Politique de Confidentialité

Comment Synap'Kids collecte, utilise et protège vos données personnelles

Dernière mise à jour : 10 novembre 2025

📋 En résumé :

Vos données sont hébergées en Europe (Supabase, centres UE)
Nous utilisons l'IA OpenAI (USA) pour les conseils personnalisés
Vous pouvez exporter et supprimer vos données à tout moment
Nous ne vendons jamais vos données à des tiers
Conformité RGPD (Règlement Général sur la Protection des Données)

🕐 Quand demandons-nous votre consentement ?

Nous demandons votre consentement immédiatement après votre connexion réussie à Synap'Kids. Vous pouvez parcourir librement notre site web (pages d'information, présentation, landing page) sans avoir à accepter les conditions au préalable.

Le consentement est requis uniquement lorsque nous commençons à collecter vos données personnelles, c'est-à-dire après votre authentification réussie (Google OAuth ou code anonyme).

⚠️ Important : Si vous refusez le consentement après connexion, vous serez automatiquement déconnecté et redirigé vers l'accueil. Synap'Kids ne peut pas fonctionner sans votre consentement explicite.

Principe RGPD respecté : Le consentement doit être donné au moment où les données sont collectées, pas avant. C'est pourquoi nous ne vous demandons rien avant votre première authentification.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

Nom : Synap'Kids
Adresse : 13, rue de la Pépinière, 5000 Namur, Belgique
Email : contact@synapkids.com
Téléphone : +32 465 39 53 08

2. Données collectées

2.1. Données du compte utilisateur

Authentification : Email (via Google OAuth), identifiant Google, code unique (comptes anonymes)
Profil : Nom complet, pseudo, rôle (maman/papa)
Contexte parental : Statut marital, nombre d'enfants, situation professionnelle, niveau de stress/fatigue/état émotionnel
Technique : OneSignal Player ID (notifications push), adresse IP (horodatage consentements), User Agent

2.2. Données des enfants (sensibles RGPD Article 9)

⚠️ Données de santé : Les données suivantes sont considérées comme sensibles au sens du RGPD et nécessitent un consentement explicite et une protection renforcée.

Identification : Nom, prénom, date de naissance, sexe
Croissance : Poids, taille, périmètre crânien, courbes de croissance
Santé : Données de sommeil (durée, qualité), poussée dentaire
Développement : Évènements marquants, commentaires parentaux

2.3. Données d'utilisation

Conversations IA : Messages échangés avec Ped'IA, résumés personnalisés, mémoire vectorielle
Communauté : Posts forum, réponses, likes
Messages privés : Contenu des messages entre utilisateurs
Notifications : Historique des notifications envoyées
Modération : Signalements effectués, utilisateurs bloqués

3. Finalités et bases légales

3.1. Gestion du compte et authentification

Finalité : Vous permettre de créer un compte et accéder aux services
Base légale : Exécution du contrat (RGPD Art. 6.1.b)

3.2. Suivi du développement de vos enfants

Finalité : Vous permettre de suivre la croissance et le développement de vos enfants
Base légale : Exécution du contrat + Consentement parental explicite (RGPD Art. 6.1.b + Art. 9.2.a)

3.3. Conseils personnalisés par Intelligence Artificielle

Finalité : Générer des conseils, suggestions, recettes et histoires personnalisés via IA
Base légale : Consentement explicite (RGPD Art. 6.1.a + Art. 9.2.a pour données de santé)
Données transmises à OpenAI avec votre consentement :
- ✅ Prénom de l'enfant (pour personnalisation : "Emma, à 2 ans...")
- ✅ Âge en jours (ex: 730 jours = 2 ans pile) - Précision maximale
- ✅ Sexe, contexte médical (allergies), jalons de développement, mesures de croissance
- ❌ Date de naissance exacte : JAMAIS transmise
- ❌ Nom de famille : JAMAIS transmis
Consentement requis : Lors de votre première connexion, une fenêtre vous demande explicitement l'autorisation de transmettre ces données à OpenAI pour personnaliser Ped'IA
Important : Vous pouvez retirer ce consentement à tout moment dans les paramètres, mais Ped'IA ne pourra plus vous appeler par votre prénom ni adapter ses conseils avec précision

3.4. Communauté et échanges

Finalité : Permettre les échanges entre parents via forum et messagerie
Base légale : Exécution du contrat (RGPD Art. 6.1.b)

3.5. Notifications push

Finalité : Vous tenir informé (nouveaux messages, conseils, rappels)
Base légale : Consentement (RGPD Art. 6.1.a) + Permission système

3.6. Modération et sécurité

Finalité : Assurer la sécurité de la communauté et le respect des règles
Base légale : Intérêt légitime (RGPD Art. 6.1.f)

4. Destinataires des données

4.1. Supabase Inc. (Hébergement et base de données)

Rôle : Hébergement de la base de données, authentification, stockage
Localisation : USA (centres de données européens disponibles)
DPA (Data Processing Agreement) : Inclus dans les Terms of Service Supabase
Certifications : SOC 2 Type II, ISO 27001
Site : https://supabase.com

4.2. OpenAI OpCo, LLC (Intelligence Artificielle)

Rôle : Génération de conseils personnalisés via GPT-4 / GPT-3.5-turbo
Localisation : USA
DPA : Inclus dans OpenAI Business Terms
Garanties importantes :
- ❌ Vos données ne sont PAS utilisées pour entraîner les modèles OpenAI
- ⏱️ Rétention : 30 jours maximum, puis suppression automatique
- 🔒 Standard Contractual Clauses (SCC) pour transferts UE-USA
- 🎭 Données transmises avec consentement explicite :
  - ✅ Prénom de l'enfant : Transmis pour personnaliser les conseils ("Emma, à 2 ans...")
  - ✅ Âge en jours (ex: 730 jours) : Précision maximale sans révéler la date de naissance exacte (approximation ±3-4 jours)
  - ❌ Date de naissance exacte : JAMAIS transmise
  - ❌ Nom de famille : JAMAIS transmis
- 🔐 Authentification requise : Depuis novembre 2025, toutes les requêtes IA nécessitent un code d'authentification valide, empêchant tout accès non autorisé
Site : https://openai.com

4.3. OneSignal Inc. (Notifications push)

Rôle : Envoi de notifications push sur vos appareils
Localisation : USA
DPA : À vérifier avec OneSignal
Site : https://onesignal.com

4.4. Google LLC (Authentification OAuth)

Rôle : Authentification via compte Google
Localisation : USA
DPA : Google Cloud Platform Terms of Service
Garanties : Standard Contractual Clauses
Politique Google : https://policies.google.com/privacy

4.5. Autres destinataires

Membres de votre famille : Si vous utilisez la fonction famille partagée
Autres utilisateurs : Pour les contenus publics (forum) et messages privés
Autorités : Uniquement sur réquisition judiciaire

5. Transferts hors Union Européenne

⚠️ Transferts vers les États-Unis

Certaines de vos données sont transférées aux États-Unis via nos sous-traitants (Supabase, OpenAI, OneSignal, Google). Ces transferts sont encadrés par les Standard Contractual Clauses (SCC) approuvées par la Commission Européenne.

Garanties mises en place :

✅ Standard Contractual Clauses (SCC) avec tous les sous-traitants US
✅ Data Processing Agreements (DPA) signés
✅ Minimisation des données : seules les données nécessaires sont transférées
✅ Chiffrement TLS pour tous les échanges
✅ Engagement OpenAI : pas d'utilisation pour entraînement, suppression après 30 jours

6. Durée de conservation

6.1. Compte actif

Données de compte : Tant que votre compte existe
Données enfants : Tant que l'enfant est suivi dans l'application
Conversations IA : Tant que votre compte existe
Posts forum : Tant que votre compte existe

6.2. Après suppression de compte

Suppression immédiate : Toutes vos données personnelles sont supprimées en cascade
Backups techniques : Conservés maximum 30 jours, puis suppression définitive
Chez OpenAI : 30 jours maximum selon leur politique de rétention

6.3. Données spécifiques

Logs d'accès : 12 mois maximum
Signalements résolus : 12 mois
Historique notifications : 90 jours
Logs d'audit de sécurité : Conservation en mémoire des 10 000 dernières actions sensibles pour détection d'anomalies (non persistés en base de données sauf incident de sécurité)
Tentatives de connexion échouées : 24 heures maximum (suppression automatique après résolution ou expiration du verrouillage)

7. Sécurité des données

7.1. Mesures techniques

🔒 Chiffrement TLS pour tous les échanges client-serveur
🔐 Row Level Security (RLS) : isolation stricte des données entre utilisateurs
🛡️ Authentification sécurisée via OAuth Google ou code unique anonyme
🔑 Hachage des mots de passe (délégué à Supabase Auth)
📊 Surveillance des accès et détection d'anomalies
⚡ Rate Limiting : Protection contre les abus (limite de 10 requêtes/minute par IP pour les appels IA, 100 requêtes/minute par code utilisateur)
🔐 Verrouillage de compte : Après 5 tentatives échouées de connexion en 15 minutes, le compte est temporairement verrouillé (15 minutes minimum, jusqu'à 4 heures en cas de récidive)
🎭 Personnalisation avec protection : Le prénom de l'enfant et son âge en jours (ex: 730 jours pour 2 ans) sont transmis à OpenAI AVEC VOTRE CONSENTEMENT EXPLICITE pour des conseils personnalisés et précis. La date de naissance exacte n'est JAMAIS transmise (protection RGPD/COPPA)
📝 Audit Trail : Toutes les actions sensibles sont enregistrées avec horodatage (requêtes IA, création/suppression de comptes, accès anormaux) pour garantir la traçabilité et détecter les activités suspectes

7.2. Mesures organisationnelles

✅ Minimisation des données : seules les données nécessaires sont collectées
✅ Accès limité : seul le personnel autorisé peut accéder aux données
✅ Audits réguliers de sécurité
✅ Backup chiffrés et répliqués
✅ Plan de continuité en cas d'incident

7.3. Vos responsabilités

🔒 Protégez votre appareil et votre session
🚫 Ne partagez jamais votre code unique (comptes anonymes)
👁️ Déconnectez-vous sur les appareils partagés
📧 Signalez toute activité suspecte à contact@synapkids.com

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

8.1. Droit d'accès (Article 15)

Objectif : Obtenir une copie de toutes vos données personnelles
Comment : Depuis Gestion famille > Compte → Bouton "📥 Télécharger mes données"
Format : Fichier JSON complet avec toutes vos données
Délai : Immédiat (automatisé)

8.2. Droit de rectification (Article 16)

Objectif : Corriger des données inexactes ou incomplètes
Comment : Directement dans l'application (profil, enfants, etc.)
Délai : Immédiat

8.3. Droit à l'effacement - "Droit à l'oubli" (Article 17)

Objectif : Supprimer définitivement toutes vos données
Comment : Depuis Gestion famille > Compte → Bouton "Supprimer le compte"
Effets :
- ✅ Suppression immédiate et définitive de toutes vos données
- ✅ Suppression en cascade : profil, enfants, mesures, conversations IA, posts forum, messages
- ✅ Déconnexion de votre famille
- ⚠️ Action irréversible
Délai : Immédiat (+ 30 jours backups techniques)

8.4. Droit à la portabilité (Article 20)

Objectif : Récupérer vos données dans un format structuré
Comment : Même fonction que le droit d'accès (export JSON)
Format : JSON machine-readable

8.5. Droit d'opposition (Article 21)

Objectif : S'opposer à certains traitements
Comment :
- Notifications : Désactivation dans les paramètres
- IA : Retrait du consentement (limitations fonctionnelles)
- Autres : Contact à contact@synapkids.com

8.6. Droit à la limitation (Article 18)

Objectif : Geler temporairement le traitement de vos données
Comment : Demande à contact@synapkids.com
Délai : 1 mois maximum

8.7. Exercer vos droits

📧 Contact :

Email : contact@synapkids.com
Téléphone : +32 465 39 53 08
Courrier : Synap'Kids, 13 rue de la Pépinière, 5000 Namur, Belgique

Pour toute demande, précisez votre identité et le droit que vous souhaitez exercer. Nous répondons sous 1 mois maximum (délai RGPD).

8.8. Réclamation auprès de l'autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de :

Belgique : Autorité de Protection des Données (APD) - www.autoriteprotectiondonnees.be
France : CNIL - www.cnil.fr
Autre pays UE : Autorité de protection des données de votre pays

9. Cookies et stockage local

9.1. Pas de cookies publicitaires

✅ Synap'Kids n'utilise pas de cookies publicitaires ni de traceurs tiers (Google Analytics, Facebook Pixel, etc.).

9.2. LocalStorage (stockage technique)

Nous utilisons le localStorage de votre navigateur pour stocker :

Session Supabase : Token d'authentification (nécessaire pour rester connecté)
Préférences utilisateur : Langue, thème, paramètres de notifications
Cache local : Données pour un chargement rapide (profil, enfants)
OneSignal Subscription ID : Pour les notifications push (si activées)

9.3. Gestion du localStorage

✅ Nécessaire au fonctionnement : Pas besoin de consentement (cookies techniques exemptés)
🗑️ Suppression : Paramètres du navigateur → Effacer les données de navigation
🔒 Sécurité : Données chiffrées côté serveur, localStorage en clair mais limité à votre appareil

10. Données des enfants

10.1. Autorité parentale

⚠️ Certification obligatoire

En utilisant Synap'Kids, vous certifiez être le parent ou tuteur légal des enfants dont vous saisissez les données. Cette certification est enregistrée et horodatée conformément au RGPD.

10.2. Protection renforcée

Les données des enfants bénéficient d'une protection renforcée :

✅ Consentement parental explicite requis
✅ Données de santé : Traitement uniquement avec consentement RGPD Art. 9.2.a
✅ Minimisation maximale : Seules les données strictement nécessaires
✅ Pas de partage commercial avec des tiers
✅ Isolation stricte : RLS empêche tout accès non autorisé

10.3. Droits exercés par les parents

En tant que parent/tuteur, vous exercez tous les droits RGPD au nom de vos enfants :

Accès, rectification, effacement, portabilité, opposition, limitation

11. Modifications de la politique

Nous pouvons modifier cette politique de confidentialité pour refléter :

✅ Évolutions de nos services
✅ Évolutions légales et réglementaires
✅ Nouvelles fonctionnalités

En cas de modification importante :

📧 Notification par email ou via l'application
📅 Date de mise à jour visible en haut de cette page
✅ Nouveau consentement si nécessaire (changements substantiels)

Nous vous invitons à consulter régulièrement cette politique.

12. Contact et questions

📬 Contactez-nous

Pour toute question sur cette politique ou sur le traitement de vos données :

Email : contact@synapkids.com
Téléphone : +32 465 39 53 08
Courrier : Synap'Kids, 13 rue de la Pépinière, 5000 Namur, Belgique

Nous nous engageons à répondre à toutes vos questions dans un délai d'1 mois maximum (conformément au RGPD).