← Retour à l'accueil

Politique de Confidentialité

Comment Synap'Kids collecte, utilise et protège vos données personnelles

Dernière mise à jour : 8 janvier 2026

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

• Nom : Synap'Kids
• Adresse : 13, rue de la Pépinière, 5000 Namur, Belgique
• Email : support@synapkids.com
• Téléphone : +32 465 39 53 08

2. Données collectées

2.1. Données du compte utilisateur

• Authentification : Email (via Google OAuth ou Apple Sign-In), identifiant Google/Apple, code unique (comptes privés)
• Profil : Nom complet, pseudo, rôle (maman/papa)
• Contexte parental : Statut marital, nombre d'enfants, situation professionnelle, niveau de stress/fatigue/état émotionnel
• Technique : OneSignal Player ID (notifications push), adresse IP (horodatage consentements), User Agent

2.2. Données des enfants (sensibles RGPD Article 9)

• Identification : Nom, prénom, date de naissance, sexe
• Croissance : Poids, taille, périmètre crânien, courbes de croissance
• Santé : Données de sommeil (durée, qualité), poussée dentaire
• Développement : Évènements marquants, commentaires parentaux

2.3. Données d'utilisation

• Conversations IA : Messages échangés avec Ped'IA, résumés personnalisés, mémoire vectorielle
• Communauté : Posts forum, réponses, likes
• Messages privés : Contenu des messages entre utilisateurs
• Notifications : Historique des notifications envoyées
• Modération : Signalements effectués (profils, posts, commentaires), utilisateurs bloqués, statut de bannissement (date, raison)

3. Finalités et bases légales

3.1. Gestion du compte et authentification

• Finalité : Vous permettre de créer un compte et accéder aux services
• Base légale : Exécution du contrat (RGPD Art. 6.1.b)

3.2. Suivi du développement de vos enfants

• Finalité : Vous permettre de suivre la croissance et le développement de vos enfants
• Base légale : Exécution du contrat + Consentement parental explicite (RGPD Art. 6.1.b + Art. 9.2.a)

3.3. Conseils personnalisés par Intelligence Artificielle

• Finalité : Générer des conseils, suggestions, recettes et histoires personnalisés via IA
• Base légale : Consentement explicite (RGPD Art. 6.1.a + Art. 9.2.a pour données de santé)
• Données transmises à OpenAI avec votre consentement :
  • ✅ Prénom de l'enfant (pour personnalisation : "Emma, à 2 ans...")
  • ✅ Âge en jours (ex: 730 jours = 2 ans pile) - Précision maximale
  • ✅ Sexe, contexte médical (allergies), jalons de développement, mesures de croissance
  • ❌ Date de naissance exacte : JAMAIS transmise
  • ❌ Nom de famille : JAMAIS transmis
• Consentement requis : Lors de votre première connexion, une fenêtre vous demande explicitement l'autorisation de transmettre ces données à OpenAI pour personnaliser Ped'IA
• Important : Vous pouvez retirer ce consentement à tout moment dans les paramètres, mais Ped'IA ne pourra plus vous appeler par votre prénom ni adapter ses conseils avec précision

3.4. Communauté et échanges

• Finalité : Permettre les échanges entre parents via forum et messagerie
• Base légale : Exécution du contrat (RGPD Art. 6.1.b)

3.5. Notifications push

• Finalité : Vous tenir informé (nouveaux messages, conseils, rappels)
• Base légale : Consentement (RGPD Art. 6.1.a) + Permission système

3.6. Modération et sécurité

• Finalité : Assurer la sécurité de la communauté et le respect des règles
• Base légale : Intérêt légitime (RGPD Art. 6.1.f)
• Modération automatique : Nous utilisons l'API OpenAI Moderation pour détecter automatiquement les contenus inappropriés (violence, haine, harcèlement, contenu sexuel, etc.) avant leur publication
• Signalement par les utilisateurs : Les utilisateurs peuvent signaler des profils, publications ou commentaires qu'ils jugent inappropriés
• Sanctions possibles : En cas de violation des règles communautaires, un compte peut être temporairement ou définitivement banni. L'utilisateur banni est informé de la raison du bannissement

4. Destinataires des données

4.1. Supabase Inc. (Hébergement et base de données)

• Rôle : Hébergement de la base de données, authentification, stockage
• Localisation : USA (centres de données européens disponibles)
• DPA (Data Processing Agreement) : Inclus dans les Terms of Service Supabase
• Certifications : SOC 2 Type II, ISO 27001
• Site : https://supabase.com

4.2. OpenAI OpCo, LLC (Intelligence Artificielle)

• Rôle : Génération de conseils personnalisés via GPT-4 / GPT-3.5-turbo
• Localisation : USA
• DPA : Inclus dans OpenAI Business Terms
• Garanties importantes :
  • ❌ Vos données ne sont PAS utilisées pour entraîner les modèles OpenAI
  • ⏱️ Rétention : 30 jours maximum, puis suppression automatique
  • 🔒 Standard Contractual Clauses (SCC) pour transferts UE-USA
  • 🎭 Données transmises avec consentement explicite :
    • ✅ Prénom de l'enfant : Transmis pour personnaliser les conseils ("Emma, à 2 ans...")
    • ✅ Âge en jours (ex: 730 jours) : Précision maximale sans révéler la date de naissance exacte (approximation ±3-4 jours)
    • ❌ Date de naissance exacte : JAMAIS transmise
    • ❌ Nom de famille : JAMAIS transmis
  • 🔐 Authentification requise : Depuis novembre 2025, toutes les requêtes IA nécessitent un code d'authentification valide, empêchant tout accès non autorisé
• Site : https://openai.com

4.2.1. OpenAI Moderation API (Modération de contenu)

• Rôle : Détection automatique de contenu inapproprié avant publication
• Données transmises : Texte des publications et commentaires uniquement (aucune donnée personnelle)
• Catégories détectées : Violence, haine, harcèlement, automutilation, contenu sexuel
• Gratuit : L'API Moderation d'OpenAI est gratuite et ne consomme pas de tokens
• Pas de stockage : Les textes analysés ne sont pas conservés par OpenAI

4.3. OneSignal Inc. (Notifications push)

• Rôle : Envoi de notifications push sur vos appareils
• Localisation : USA
• DPA : À vérifier avec OneSignal
• Site : https://onesignal.com

4.4. Google LLC (Authentification OAuth)

• Rôle : Authentification via compte Google
• Localisation : USA
• DPA : Google Cloud Platform Terms of Service
• Garanties : Standard Contractual Clauses
• Politique Google : https://policies.google.com/privacy

4.5. Apple Inc. (Authentification Sign-In with Apple)

• Rôle : Authentification via compte Apple
• Localisation : USA
• DPA : Apple Developer Program License Agreement
• Garanties : Standard Contractual Clauses
• Particularité : Apple peut masquer l'email réel de l'utilisateur via le service "Hide My Email"
• Politique Apple : https://www.apple.com/legal/privacy/

4.6. Vercel Inc. (Hébergement et API)

• Rôle : Hébergement du site web et des API serverless
• Localisation : USA (avec Edge Network mondial)
• Données traitées : Requêtes HTTP, adresses IP, logs d'accès
• DPA : Vercel Data Processing Addendum
• Garanties : Standard Contractual Clauses, SOC 2 Type II
• Politique Vercel : https://vercel.com/legal/privacy-policy

4.7. Stripe Inc. (Paiements)

• Rôle : Traitement des paiements pour les abonnements Premium
• Localisation : USA
• Données traitées : Email, informations de paiement (carte bancaire traitée directement par Stripe, jamais stockée chez nous)
• DPA : Stripe Data Processing Agreement
• Garanties : PCI DSS Level 1, Standard Contractual Clauses, SOC 2
• Particularité : Synap'Kids ne stocke JAMAIS vos données bancaires. Seul Stripe y a accès.
• Politique Stripe : https://stripe.com/fr/privacy

4.8. Autres destinataires

• Membres de votre famille : Si vous utilisez la fonction famille partagée
• Autres utilisateurs : Pour les contenus publics (forum) et messages privés
• Autorités : Uniquement sur réquisition judiciaire

5. Transferts hors Union Européenne

Garanties mises en place :

• ✅ Standard Contractual Clauses (SCC) avec tous les sous-traitants US
• ✅ Data Processing Agreements (DPA) signés
• ✅ Minimisation des données : seules les données nécessaires sont transférées
• ✅ Chiffrement TLS pour tous les échanges
• ✅ Engagement OpenAI : pas d'utilisation pour entraînement, suppression après 30 jours

6. Durée de conservation

6.1. Compte actif

• Données de compte (email, pseudo, avatar) : Durée de vie du compte
• Données enfants (prénom, date de naissance, mesures) : Durée de vie du compte ou jusqu'à suppression manuelle de l'enfant
• Conversations IA : Durée de vie du compte (historique complet conservé)
• Mémoire IA (snapshots) : Durée de vie du compte
• Posts et commentaires forum : Durée de vie du compte (suppression en cascade)
• Messages privés : Durée de vie du compte de l'expéditeur ET du destinataire
• Journal de bébé (événements) : Durée de vie du compte

6.2. Comptes inactifs

• Définition : Aucune connexion depuis 36 mois (3 ans)
• Procédure : Envoi d'un email de rappel 30 jours avant suppression
• Action : Suppression automatique du compte et de toutes les données associées
• Exception : Les comptes Premium actifs ne sont jamais supprimés automatiquement

6.3. Après suppression de compte

• Suppression immédiate : Toutes vos données personnelles sont supprimées en cascade (profil, enfants, conversations, messages, posts)
• Backups techniques : Conservés maximum 30 jours, puis suppression définitive
• Chez OpenAI : 30 jours maximum selon leur politique de rétention (Zero Data Retention API)
• Données anonymisées : Les statistiques agrégées (sans données personnelles) peuvent être conservées indéfiniment

6.4. Données de paiement

• Données bancaires : JAMAIS stockées chez Synap'Kids (traitées uniquement par Stripe)
• Historique d'abonnement : Durée de vie du compte + 10 ans après fin d'abonnement (obligation légale comptable)
• Factures : 10 ans (obligation légale belge - Code de droit économique)
• Chez Stripe : Selon leur politique de rétention (7 ans minimum pour conformité réglementaire)

6.5. Données techniques et logs

• Logs d'accès serveur : 12 mois maximum
• Analytics (visites, pages vues) : 26 mois (données agrégées conservées indéfiniment)
• Logs d'audit de sécurité : 10 000 dernières actions en mémoire (non persistés sauf incident)
• Tentatives de connexion échouées : 24 heures (suppression automatique)
• Sessions d'authentification : 7 jours d'inactivité puis expiration

6.6. Données de modération

• Signalements (tous statuts) : 3 ans
• Logs d'accès admin aux messages privés : 3 ans (traçabilité RGPD)
• Historique de bannissement : Durée de vie du compte banni (prévention récidives)
• Décisions de modération : 3 ans (droit de recours)
• Historique notifications push : 90 jours

6.7. Tableau récapitulatif

Type de données	Durée
Compte et profil	Durée du compte
Données enfants	Durée du compte
Conversations IA	Durée du compte
Messages privés	Durée du compte
Posts forum	Durée du compte
Comptes inactifs	36 mois puis suppression
Backups après suppression	30 jours
Factures	10 ans (légal)
Logs serveur	12 mois
Analytics	26 mois
Signalements	3 ans
Logs admin messages	3 ans
Données chez OpenAI	30 jours max

7. Sécurité des données

7.1. Mesures techniques

• 🔒 Chiffrement TLS pour tous les échanges client-serveur
• 🔐 Row Level Security (RLS) : isolation stricte des données entre utilisateurs
• 🛡️ Authentification sécurisée via OAuth Google, Apple Sign-In ou code unique privé
• 🔑 Hachage des mots de passe (délégué à Supabase Auth)
• 📊 Surveillance des accès et détection d'anomalies
• ⚡ Rate Limiting : Protection contre les abus (limite de 10 requêtes/minute par IP pour les appels IA, 100 requêtes/minute par code utilisateur)
• 🔐 Verrouillage de compte : Après 5 tentatives échouées de connexion en 15 minutes, le compte est temporairement verrouillé (15 minutes minimum, jusqu'à 4 heures en cas de récidive)
• 🎭 Personnalisation avec protection : Le prénom de l'enfant et son âge en jours (ex: 730 jours pour 2 ans) sont transmis à OpenAI AVEC VOTRE CONSENTEMENT EXPLICITE pour des conseils personnalisés et précis. La date de naissance exacte n'est JAMAIS transmise (protection RGPD/COPPA)
• 📝 Audit Trail : Toutes les actions sensibles sont enregistrées avec horodatage (requêtes IA, création/suppression de comptes, accès anormaux) pour garantir la traçabilité et détecter les activités suspectes

7.2. Mesures organisationnelles

• ✅ Minimisation des données : seules les données nécessaires sont collectées
• ✅ Accès limité : seul le responsable de Synap'Kids peut accéder aux données (voir section 13)
• ✅ Audits réguliers de sécurité
• ✅ Backup chiffrés et répliqués
• ✅ Plan de continuité en cas d'incident

7.3. Vos responsabilités

• 🔒 Protégez votre appareil et votre session
• 🚫 Ne partagez jamais votre code unique (comptes privés)
• 👁️ Déconnectez-vous sur les appareils partagés
• 📧 Signalez toute activité suspecte à support@synapkids.com

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

8.1. Droit d'accès (Article 15)

• Objectif : Obtenir une copie de toutes vos données personnelles
• Comment : Depuis Gestion famille > Compte → Bouton "📥 Télécharger mes données"
• Format : Fichier JSON complet avec toutes vos données
• Délai : Immédiat (automatisé)

8.2. Droit de rectification (Article 16)

• Objectif : Corriger des données inexactes ou incomplètes
• Comment : Directement dans l'application (profil, enfants, etc.)
• Délai : Immédiat

8.3. Droit à l'effacement - "Droit à l'oubli" (Article 17)

• Objectif : Supprimer définitivement toutes vos données
• Comment : Depuis Gestion famille > Compte → Bouton "Supprimer le compte"
• Effets :
  • ✅ Suppression immédiate et définitive de toutes vos données
  • ✅ Suppression en cascade : profil, enfants, mesures, conversations IA, posts forum, messages
  • ✅ Déconnexion de votre famille
  • ⚠️ Action irréversible
• Délai : Immédiat (+ 30 jours backups techniques)

8.4. Droit à la portabilité (Article 20)

• Objectif : Récupérer vos données dans un format structuré
• Comment : Même fonction que le droit d'accès (export JSON)
• Format : JSON machine-readable

8.5. Droit d'opposition (Article 21)

• Objectif : S'opposer à certains traitements
• Comment :
  • Notifications : Désactivation dans les paramètres
  • IA : Retrait du consentement (limitations fonctionnelles)
  • Autres : Contact à support@synapkids.com

8.6. Droit à la limitation (Article 18)

• Objectif : Geler temporairement le traitement de vos données
• Comment : Demande à support@synapkids.com
• Délai : 1 mois maximum

8.7. Exercer vos droits

8.8. Réclamation auprès de l'autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de :

• Belgique : Autorité de Protection des Données (APD) - www.autoriteprotectiondonnees.be
• France : CNIL - www.cnil.fr
• Autre pays UE : Autorité de protection des données de votre pays

9. Cookies et stockage local

9.1. Pas de cookies publicitaires

✅ Synap'Kids n'utilise pas de cookies publicitaires ni de traceurs tiers (Google Analytics, Facebook Pixel, etc.).

9.2. LocalStorage (stockage technique)

Nous utilisons le localStorage de votre navigateur pour stocker :

• Session Supabase : Token d'authentification (nécessaire pour rester connecté)
• Préférences utilisateur : Langue, thème, paramètres de notifications
• Cache local : Données pour un chargement rapide (profil, enfants)
• OneSignal Subscription ID : Pour les notifications push (si activées)

9.3. Gestion du localStorage

• ✅ Nécessaire au fonctionnement : Pas besoin de consentement (cookies techniques exemptés)
• 🗑️ Suppression : Paramètres du navigateur → Effacer les données de navigation
• 🔒 Sécurité : Données chiffrées côté serveur, localStorage en clair mais limité à votre appareil

10. Données des enfants

10.1. Autorité parentale

10.2. Protection renforcée

Les données des enfants bénéficient d'une protection renforcée :

• ✅ Consentement parental explicite requis
• ✅ Données de santé : Traitement uniquement avec consentement RGPD Art. 9.2.a
• ✅ Minimisation maximale : Seules les données strictement nécessaires
• ✅ Pas de partage commercial avec des tiers
• ✅ Isolation stricte : RLS empêche tout accès non autorisé

10.3. Droits exercés par les parents

En tant que parent/tuteur, vous exercez tous les droits RGPD au nom de vos enfants :

• Accès, rectification, effacement, portabilité, opposition, limitation

11. Communications et emails

11.1. Types d'emails envoyés

Emails transactionnels (sans consentement requis) :

• Confirmation de création de compte
• Réinitialisation de mot de passe
• Notifications de sécurité (connexion inhabituelle, etc.)
• Informations importantes sur le service (maintenance, mises à jour majeures)
• Base légale : Exécution du contrat (RGPD Art. 6.1.b)

Emails d'information produit (sans consentement requis) :

• Nouvelles fonctionnalités de Synap'Kids
• Mises à jour de l'application
• Changements dans les conditions d'utilisation
• Base légale : Intérêt légitime (RGPD Art. 6.1.f)

Newsletter et emails marketing (consentement requis) :

• Conseils parentaux
• Actualités sur le développement de l'enfant
• Offres promotionnelles
• Base légale : Consentement explicite (RGPD Art. 6.1.a)

11.2. Gestion de vos préférences

Se désabonner :

• Lien de désabonnement présent dans chaque email marketing
• Paramètres de notification dans l'application
• Email à support@synapkids.com

Important : Le désabonnement des emails marketing n'affecte pas les emails transactionnels nécessaires au fonctionnement du service.

12. Utilisation des données à des fins statistiques

12.1. Données anonymisées et agrégées

Synap'Kids peut utiliser des données anonymisées et agrégées pour :

• Améliorer le service et les fonctionnalités
• Comprendre les usages et besoins des utilisateurs
• Produire des statistiques générales (ex : "80% des parents utilisent la fonction sommeil")
• Communiquer sur l'utilisation de la plateforme

Base légale : Intérêt légitime (RGPD Art. 6.1.f)

12.2. Garanties

• ✅ Anonymisation complète : Les données statistiques ne permettent en aucun cas d'identifier un utilisateur ou un enfant
• ✅ Pas de vente : Ces statistiques ne sont jamais vendues à des tiers
• ✅ Transparence : Si nous publions des statistiques, elles seront toujours présentées de manière agrégée

12.3. Exemples d'utilisation

• "X% des utilisateurs suivent le sommeil de leur enfant"
• "L'âge moyen des enfants suivis est de X mois"
• "Les conseils les plus consultés concernent l'alimentation"

Ces informations peuvent être utilisées dans nos communications, sur notre site web, ou partagées avec des partenaires potentiels, toujours sous forme anonymisée.

13. Accès administrateur aux données

13.1. Qui a accès aux données

Actuellement, seul le responsable de Synap'Kids (fondateur et développeur unique) a accès à la base de données et aux outils d'administration.

13.2. Cadre d'accès aux données

L'accès aux données des utilisateurs est strictement limité aux cas suivants :

• ✅ Support technique : Pour résoudre un problème signalé par l'utilisateur
• ✅ Modération : Pour traiter les signalements de contenu
• ✅ Sécurité : Pour détecter et prévenir les abus ou activités suspectes
• ✅ Maintenance : Pour assurer le bon fonctionnement du service

13.3. Accès aux messages privés

Synap'Kids s'engage à ne pas consulter les messages privés des utilisateurs, sauf dans les cas suivants :

• ✅ Sur demande explicite de l'utilisateur (support technique)
• ✅ Pour résoudre un bug technique affectant la messagerie
• ✅ Pour traiter un signalement impliquant des messages privés

Traçabilité : Chaque accès aux messages privés est documenté dans un registre interne avec la date, la raison et l'identifiant de l'utilisateur concerné. Ces logs sont conservés 3 ans pour garantir la conformité et permettre les audits.

13.4. Engagement de confidentialité

Le responsable de Synap'Kids s'engage à :

• Ne jamais utiliser les données à des fins personnelles
• Ne jamais partager les données individuelles avec des tiers (sauf obligation légale)
• Respecter le secret des correspondances privées
• Appliquer le principe de minimisation (accéder uniquement aux données nécessaires)

13.5. Évolution future

Si Synap'Kids recrute des employés ou prestataires ayant accès aux données, ils seront soumis à des engagements de confidentialité contractuels et cette politique sera mise à jour en conséquence.

14. Modifications de la politique

Nous pouvons modifier cette politique de confidentialité pour refléter :

• ✅ Évolutions de nos services
• ✅ Évolutions légales et réglementaires
• ✅ Nouvelles fonctionnalités

En cas de modification importante :

• 📧 Notification par email ou via l'application
• 📅 Date de mise à jour visible en haut de cette page
• ✅ Nouveau consentement si nécessaire (changements substantiels)

Nous vous invitons à consulter régulièrement cette politique.

15. Contact et questions

---

© 2025 Synap'Kids - Tous droits réservés
Mentions légales | Retour à l'accueil