Légal · Conforme RGPD
Politique de Confidentialité
Dernière mise à jour : 7 juillet 2026
Soul Garden est un compagnon bien-être qui utilise l'astrologie et le tarot comme outils de réflexion personnelle. Vos données — y compris votre profil astrologique, l'historique de vos conversations et vos entrées d'émotions — sont stockées dans notre base de données sécurisée (Neon PostgreSQL, eu-central-1, Francfort) et dans notre stockage cloud (AWS S3, eu-central-1) afin de vous suivre sur plusieurs appareils. Cette politique explique ce que nous collectons, pourquoi, et comment vous pouvez le contrôler — en pleine conformité avec le Règlement Général sur la Protection des Données (RGPD) de l'UE et la directive ePrivacy.
1. Responsable du Traitement
Le responsable du traitement de Soul Garden (« nous ») est Alex Le, exerçant sous le nom commercial Soul Garden, domicilié au 30 Domaine de Château Gaillard, 94700 Maisons-Alfort, France. Pour toute question relative à la confidentialité : soulgarden.mira@gmail.com.
2. Quelles Données Nous Collectons & Pourquoi
Nous collectons le minimum de données nécessaire pour fournir votre lecture personnalisée.
- Date de naissance — requise pour calculer votre signe solaire, votre chemin de vie et votre thème natal.
- Heure de naissance (optionnelle) — utilisée pour calculer votre ascendant et des positions planétaires plus précises.
- Ville de naissance (optionnelle) — utilisée pour affiner le calcul de votre ascendant.
- Nom d'affichage (optionnel) — affiché dans votre salutation quotidienne.
- Humeur quotidienne et série de présence — stockées localement pour suivre votre parcours de bien-être.
Données traitées côté serveur (de manière transitoire) :
- Données de naissance envoyées pour le calcul du thème — lorsque vous demandez une lecture Swiss Ephemeris avancée, votre date, heure et coordonnées de naissance sont envoyées à notre API de calcul (/api/chart) via une connexion HTTPS chiffrée et ne sont ni stockées ni journalisées sur le serveur.
- Messages de chat IA — les invites envoyées à Mira (/api/chat) sont traitées en mémoire et ne sont pas conservées au-delà du cycle de vie de la requête.
Données techniques / opérationnelles :
- Adresse IP et user-agent du navigateur — traités de manière transitoire pour la limitation du débit (intérêt légitime, RGPD Art. 6(1)(f)). Les adresses IP utilisées uniquement pour la limitation du débit ne sont PAS stockées ; elles sont évaluées en mémoire à chaque requête et immédiatement supprimées après la vérification.
- Les journaux de serveur web standard (adresse IP, user-agent du navigateur, horodatage, URL) sont conservés jusqu'à 7 jours pour le suivi de la sécurité et des performances, puis supprimés automatiquement.
- Analyses optionnelles (si consentement) — pages vues, interactions et identifiants de session sont stockés dans notre base de données (Neon, UE). Si vous acceptez les cookies, nous envoyons aussi des analyses produit à PostHog (UE) et des métriques de pages vues à Vercel Web Analytics. Aucun réseau publicitaire.
3. Base Légale du Traitement (RGPD Art. 6)
- Consentement (Art. 6(1)(a)) — Vous consentez explicitement au stockage de vos données de naissance sur cet appareil avant que toute donnée ne soit enregistrée.
- Exécution du contrat (Art. 6(1)(b)) — Les calculs de thème côté serveur sont effectués uniquement pour répondre au service que vous avez demandé.
- Intérêts légitimes (Art. 6(1)(f)) — Des journaux serveur minimaux sont conservés 7 jours pour assurer la sécurité et la fiabilité du service.
Les données de naissance sont classées comme données personnelles ordinaires sous le RGPD. Lorsque les données de naissance pourraient être combinées avec d'autres informations pour inférer la santé ou les croyances religieuses, nous minimisons la collecte à la date de naissance uniquement pour les fonctionnalités essentielles.
4. Stockage & Sécurité des Données
Vos données personnelles sont stockées dans deux systèmes :
- Base de données Neon PostgreSQL (eu-central-1, Francfort, Allemagne) — votre profil astrologique, vos conversations, vos entrées d'émotions et vos séries. Toutes les données au repos sont chiffrées AES-256.
- AWS S3 (eu-central-1, Francfort, Allemagne) — votre document de persona généré par IA. Le bucket est privé, chiffré côté serveur et journalisé.
- localStorage du navigateur — les données de préférences minimales (thème, paramètres de notification) sont mises en cache localement pour un accès instantané.
Toutes les communications entre votre navigateur et nos services sont chiffrées en transit avec TLS 1.2+. Les champs sensibles sont en outre chiffrés au niveau applicatif (AES-256-GCM) avant d'être écrits dans la base de données.
5. Conservation des Données
- Données locales de l'appareil — conservées jusqu'à ce que vous effaciez le stockage de votre navigateur ou supprimiez votre profil dans l'application. Aucune copie côté serveur n'existe.
- Journaux serveur — purgés automatiquement après 7 jours.
- Données API transitoires — non persistées ; supprimées immédiatement après l'envoi de la réponse.
6. Vos Droits sous le RGPD
En tant que personne concernée sous le RGPD (UE 2016/679), vous disposez des droits suivants :
- Art. 15Droit d'accès — Vous pouvez inspecter à tout moment toutes les données stockées sur votre appareil via les DevTools du navigateur → Application → Local Storage.
- Art. 16Droit de rectification — Mettez à jour votre profil directement dans les paramètres de l'application à tout moment.
- Art. 17Droit à l'effacement ("droit à l'oubli") — Supprimez votre profil dans l'application ou effacez le stockage local de votre navigateur. Les journaux serveur sont anonymisés après 7 jours.
- Art. 18Droit à la limitation du traitement — Vous pouvez arrêter tout traitement en n'utilisant pas l'application et en effaçant vos données locales.
- Art. 20Droit à la portabilité des données — Vos données sont stockées en JSON brut dans le localStorage et peuvent être exportées via les DevTools à tout moment.
- Art. 21Droit d'opposition — Vous pouvez retirer votre consentement et supprimer toutes les données locales à tout moment.
- Art. 77Droit d'introduire une réclamation — Vous avez le droit d'introduire une réclamation auprès de votre autorité de contrôle locale (par ex. CNIL en France, ICO au Royaume-Uni, BfDI en Allemagne).
Pour exercer tout droit nécessitant notre intervention (par ex. demandes de suppression de journaux serveur), contactez-nous à soulgarden.mira@gmail.com. Nous répondrons sous 30 jours comme l'exige l'Art. 12 du RGPD.
7. Cookies & Suivi
Cookie de session essentiel — Soul Garden dépose un unique cookie d'authentification (next-auth.session-token) pour maintenir votre connexion. Ce cookie est classé comme 'strictement nécessaire' au titre de la directive ePrivacy et ne nécessite pas de consentement séparé.
Analyses optionnelles — si vous acceptez sur la bannière de consentement, nous déposons des identifiants first-party dans le localStorage, stockons les événements dans notre base UE, et envoyons des analyses produit à PostHog (UE) ainsi que des pages vues à Vercel Web Analytics. Aucun réseau publicitaire. Vous pouvez retirer votre consentement via la bannière ou les Paramètres de confidentialité.
Aucune publicité ni suivi tiers — nous n'utilisons pas Google Analytics, Meta Pixel ou tout autre cookie publicitaire tiers.
8. Services Tiers
- Fournisseur d'IA (Google Gemini, ou OpenAI / Anthropic si configuré) — Les invites et le profil astrologique sont transmis au fournisseur d'inférence actif. DPA signé ; pas d'utilisation pour l'entraînement des modèles. Transferts vers les États-Unis couverts par les CCT (RGPD Art. 46).
- FreeAstroAPI — Date, heure et coordonnées de naissance envoyées si une clé API est configurée et que vous avez consenti au transfert ephemeris (RGPD Art. 49(1)(a)).
- PostHog (UE) — Si vous acceptez les analyses optionnelles, les événements produit (pages vues, fonctionnalités, UTM) sont envoyés à la région UE de PostHog (eu.posthog.com) sous DPA. Pas de publicité ni suivi inter-sites.
- Vercel Web Analytics — Si vous acceptez les analyses optionnelles, pages vues anonymisées et Web Vitals sont envoyés à Vercel sous DPA et CCT.
- Abonnements (MVP) — Les paiements par carte ne sont pas actifs. L'accès premium peut être proposé en mode aperçu sans collecte de carte. Avant l'activation de Stripe (UE) ou PayOS (Vietnam), cette politique sera mise à jour.
- Neon PostgreSQL (eu-central-1, Francfort) — Base de données principale dans l'EEE (DPA).
- AWS S3 (eu-central-1, Francfort) — Document persona ; bucket privé, chiffrement côté serveur.
- Relais push (Mozilla / Google FCM) — Si les notifications sont activées, l'endpoint d'abonnement transite par le relais du navigateur.
- Vercel — Hébergement et fonctions serverless (DPA + Politique de confidentialité).
Registre des sous-traitants (RGPD Art. 13(1)(e))
| Sous-traitant | Finalité | Lieu | Base légale |
|---|---|---|---|
| Google (Gemini API — offre payante) | Inférence de chat IA | États-Unis (CCT via DPA) | DPA |
| OpenAI | Inférence chat IA (secours) | États-Unis (CCT via DPA) | DPA |
| Anthropic | Inférence chat IA (secours) | États-Unis (CCT via DPA) | DPA |
| FreeAstroAPI | Calcul du thème natal | À définir — DPA en cours | DPA ou solution locale |
| Mapbox | Géocodage du lieu de naissance, fuseau horaire | États-Unis (CCT) | DPA |
| Vercel Inc. | Hébergement, API serverless | États-Unis (CCT via DPA) | DPA |
| Vercel Web Analytics | Pages vues et Web Vitals optionnels (consentement requis) | États-Unis (CCT via DPA) | Consentement + DPA |
| PostHog (cloud UE) | Analyses produit et entonnoirs optionnels (consentement requis) | UE (région Francfort) | Consentement + DPA |
| Langfuse (UE) | Journalisation des traces LLM pour la qualité et la sécurité de l'IA (conservation jusqu'à 90 jours) | UE (Irlande) | DPA |
| AWS S3 (eu-central-1) | Stockage du document persona | UE (Francfort) | DPA |
| Neon | Base de données principale | UE (Francfort) | DPA |
| Services relais push (FCM / Mozilla / APNs) | Notifications push PWA | États-Unis (CCT) | Intérêt légitime |
Nous avons conclu des Accords de Traitement de Données (DPA) avec tous les sous-traitants qui traitent des données personnelles en notre nom, comme l'exige l'Art. 28 du RGPD.
9. Transferts Internationaux de Données
Vos données sont stockées par défaut dans l'UE/EEE (Neon et AWS S3 à Francfort). Les analyses optionnelles (PostHog UE) restent dans l'UE lorsque vous consentez. Les fournisseurs d'IA (Google Gemini, OpenAI, Anthropic) et l'hébergement américain (Vercel, Vercel Web Analytics) peuvent traiter aux États-Unis. Les transferts sont protégés par les Clauses Contractuelles Types (CCT, RGPD Art. 46) et un DPA signé, ou par votre consentement explicite lorsque la loi l'exige (Art. 49).
10. Confidentialité des Enfants
Soul Garden n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles d'enfants. Si vous pensez qu'un enfant nous a fourni des informations personnelles, veuillez nous contacter pour que nous puissions les supprimer.
11. Modifications de cette Politique
Nous pouvons mettre à jour cette politique pour refléter des changements dans nos pratiques ou la loi applicable. Lorsque cela arrivera, nous mettrons à jour la date de "Dernière mise à jour" en haut de cette page. Pour les changements substantiels, nous vous notifierons dans l'application. L'utilisation continue de Soul Garden après une mise à jour de la politique constitue l'acceptation de la politique révisée.
12. Contactez-nous
Pour toute question concernant cette Politique de Confidentialité ou vos droits sur les données, veuillez contacter :
Adresse : 30 Domaine de Château Gaillard, 94700 Maisons-Alfort, France
Email : soulgarden.mira@gmail.com
Délai de réponse : sous 30 jours (RGPD Art. 12)