1. Introduction Nous vous informons ci-après du traitement des données à caractère personnel lors de l’utilisation : - de notre application Sharp; - et, le cas échéant, de notre site web et pages d’aide. Les « données à caractère personnel » sont toutes informations se rapportant à une personne physique identifiée ou identifiable (p. ex. nom, e-mail, identifiant publicitaire, adresse IP). 1.1. Responsable du traitement bending words SAS 33 Av. du Maine, 75015 Paris, France Représentée par : Leon Mächler et Gustav Grimberg E-mail : support@bendingwords.com Délégué à la protection des données (DPO) Leon Mächler – support@bendingwords.com 1.2. Étendue, finalités et bases juridiques Sauf mention contraire, nous traitons vos données pour : - fournir le service (art. 6(1)(b) RGPD), - améliorer la sécurité et la stabilité (art. 6(1)(f) RGPD – intérêt légitime), - respecter nos obligations légales (art. 6(1)(c) RGPD), - avec votre consentement lorsque requis (art. 6(1)(a) RGPD). 1.3. Traitements hors EEE Lorsque des données sont transférées vers des pays hors EEE (p. ex. États-Unis), nous utilisons les Clauses Contractuelles Types de la Commission européenne (art. 46 RGPD) et, le cas échéant, des mesures complémentaires (chiffrement, minimisation). 1.4. Durée de conservation Nous conservons les données uniquement pendant la durée nécessaire aux finalités décrites, puis les supprimons ou anonymisons. Les journaux techniques (logs) sont en règle générale conservés ≤ 14 jours, sauf obligation légale contraire. 1.5. Droits des personnes concernées Vous disposez des droits d’accès, rectification, effacement, limitation, opposition, portabilité et de retrait du consentement. Pour les exercer : privacy@bendingwords.com. Vous pouvez également saisir une autorité de contrôle. 1.6. Obligation de fournir des données Certaines données sont nécessaires pour créer et maintenir un compte et/ou fournir Sharp. Sans ces données, l’utilisation de Sharp peut être impossible. 1.7. Pas de décision automatisée Aucune prise de décision entièrement automatisée au sens de l’art. 22 RGPD n’est effectuée. 1.8. Prise de contact Si vous nous contactez (e-mail, formulaire), nous traitons les données communiquées pour répondre à votre demande (art. 6(1)(f) RGPD). Elles sont supprimées lorsqu’elles ne sont plus nécessaires. 2. Catégories de données traitées - Compte & identification : e-mail, mot de passe haché (si applicable), identifiants de connexion via Google (voir 3.5), ID utilisateur interne. - Contenu : messages/chats que vous envoyez à l’IA (voir 4.1). - Données techniques & d’usage : modèle d’appareil, OS, version de l’app, langue, fuseau horaire, adresses IP (écourtées/minimisées lorsque possible), diagnostics, crash reports, événements d’usage (p. ex. ouverture d’écran). - Données de paiement : si vous effectuez des achats in-app (IAP), le traitement est réalisé par Apple (nous ne recevons pas vos données de carte). Important : merci de ne pas envoyer de données sensibles (santé, données bancaires, adresses physiques, identités de tiers, etc.) dans vos messages à l’IA. Sharp n’est pas destiné à traiter de telles données. 3. Traitements sur le site/app 3.1. Utilisation informative Lors d’une simple consultation, nous traitons des données techniques nécessaires à la sécurité et à la stabilité (art. 6(1)(f) RGPD) : adresse IP, date/heure, user-agent, pages consultées, codes d’état, etc. Suppression des logs au plus tard sous 14 jours. 3.2. Hébergement et infrastructure DigitalOcean LLC (EU lorsque possible) – hébergement/compute. MongoDB Inc. (MongoDB Atlas) (régions UE lorsque possible) – base de données. Supabase Inc. – authentification, base de données et services backend (régions UE lorsque possible). Ces prestataires agissent en tant que sous-traitants selon nos instructions contractuelles. Base juridique : art. 6(1)(b) et 6(1)(f) RGPD. Transferts hors EEE couverts par CCT. 3.3. Espace compte La création et la gestion du compte requièrent certaines données (p. ex. e-mail). Base : exécution du contrat (art. 6(1)(b) RGPD). 3.4. Notifications e-mail Nous pouvons envoyer des e-mails transactionnels (création de compte, sécurité, reçus…). Base : art. 6(1)(b)/(f) RGPD. Pour tout marketing (le cas échéant), nous demandons le consentement (art. 6(1)(a) RGPD). Contact : privacy@bendingwords.com. 3.5. Connexion via Google (Single Sign-On) Vous pouvez vous connecter avec Google. Nous recevons du fournisseur l’information que vous êtes authentifié et les données de profil nécessaires (p. ex. e-mail). Base : consentement (art. 6(1)(a) RGPD) et/ou exécution du contrat (art. 6(1)(b)). Prestataire : Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande. Politique de confidentialité : https://policies.google.com/privacy 3.6. Achats in-app (IAP) – Apple Les achats in-app sur iOS sont traités par Apple Inc. (Apple Media Services). Nous ne recevons pas vos données de carte. Nous traitons côté app des métadonnées d’achat (état d’abonnement, reçus signés) pour fournir la fonctionnalité achetée (art. 6(1)(b) RGPD). 4. IA et fournisseurs tiers spécifiques 4.1. OpenAI (traitement du contenu de message) Nous transmettons le contenu de vos messages (après minimisation et exclusion des métadonnées non nécessaires, p. ex. pas d’adresse IP directe) à OpenAI Ireland Ltd pour générer des réponses de l’IA, uniquement selon nos instructions. OpenAI n’utilise pas ces données pour ses propres finalités commerciales. Les données sont supprimées par OpenAI conformément aux engagements contractuels. Base : exécution du contrat (art. 6(1)(b)) et intérêt légitime à fournir la fonctionnalité IA (art. 6(1)(f)); consentement si requis. Transferts éventuels hors EEE couverts par CCT. 4.2. Supabase Supabase Inc. fournit des fonctionnalités d’authentification, de base de données et d’API. Données traitées : identifiants de compte, métadonnées d’usage strictement nécessaires. Base : art. 6(1)(b)/(f). Transferts hors EEE couverts par CCT. 4.3. MongoDB Atlas MongoDB Inc. héberge certaines données applicatives. Nous privilégions les régions UE. Base : art. 6(1)(b)/(f). Transferts hors EEE couverts par CCT. 4.4. DigitalOcean DigitalOcean LLC héberge notre infrastructure (EU lorsque possible). Données : logs systèmes et données applicatives minimisées. Base : art. 6(1)(b)/(f). Transferts hors EEE couverts par CCT. Nous n’utilisons pas de SDK publicitaires tiers, pixels de suivi marketing, ni de profilage publicitaire au sein de Sharp. 5. Sécurité Nous appliquons des mesures techniques et organisationnelles appropriées, dont chiffrement TLS en transit, contrôles d’accès, journalisation, sauvegardes et revue de sécurité. L’accès aux données est limité au personnel autorisé, soumis à confidentialité. 6. Enfants et mineurs Sharp n’est pas destiné aux enfants de moins de 13 ans. Nous ne collectons pas sciemment de données auprès de personnes âgées de moins de 13 ans. 7. Conservation & suppression Sur demande ou à la fermeture de compte, nous supprimons ou anonymisons vos données, sauf obligation de conservation (comptable/légale). Les délais précis varient selon la catégorie de données et les obligations applicables. 8. Violations de données En cas de violation de données à caractère personnel, nous notifierons l’autorité de contrôle et, lorsque requis, les personnes concernées, conformément aux articles 33 et 34 RGPD. 9. Modifications Nous pouvons mettre à jour la présente politique. Nous vous informerons des modifications substantielles via notification in-app, e-mail ou note sur notre site avant leur entrée en vigueur. 10. Contact Questions, demandes d’exercice de droits, signalements : support@bendingwords.com Adresse postale : bending words SAS, 33 Av. du Maine, 75015 Paris, France.