article 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
  • Droit de rectification (article 16 RGPD) : faire corriger les données inexactes ou incomplètes vous concernant
  • Droit à l'effacement / droit à l'oubli (article 17 RGPD) : obtenir la suppression de vos données dans les cas prévus par la réglementation
  • Droit à la limitation du traitement (article 18 RGPD) : obtenir la limitation du traitement de vos données dans certaines circonstances
  • Droit à la portabilité (article 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement
  • Droit d'opposition (article 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
  • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement, sans affecter la licéité du traitement antérieur
  • Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés)
  • Droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr — si vous estimez que le traitement de vos données constitue une violation du RGPD

Pour exercer l'un de ces droits, adressez votre demande accompagnée d'un justificatif d'identité à : privacy@oni-rae.com

Nous nous engageons à répondre à votre demande dans un délai d'un (1) mois à compter de sa réception, conformément à l'article 12(3) du RGPD. Ce délai peut être prolongé de deux (2) mois en cas de demande complexe ou de volume élevé de demandes, auquel cas vous serez informé de cette prolongation.

8. Décisions automatisées et profilage

Onirae n'utilise aucun système de prise de décision entièrement automatisée au sens de l'article 22 du RGPD produisant des effets juridiques ou significatifs vous concernant. La génération d'histoires par intelligence artificielle constitue un traitement automatisé, mais elle n'a aucun effet juridique et vous conservez à tout moment la possibilité de régénérer, continuer ou supprimer les contenus générés. Les données de profil enfant ne font l'objet d'aucun profilage à des fins commerciales ou publicitaires.

9. Sécurité des données

Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, incluant notamment :

  • Chiffrement de toutes les communications en transit (TLS 1.2 minimum)
  • Chiffrement des données sensibles au repos
  • Authentification sécurisée avec hachage des mots de passe (bcrypt)
  • Contrôle d'accès strict basé sur les rôles (RBAC) pour le personnel administrateur
  • Journalisation et traçabilité de tous les accès aux données
  • Sauvegardes régulières avec procédures de restauration testées
  • Évaluation régulière des mesures de sécurité et correction des vulnérabilités

10. Notification de violation de données

En cas de violation de données personnelles au sens de l'article 33 du RGPD (accès non autorisé, perte, destruction ou divulgation accidentelle de données), Onirae notifiera la CNIL dans les 72 heures suivant la prise de connaissance de la violation, sauf si celle-ci n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Si la violation est susceptible d'engendrer un risque élevé, les personnes concernées seront informées dans les meilleurs délais conformément à l'article 34 du RGPD, avec une description de la nature de la violation, des conséquences probables et des mesures prises pour y remédier.

11. Modification de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. Toute modification substantielle sera notifiée par email au moins trente (30) jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de cette page. Nous vous encourageons à consulter régulièrement cette politique.

12. Contact

Pour toute question relative à la protection de vos données personnelles, pour exercer vos droits ou pour signaler un incident de sécurité : privacy@oni-rae.com