Politique de confidentialité

Mise à jour : mars 2026

1. Responsable du traitement

Le responsable du traitement des données sur ce site web et dans l'application KarmaFlow est :

SHOP-Construct UG (haftungsbeschränkt)
von-Schwind-Str. 17, 45768 Marl, Allemagne
Contact : E-Mail schreiben

2. Données collectées

Nous collectons et traitons les données suivantes :

  • Données de compte : Adresse e-mail, prénom et mot de passe chiffré lors de l'inscription
  • Données d'utilisation : Vos entrées karma, analyses IA, séries et jalons
  • Données techniques : Informations sur l'appareil, version de l'application, paramètre de langue, fuseau horaire
  • Données de paiement : Pour le paiement web via Stripe : e-mail, statut de paiement (aucune donnée de carte bancaire stockée chez nous)

3. Bases juridiques du traitement

Nous traitons vos données sur les bases juridiques suivantes :

  • Art. 6, par. 1, point b) du RGPD (Exécution du contrat) : Fourniture des fonctionnalités principales de KarmaFlow — saisie d'entrées, analyse IA, score karma, séries, accomplissements. Il s'agit de la prestation contractuelle principale.
  • Art. 6, par. 1, point f) du RGPD (Intérêt légitime) : Sécurité du compte, prévention des abus, authentification par jetons, limitation du débit.
  • Art. 6, par. 1, point a) du RGPD (Consentement) : Notifications push (rappel quotidien, alerte de série, bilan hebdomadaire) — uniquement après consentement actif.

4. Traitement par IA et sous-traitants

Vos entrées de journal sont analysées par des services d'IA pour attribuer des dimensions karma (par ex. compassion, pleine conscience, discipline), attribuer un score karma et générer des pistes de réflexion.

Fournisseurs d'IA utilisés :

  • OpenAI, L.P. (San Francisco, États-Unis) — Modèles GPT pour l'analyse karma. Vos entrées sont transmises à OpenAI via API. Conformément aux conditions d'utilisation de l'API OpenAI (Section 3), les données API ne sont pas utilisées pour l'entraînement de modèles d'IA.
  • Anthropic PBC (San Francisco, États-Unis) — Modèles Claude comme système de secours. Les mêmes mesures de protection s'appliquent. Conformément à la politique d'utilisation d'Anthropic, les données API ne sont pas utilisées pour l'entraînement d'IA.

Le traitement est effectué exclusivement pour la fourniture du service contractuel (art. 6, par. 1, point b) du RGPD). Aucune transmission à des tiers à des fins publicitaires n'a lieu.

5. Transfert vers des pays tiers (États-Unis)

Pour l'analyse IA et le traitement des paiements web, des données sont transférées vers des fournisseurs aux États-Unis :

  • OpenAI et Anthropic : Transfert d'entrées de journal pour l'analyse IA
  • Stripe, Inc. : Transfert de l'adresse e-mail et du statut de paiement pour le paiement web

Le transfert repose sur le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023). Des clauses contractuelles types (CCT) sont également en place comme garantie supplémentaire.

6. Traitement des paiements

  • Stripe, Inc. (San Francisco, États-Unis) — Traitement des paiements pour le checkout web sur karmaflow.app. Stripe traite les données de paiement en tant que sous-traitant indépendant. L'accord de traitement des données (DPA) de Stripe fait partie du contrat de services Stripe.
  • Apple (App Store) : Achats intégrés sur iOS. Apple traite les données de paiement sous sa propre responsabilité en matière de protection des données.
  • Google (Play Store) : Achats intégrés sur Android. Google traite les données de paiement sous sa propre responsabilité en matière de protection des données.

Nous n'avons aucun accès aux données de carte bancaire ou de compte bancaire.

7. Stockage des données et durées de conservation

  • Les données sont stockées sur des serveurs sécurisés dans l'UE (localisation : Allemagne)
  • Les mots de passe sont stockés uniquement sous forme de hachage (bcrypt)
  • La transmission est chiffrée (HTTPS/TLS)

Durées de conservation :

  • Données de compte : Conservées jusqu'à la suppression du compte par l'utilisateur
  • En cas de suppression du compte : Marquage immédiat comme supprimé (suppression douce). Suppression définitive des données personnelles après expiration des délais de conservation fiscaux (jusqu'à 10 ans pour les données de paiement conformément au § 147 du Code fiscal allemand)
  • Cache des réponses IA : 24 heures, puis suppression automatique
  • Jetons de session : Jeton d'accès 15 minutes, jeton de rafraîchissement 7 jours

8. Vos droits (art. 15-22 RGPD)

Vous disposez à tout moment du droit :

  • D'accès (art. 15) : Connaître les données que nous stockons à votre sujet
  • De rectification (art. 16) : Corriger les données inexactes
  • D'effacement (art. 17) : Supprimer intégralement votre compte et toutes vos données
  • De limitation (art. 18) : Limiter le traitement
  • De portabilité (art. 20) : Exporter vos données dans un format lisible par machine
  • D'opposition (art. 21) : Vous opposer au traitement fondé sur des intérêts légitimes
  • De retrait (art. 7, par. 3) : Retirer à tout moment les consentements accordés (par ex. notifications push)

Vous pouvez supprimer votre compte et exporter vos données directement dans l'application sous Paramètres.

Droit de réclamation : Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. L'autorité compétente est la Commissaire à la protection des données et à la liberté de l'information de Rhénanie-du-Nord-Westphalie (Kavalleriestr. 2-4, 40213 Düsseldorf, www.ldi.nrw.de).

9. Cookies et suivi

Ce site web n'utilise ni cookies de suivi ni outils d'analyse. Seuls les cookies techniquement nécessaires à la gestion des sessions d'administration sont utilisés (HttpOnly, Secure, SameSite=Strict).

10. Contact

Pour toute question relative à la protection des données : E-Mail schreiben