Politique de
confidentialité

1Responsable de traitement

Le responsable du traitement des données personnelles collectées via l'application Reezet est :

• REEZET — éditeur de l'application
• Siège social : 2 C Rue Flora, 25300 Doubs, France
• Email : reezet.app@gmail.com

Le développement technique et la maintenance de l'application sont assurés par CNTL DIGITAL, agissant en qualité de sous-traitant au sens du RGPD, dans le cadre d'un accord de prestation avec REEZET.

2Données que nous collectons

2.1 Données fournies directement par vous

• Données d'identification : prénom, adresse email, mot de passe (stocké chiffré, jamais en clair).
• Données de profil (optionnelles) : photo de profil, date de naissance, ville/région, facettes de vie sélectionnées, réponses au questionnaire « Mieux te connaître ».
• Conversations avec Izzy : messages texte et messages vocaux échangés avec le compagnon IA. Les messages vocaux sont transcrits en texte puis le fichier audio brut n'est pas conservé au-delà de la transcription.
• Suggestions et signalements : contenu des tickets de bug ou des demandes de fonctionnalités que vous nous soumettez.

2.2 Données générées par votre usage

• Statistiques personnelles : charge mentale estimée, niveau d'énergie, palette émotionnelle, scores par facettes de vie. Ces statistiques sont calculées par notre intelligence artificielle à partir de vos conversations avec Izzy.
• Données d'usage : dates et durées des séances, nombre de messages, fonctionnalités utilisées. Servent à mesurer la limite mensuelle Premium (150 min vocaux / 300 messages) et à améliorer le produit.
• Données techniques : modèle d'appareil, version de système d'exploitation (iOS / Android), version de l'application, langue, logs d'erreur anonymisés.

2.3 Données reçues de tiers

• Apple / Google (paiements et abonnements) : statut de votre abonnement Premium (actif, expiré, période d'essai, etc.). Nous ne recevons jamais votre numéro de carte bancaire ni votre identité Apple/Google complète.
• Sign in with Apple / Google Sign-In : si vous choisissez la connexion par compte Apple ou Google, nous recevons uniquement un identifiant unique et votre email (que vous pouvez choisir de masquer côté Apple).
• Code entreprise : si votre employeur vous fournit un code, le nom de l'entreprise associée est lié à votre compte pour activer l'accès Premium.

2.4 Données que nous NE collectons PAS

• Aucun identifiant publicitaire (IDFA Apple, AAID Google)
• Aucune position GPS en arrière-plan
• Aucun accès aux contacts du téléphone
• Aucun accès aux SMS / appels / autres apps installées
• Aucune donnée biométrique
• Aucune donnée de carte bancaire (le paiement est géré par Apple/Google directement)

3Finalités et bases légales

Nous traitons vos données pour les finalités suivantes, sur les bases légales du RGPD indiquées entre parenthèses :

• Création et gestion de votre compte — Exécution du contrat (art. 6.1.b RGPD)
• Fourniture du service Izzy (conversations IA, statistiques, contenus personnalisés) — Exécution du contrat (art. 6.1.b)
• Calcul des statistiques émotionnelles personnalisées — Consentement explicite via l'onboarding (art. 6.1.a + art. 9.2.a pour les données sensibles relatives au bien-être mental)
• Gestion de l'abonnement Premium et facturation — Exécution du contrat (art. 6.1.b)
• Envoi de notifications de rappel — Consentement (art. 6.1.a), désactivables à tout moment dans les Réglages
• Amélioration de l'application et analyse produit interne — Intérêt légitime (art. 6.1.f) — usage purement interne, pas de partage tiers, pas de publicité
• Sécurité, prévention de la fraude, respect des obligations légales — Obligation légale et intérêt légitime (art. 6.1.c et 6.1.f)
• Réponse à vos demandes (support, exercice de vos droits RGPD) — Exécution du contrat et obligation légale (art. 6.1.b et 6.1.c)

4Durées de conservation

• Données de compte (email, profil) : pendant toute la durée d'utilisation de l'application + 1 an après suppression, pour respecter nos obligations légales (preuve, gestion des litiges).
• Conversations avec Izzy : pendant toute la durée du compte. Vous pouvez supprimer une conversation individuelle à tout moment depuis l'application.
• Statistiques personnelles : pendant toute la durée du compte. Supprimées définitivement avec le compte.
• Données d'abonnement : pendant la durée de l'abonnement + 10 ans pour les obligations comptables et fiscales (art. L.123-22 du Code de commerce).
• Logs techniques et d'erreur : 90 jours maximum.
• Données analytiques internes (PostHog) : 12 mois après l'événement, agrégées et pseudonymisées.

À l'issue de ces durées, vos données sont définitivement effacées de nos systèmes et de ceux de nos sous-traitants.

5Destinataires et sous-traitants

Nous ne vendons jamais vos données. Vos données ne sont communiquées qu'aux sous-traitants techniques strictement nécessaires au fonctionnement de l'application, dans le cadre d'accords de traitement de données (DPA) conformes au RGPD :

• Supabase Inc. (USA / serveurs UE — Francfort) : base de données, authentification, stockage de fichiers. Politique de confidentialité
• Vercel Inc. (USA / serveurs UE — Paris) : hébergement du backend API. Politique de confidentialité
• PostHog Inc. (instance EU dédiée — eu.i.posthog.com) : analyse produit interne (events anonymes). Politique de confidentialité
• RevenueCat Inc. (USA) : gestion technique des abonnements (statut actif/expiré uniquement, aucune donnée de paiement). Politique de confidentialité
• Apple Inc. : facturation des abonnements iOS, notifications push (APNs), Sign in with Apple. Politique de confidentialité
• Google LLC : facturation des abonnements Android, notifications push (FCM), Google Sign-In. Politique de confidentialité
• OpenAI Inc. / Microsoft Azure OpenAI : génération des réponses Izzy par modèles d'IA. Données envoyées dans le cadre des conversations, sans entraînement sur vos messages. Politique OpenAI · Politique Microsoft
• Expo (Expo.io / EAS) : framework mobile, distribution des mises à jour. Politique de confidentialité

Nous ne communiquons vos données à aucune régie publicitaire, aucun courtier de données, aucun réseau social, aucun partenaire commercial à des fins de prospection.

6Transferts hors Union Européenne

Nos serveurs principaux (Supabase, Vercel) sont localisés en Union Européenne. Certains sous-traitants (Apple, Google, OpenAI, PostHog, RevenueCat, Expo) sont basés aux États-Unis et peuvent traiter des données depuis ce pays.

Ces transferts sont encadrés par les mécanismes prévus par le RGPD :

• Clauses contractuelles types (SCC) de la Commission européenne
• Adhésion au cadre EU-US Data Privacy Framework pour les sous-traitants certifiés
• Mesures techniques complémentaires (chiffrement en transit et au repos)

7Sécurité des données

• Chiffrement TLS 1.3 pour toutes les communications réseau
• Mots de passe stockés avec hash bcrypt (jamais en clair)
• Base de données chiffrée au repos (AES-256)
• Authentification à double facteur disponible pour les comptes administrateurs
• Sauvegardes automatiques quotidiennes
• Politiques d'accès strictes (Row Level Security PostgreSQL) — chaque utilisateur ne peut accéder qu'à ses propres données
• Logs d'accès et audit trail des actions administratives

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous en informer dans un délai de 72 heures, conformément à l'article 33 du RGPD.

8Vos droits RGPD

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez à tout moment des droits suivants sur vos données :

• Droit d'accès — obtenir une copie de toutes vos données détenues par Reezet
• Droit de rectification — corriger toute donnée inexacte vous concernant
• Droit à l'effacement (« droit à l'oubli ») — supprimer votre compte et toutes vos données
• Droit à la limitation du traitement — geler le traitement de vos données dans certains cas
• Droit à la portabilité — recevoir vos données dans un format structuré et exploitable (JSON)
• Droit d'opposition — vous opposer au traitement basé sur l'intérêt légitime
• Droit de retrait du consentement — à tout moment, sans affecter la licéité du traitement antérieur
• Droit de définir des directives post-mortem — relatives à la conservation et à la communication de vos données après votre décès

La suppression de votre compte est également possible directement depuis l'application (Paramètres → Mon compte → Supprimer mon compte). L'opération est effective sous 30 jours.

Pour exercer l'un de ces droits, écrivez-nous à reezet.app@gmail.com. Nous vous répondrons sous 30 jours maximum. Une pièce d'identité peut vous être demandée en cas de doute sur votre identité.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr/fr/plaintes.

9Mineurs

Reezet est réservée aux personnes de 18 ans et plus. Les 15-18 ans peuvent l'utiliser avec l'autorisation préalable de leurs représentants légaux. L'application n'est pas destinée aux personnes de moins de 15 ans, conformément à l'article 8 du RGPD et à la loi française.

Si nous apprenons qu'un compte a été créé par une personne de moins de 15 ans sans le consentement parental requis, nous supprimerons immédiatement le compte et toutes les données associées. Tout signalement peut être adressé à reezet.app@gmail.com.

10Cookies et traceurs

L'application mobile Reezet n'utilise pas de cookies au sens classique du terme (puisqu'il s'agit d'une app native iOS/Android et non d'un site web).

L'application utilise un stockage local sécurisé (AsyncStorage / Keychain iOS / EncryptedSharedPreferences Android) pour conserver, sur votre appareil uniquement :

• Votre session d'authentification (token JWT)
• Vos préférences d'interface (langue, mode)
• Un cache temporaire de contenus pour permettre l'usage hors-ligne

Le site web reezet.app n'utilise aucun cookie de tracking, aucun outil d'analyse tiers, aucun pixel de réseau social. Seules les polices Google Fonts sont chargées depuis un CDN.

11Pas de tracking publicitaire

Concrètement :

• Aucune publicité ni bannière publicitaire dans l'application
• Aucun identifiant publicitaire (IDFA iOS, AAID Android) n'est lu ni stocké
• Aucun SDK publicitaire ni d'attribution n'est intégré (pas de Facebook Ads, AppsFlyer, Adjust, Branch, Apple Search Ads, etc.)
• Aucune donnée n'est partagée avec un courtier de données ou un réseau de publicité
• Aucun pixel de suivi cross-app ou cross-site

L'analyse produit interne (réalisée via PostHog sur notre instance EU dédiée) ne fait pas appel à un identifiant publicitaire : elle utilise un identifiant interne anonyme propre à l'application, qui n'est jamais corrélé à des données externes.

C'est pourquoi la fenêtre « App Tracking Transparency » d'Apple ne s'affiche pas : nous n'effectuons aucune des activités définies comme du « tracking » par Apple. Notre déclaration App Store / Play Store dans la section « Confidentialité de l'app » reflète cette posture (« Cette app ne suit pas vos activités »).

12Données de santé et conversations IA

Catégorie sensible

Vos conversations avec Izzy et les statistiques émotionnelles dérivées peuvent contenir des informations relatives à votre bien-être mental. Le RGPD considère ces données comme appartenant à des catégories particulières (art. 9). Leur traitement est fondé sur votre consentement explicite, recueilli lors de l'onboarding et révocable à tout moment.

Modèles d'intelligence artificielle

Les réponses d'Izzy sont générées par des modèles de langage (LLM) opérés par OpenAI et / ou Microsoft Azure OpenAI Service. Le contenu de vos messages leur est transmis pour générer la réponse. Conformément aux accords commerciaux d'API OpenAI et Azure OpenAI, vos données ne sont pas utilisées pour entraîner les modèles.

Conservation et accès

Vos conversations sont stockées chiffrées dans notre base de données Supabase. Elles sont accessibles uniquement à vous-même via votre compte. Aucun salarié de REEZET ou de CNTL DIGITAL n'a accès au contenu de vos conversations dans le cadre de l'exploitation normale du service, sauf demande explicite de votre part (support) ou obligation légale.

13Modifications de la politique

Nous pouvons être amenés à mettre à jour cette Politique de confidentialité pour refléter des évolutions techniques, légales ou produit. La version en vigueur est toujours celle publiée à l'adresse https://reezet.app/privacy.php.

Toute modification substantielle vous sera notifiée par email et / ou via l'application au moins 30 jours avant son entrée en vigueur. Vous serez invité à accepter la nouvelle version au lancement suivant de l'application. À défaut, vous pourrez résilier votre compte sans frais.

14Contact et réclamations

Pour toute question concernant cette politique, l'exercice de vos droits, ou un éventuel incident :

Email : reezet.app@gmail.com
Support technique : bonjour@cntl.digital
Courrier : REEZET — 2 C Rue Flora, 25300 Doubs, France
Délai de réponse : 30 jours maximum (RGPD).

Autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

• Site : cnil.fr/fr/plaintes
• Adresse : Commission Nationale de l'Informatique et des Libertés — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22