Sécurité & confidentialité

1. Qualification juridique de vos données

TiPaTiPa est un outil de bien-être mental et de développement personnel, pas un dispositif médical. L'application ne pose aucun diagnostic, ne prescrit aucun traitement et ne remplace pas un professionnel de santé.

Les données que vous nous confiez (journal, humeur, réponses aux programmes CAPS, conversations avec NOVA, résultats Genome DISC) sont considérées comme des données personnelles de bien-être, relevant du RGPD (Règlement UE 2016/679) mais non qualifiées comme « données de santé caractérisées » au sens de l'article 9 du RGPD.

Les questionnaires PHQ-9 (dépression) et GAD-7 (anxiété), lorsque vous choisissez de les remplir, sont traités avec un niveau de protection renforcé.

2. Où sont stockées vos données ?

• Base de données principale :Supabase (AWS EU-West-1, Irlande) — aucune donnée utilisateur ne quitte l'Union Européenne.
• Fichiers médias (audio, PDF) : Cloudflare R2 (Europe).
• Site web : Vercel (Europe).
• Sauvegardes : chiffrées, redondées, conservées 30 jours glissants.

3. Chiffrement

• En transit : TLS 1.3 sur toutes les connexions (HTTPS strict, HSTS activé).
• Au repos : AES-256 (chiffrement de la base de données et des sauvegardes).
• Authentification :JWT signés, possibilité d'activer la double authentification (TOTP).
• Mots de passe : jamais stockés en clair (hash bcrypt).

4. Sous-traitants (article 28 RGPD)

TiPaTiPa utilise quelques sous-traitants pour fonctionner. Tous sont sous contrat de confidentialité et engagements RGPD :

Transfert vers les États-Unis (OpenAI, ElevenLabs) : encadré par les clauses contractuelles types de la Commission Européenne (2021/914). Les prompts envoyés sont pseudonymisés (aucun email, nom ou identifiant direct transmis).

5. Exercer vos droits

Conformément au RGPD, vous disposez des droits suivants :

• ✓ Accès : obtenir copie de toutes vos données (export auto dans l'app)
• ✓ Rectification : corriger toute donnée inexacte
• ✓ Effacement : supprimer votre compte et toutes vos données (1 clic dans l'app)
• ✓ Portabilité : export au format JSON / CSV
• ✓ Opposition : refuser certains traitements (analytics, personnalisation)
• ✓ Limitation : geler le traitement en cas de litige

Pour exercer vos droits : contactez notre DPO à dpo@tipatipa.app. Réponse sous 30 jours maximum (article 12.3 RGPD).

Vous pouvez également introduire une réclamation auprès de la CNIL.

6. Durées de conservation

• Compte actif : toutes vos données conservées tant que votre compte est actif
• Compte inactif 12 mois : email de réactivation envoyé
• Compte inactif 24 mois : compte anonymisé puis supprimé
• Suppression manuelle : immédiate (droit à l'oubli)
• Logs techniques : conservés 12 mois maximum
• Données de facturation : conservées 10 ans (obligation comptable)

7. Certifications & engagements

• ✅ Conformité RGPD (Règlement UE 2016/679)
• ✅ Registre des traitements (article 30 RGPD) tenu à jour
• ✅ DPO externe nommé (cabinet spécialisé santé numérique)
• ✅ Analyse d'impact (AIPD) réalisée pour les traitements sensibles
• ✅ Tests de pénétration réguliers (SAST/DAST)
• ✅ Politique de notification des violations (72h CNIL)
• ✅ Programme de responsible disclosure (security@tipatipa.app)

Dans l'hypothèse où TiPaTiPa évolue vers un statut de dispositif médical CE Classe I, nous migrerons vers un hébergeur certifié HDS(OVHcloud Healthcare ou Scaleway Health). Cette décision sera prise avec notre DPO et un avocat RGPD santé, et vous serez notifiés.