Politique de confidentialité
Dernière mise à jour : 17 avril 2026
1. Qui est responsable de vos données
Le responsable de traitement est TiPaTiPa, édité par TiPaTiPa SAS, société au capital social variable, dont le siège social et les coordonnées exactes sont précisés dans les mentions légales.
Contact général : contact@tipatipa.app
Délégué à la Protection des Données (DPO) : dpo@tipatipa.app
2. Nature de l'application
TiPaTiPa est un outil de bien-être mental. Ce n'est pas un dispositif médical au sens du règlement (UE) 2017/745. Elle ne remplace ni un diagnostic, ni un traitement, ni un suivi médical ou psychologique par un professionnel qualifié. En cas de détresse aiguë, veuillez consulter la section « En cas de crise » en bas de chaque page.
3. Données que nous collectons
- Compte : nom ou pseudonyme, adresse email, mot de passe (haché), date de naissance, pays
- Profil psychométrique : résultats du test DISC, résultats Genome (réponses et scores)
- Usage produit : programmes CAPS suivis, exercices complétés, méditations écoutées, progression
- Conversations NOVA : messages échangés avec le coach IA, métadonnées (mode, durée, modèle utilisé)
- Journal et check-ins : humeur, notes personnelles, événements — si vous choisissez de les renseigner
- Données de santé mentale (Art. 9 RGPD) : auto-évaluations d'anxiété, stress, sommeil, niveaux de crise détectés par NOVA
- Santé connectée : données issues d'Apple Health / Google Fit uniquement si vous autorisez la synchronisation
- Technique : adresse IP, type d'appareil, version de l'application, logs d'erreur
- Paiement : géré par notre prestataire, nous ne stockons pas vos données de carte bancaire
- Candidature partenaire (praticiens) : si vous postulez pour rejoindre notre réseau de professionnels, nous collectons votre identité (prénom, nom), vos coordonnées, votre profession et vos spécialités, et — si vous les renseignez — votre raison sociale, votre numéro SIRET et votre adresse professionnelle. Ces données ne servent qu'à l'étude de votre candidature et à un éventuel partenariat.
4. Pourquoi nous traitons ces données (finalités et bases légales)
| Finalité | Base légale | Conservation |
|---|---|---|
| Fournir le service (compte, parcours) | Contrat (art. 6.1.b) | Durée du compte + 3 ans |
| Personnalisation DISC et NOVA | Consentement (art. 6.1.a + art. 9.2.a) | Durée du compte |
| Conversations NOVA et données de santé mentale | Consentement explicite (art. 9.2.a) | Durée du compte, effacement à la demande |
| Détection et protocole de crise (intégrité vitale) | Intérêt vital (art. 6.1.d + art. 9.2.c) | 3 ans après événement |
| Statistiques et amélioration produit | Intérêt légitime (art. 6.1.f) | Agrégées / anonymisées |
| Conformité légale et comptable | Obligation légale (art. 6.1.c) | 10 ans |
| Marketing (newsletter) | Consentement (art. 6.1.a) | Jusqu'à désinscription |
5. Sécurité et hébergement
Vos données sont hébergées par Supabase sur l'infrastructure AWS EU-West-1 (Irlande), au sein de l'Union européenne. Le transport est protégé par TLS 1.3. Les données au repos sont chiffrées au niveau stockage (AES-256). Les accès techniques sont restreints par des règles Row-Level Security PostgreSQL et par une authentification multi-facteur pour les administrateurs.
Certification HDS (Hébergement de Données de Santé) :TiPaTiPa n'est pas hébergée par un prestataire certifié HDS à ce jour. Nous travaillons à cette certification avant tout déploiement auprès de professionnels de santé. En attendant, les données que vous nous confiez sont protégées par les mesures techniques et organisationnelles décrites ci-dessus et par le secret contractuel imposé à nos sous-traitants.
Note technique importante sur NOVA :vos conversations avec NOVA sont chiffrées en transit (HTTPS) et au repos, mais elles ne sont pas chiffrées de bout en bout au sens strict : pour qu'une intelligence artificielle puisse vous répondre, le contenu de vos messages doit être lisible par le modèle (OpenAI). Nous n'utilisons PAS vos messages pour entraîner des modèles d'IA (option "do not train" activée chez nos prestataires LLM).
6. Sous-traitants et transferts
Nous faisons appel à des sous-traitants strictement pour le fonctionnement du service. Chacun est lié par un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Hébergement base de données, authentification | AWS EU-West-1 (Irlande) |
| Vercel | Hébergement du site et de l'API vitrine | UE / USA (DPF) |
| OpenAI | Modèles IA pour NOVA | USA (DPF), opt-out entraînement activé |
| ElevenLabs | Synthèse vocale de NOVA (si mode vocal activé) | USA (DPF) |
| Cloudinary | Stockage et optimisation d'images | UE |
| Sentry | Monitoring d'erreurs applicatives | UE (Francfort) |
| Resend | Envoi d'emails transactionnels | USA (DPF) |
| Stripe | Paiements | UE / USA (DPF) |
| Apple / Google | Achats in-app, notifications push | USA (DPF) |
| RevenueCat | Gestion abonnements in-app | USA (DPF) |
Les transferts hors Union européenne sont encadrés par le Data Privacy Framework (DPF) UE–USA et/ou les clauses contractuelles types (CCT) de la Commission européenne.
7. Vos droits et comment les exercer
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Accès (art. 15) — obtenir une copie de vos données
- Rectification (art. 16) — corriger des données inexactes
- Effacement / droit à l'oubli (art. 17) — demander la suppression de vos données (hors obligations légales de conservation)
- Portabilité (art. 20) — récupérer vos données dans un format lisible par machine
- Opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime
- Limitation (art. 18) — geler un traitement en cas de contestation
- Retrait du consentement — à tout moment, sans effet rétroactif
- Définir le sort de vos données après votre décès (art. 85 Loi Informatique et Libertés)
Pour exercer vos droits, écrivez-nous à dpo@tipatipa.appdepuis l'adresse email de votre compte (ou en justifiant de votre identité). Nous vous répondons dans un délai maximal de 30 jours. Un export de l'intégralité de vos données est disponible directement depuis l'application (Paramètres → Confidentialité → Exporter mes données).
Vous pouvez également introduire une réclamation auprès de la CNIL :cnil.fr/fr/plaintes.
8. Cookies et traceurs
Le site vitrine utilise uniquement des mesures d'audience strictement nécessaires (Vercel Analytics, anonymisées, sans cookies tiers). Aucun cookie publicitaire ni de traçage inter-sites n'est déposé. L'application mobile ne dépose pas de cookies.
9. Protection des mineurs
TiPaTiPa est accessible dès 15 ans avec l'accord du responsable légal. Les fonctionnalités destinées aux enfants (module Famille, test DISC enfant) ne sont accessibles que via un compte parent et avec le consentement du responsable légal, conformément à l'article 8 du RGPD.
10. Sécurité en cas de crise
Lorsque NOVA détecte des signaux de crise (idéations suicidaires, détresse aiguë), une trace est enregistrée dans nos systèmes afin de permettre un suivi clinique anonymisé (art. 9.2.c RGPD — intérêt vital). Le protocole affiche immédiatement les ressources d'urgence françaises (3114, 15, 112, 114) et peut, selon la gravité, déclencher une alerte à l'équipe TiPaTiPa. Cette traçabilité ne fait l'objet d'aucune communication à des tiers sans autorisation judiciaire ou consentement de la personne concernée.
11. Évolution de cette politique
Toute modification substantielle de la présente politique fait l'objet d'une notification aux utilisateurs actifs (par email et dans l'application) au moins 30 jours avant sa prise d'effet. L'historique des versions est disponible sur demande au DPO.