1. Responsable du traitement
Le responsable du traitement des données personnelles collectées sur jati.ai est :
- Web 19
- SIRET : 900 793 795 00023
- Contact protection des données : [email protected]
Au regard de sa taille, Jāti n'est pas tenu de désigner un délégué à la protection des données (DPO). Les demandes liées au RGPD sont traitées directement par le responsable du traitement.
2. Données collectées sur l'utilisateur
Jāti collecte uniquement les données strictement nécessaires au service :
- Identité civile : nom de famille, prénoms, date de naissance. Ces trois éléments alimentent le calcul du profil.
- Identifiants de connexion : adresse email, mot de passe (stocké haché, jamais en clair).
- Données techniques : adresse IP au moment de l'inscription (anti-fraude), navigateur, horodatages.
- Contenus générés : ton portrait, les croisements que tu déclenches, les portraits de tiers que tu génères.
- Crédits et transactions : solde de crédits, historique d'achat et de consommation (le détail des paiements est conservé par Stripe ; Jāti n'enregistre aucune donnée bancaire).
3. Données concernant des tiers
Lorsque tu génères, contre crédits, le portrait d'une autre personne (ou un croisement impliquant un tiers), tu communiques à Jāti des données personnelles relatives à cette personne : nom de famille, prénoms, date de naissance.
- Responsabilité du traitement : tu agis comme responsable de la collecte initiale de ces données, dans le cadre d'un usage strictement privé. Jāti agit comme sous-traitant pour le calcul et la génération, puis comme responsable pour le stockage technique et la sécurisation.
- Base légale : intérêt légitime de l'utilisateur (article 6.1.f du RGPD), apprécié au regard de l'usage privé du service, du périmètre limité des données collectées (état civil de base) et de l'absence de profilage à effet juridique sur le tiers (cf. article 5 ci-dessous).
- Information du tiers : il t'incombe d'informer la personne concernée dans un délai raisonnable, conformément à l'article 14 du RGPD, dès que les circonstances le permettent. La présente politique reste accessible publiquement à l'adresse de Jāti et constitue le support d'information général à destination des tiers.
- Droits des tiers : toute personne dont les données auraient été utilisées sans son accord pour générer un portrait ou un croisement peut écrire directement à [email protected]. Jāti procédera à l'identification du ou des contenus concernés et à leur suppression sous un mois, sans qu'il soit nécessaire d'identifier l'utilisateur initiateur.
- Limitation : tout usage abusif (génération massive, finalité commerciale, harcèlement) constitue un manquement aux CGU et entraîne la suspension du compte initiateur, sans préjudice des recours du tiers.
4. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création de compte, authentification, fourniture du portrait et des croisements | Exécution du contrat (CGU) |
| Communication transactionnelle (vérification d'email, mot de passe oublié) | Exécution du contrat |
| Calcul et génération du portrait d'un tiers à la demande d'un utilisateur | Intérêt légitime de l'utilisateur (art. 6.1.f) |
| Anti-fraude (vérification IP, détection des comptes en doublon) | Intérêt légitime de l'éditeur |
| Mesure d'audience anonymisée (Google Analytics 4) | Consentement (bandeau cookies) |
| Facturation et obligations comptables | Obligation légale |
5. Absence de décision automatisée (art. 22 RGPD)
Le portrait et le croisement produits par Jāti sont une lecture symbolique, sans portée probatoire ni effet juridique sur toi ou sur un tiers (cf. CGU, article 4). Le traitement ne constitue pas une décision automatisée au sens de l'article 22 du RGPD et ne saurait fonder ou justifier une quelconque décision médicale, psychologique, professionnelle, financière, RH ou de recrutement, ni à ton endroit ni à l'endroit d'un tiers dont le portrait aurait été généré.
6. Sous-traitants et destinataires
Jāti fait appel aux sous-traitants suivants, chacun lié par un contrat conforme à l'article 28 du RGPD :
- Scalingo SAS (Strasbourg, France) — hébergement applicatif, base de données PostgreSQL, Redis, Elasticsearch. Données stockées dans l'Union européenne.
- Amazon Web Services EMEA SARL (Luxembourg) — exécution du pipeline de génération IA sur AWS Lambda, région eu-west-3 (Paris). Données en Union européenne.
- OpenAI Ireland Ltd (Dublin, Irlande) — modèle de langage utilisé pour rédiger les portraits et croisements. Seul le premier prénom (et un identifiant technique opaque) est transmis comme repère narratif ; aucune autre donnée d'identité ni date de naissance n'est envoyée à OpenAI, y compris pour les portraits de tiers. Les contenus sont utilisés uniquement pour la requête en cours, sans entraînement de modèle. Hébergement principal aux États-Unis avec clauses contractuelles types pour le transfert hors UE.
- Mailjet (Sinch France SAS) (Paris, France) — envoi des emails transactionnels (vérification, mot de passe oublié, notifications de compte). Données dans l'Union européenne.
- Google Ireland Ltd (Dublin, Irlande) — mesure d'audience via Google Analytics 4 et Google Tag Manager, déclenché uniquement après consentement. Transfert vers les États-Unis encadré par les clauses contractuelles types.
- Stripe Payments Europe Ltd (Dublin, Irlande) — traitement des paiements, dès l'activation de la fonctionnalité d'achat de crédits. Aucune donnée bancaire ne transite par les serveurs de Jāti.
Aucune donnée n'est revendue, échangée ou cédée à des tiers à des fins commerciales.
7. Durée de conservation
- Compte actif : tes données sont conservées tant que ton compte existe.
- Inactivité prolongée : après 2 ans sans connexion, ton compte sera notifié puis anonymisé automatiquement si tu ne te reconnectes pas.
- Suppression demandée : anonymisation immédiate des données personnelles. Les contenus générés sont supprimés. Une demande émanant d'un tiers concerné par un portrait entraîne la suppression du seul contenu concerné, sous un mois.
- Sauvegardes : les sauvegardes chiffrées du sous-traitant d'hébergement sont écrasées dans un délai maximal de 30 jours.
- Données comptables : les factures sont conservées 10 ans (obligation légale), de façon dissociée du compte utilisateur.
8. Tes droits
Le RGPD te garantit les droits suivants, exerçables à tout moment :
- Accès : obtenir une copie des données qui te concernent.
- Rectification : corriger une donnée inexacte (en autonomie depuis ton tableau de bord, ou sur demande).
- Suppression : depuis ton tableau de bord, bouton « supprimer mon compte ». Effet immédiat et irréversible.
- Limitation et opposition : notamment pour les traitements fondés sur l'intérêt légitime.
- Portabilité : récupérer tes données dans un format structuré et réutilisable.
- Retrait du consentement : à tout moment pour les traitements basés sur le consentement (cookies notamment).
Pour exercer un droit qui ne dispose pas d'une action directe dans l'interface : [email protected]. Une réponse te sera apportée dans un délai maximal d'un mois.
En cas de désaccord persistant, tu peux saisir la CNIL — Commission nationale de l'informatique et des libertés, cnil.fr.
9. Sécurité
Les mots de passe sont stockés hachés (algorithme à coût variable). Les communications site <> serveur sont chiffrées (TLS). Les échanges entre l'application et le pipeline IA sont chiffrés (AES-256-GCM) et authentifiés (HMAC-SHA256). L'accès aux bases est restreint et journalisé chez l'hébergeur.
10. Mineurs
Le service n'est pas ouvert aux mineurs. La date de naissance saisie à l'inscription fait l'objet d'un contrôle : tout compte créé pour une personne âgée de moins de 18 ans est rejeté. Tu t'engages également à ne générer aucun portrait d'un tiers mineur.
11. Cookies
Voir la page dédiée RGPD & cookies.
12. Modification de la présente politique
Cette politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. La date en bas de page reflète la dernière mise à jour. Toute modification substantielle (nouveau sous-traitant, nouvelle finalité) te sera notifiée par email.