Politique de confidentialité

Politique de Confidentialité

ERA – Ton compagnon émotionnel IA

Dernière mise à jour : 12 mai 2025 – Version 1.0

Responsable du traitement des données personnelles

Dénomination sociale : MOONZ SAS

Forme juridique : Société par Actions Simplifiée (SAS)

SIREN : 920 991 932 | SIRET (siège) : 920 991 932 00020

N° TVA intracommunautaire : FR66920991932

RCS : 920 991 932 R.C.S. Evry | Immatriculation : 31/10/2022

Capital social : 1 204,82 €

Application exploitée : ERA (talktoera.com)

Email DPO / Contact données : Contact@talktoera.com

Article 1 – Préambule et engagement de MOONZ

La société MOONZ SAS (ci-après « MOONZ », « nous » ou « ERA ») attache une importance fondamentale à la protection de la vie privée de ses utilisateurs. La nature même d'ERA — un compagnon émotionnel destiné à accueillir des échanges intimes et personnels — nous impose une responsabilité particulièrement élevée en matière de traitement des données.

La présente Politique de Confidentialité décrit de façon transparente, précise et exhaustive la manière dont MOONZ collecte, traite, stocke, protège et, le cas échéant, partage les données à caractère personnel des utilisateurs de l'application mobile ERA (ci-après « l'Application »).

Cette politique est rédigée en conformité avec :

Le Règlement Général sur la Protection des Données (RGPD) – Règlement (UE) 2016/679 du 27 avril 2016 ;
La loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi « Informatique et Libertés »), modifiée ;
Les recommandations de la Commission Nationale de l'Informatique et des Libertés (CNIL) ;
Les lignes directrices du Comité Européen de la Protection des Données (CEPD).

En utilisant l'Application, l'Utilisateur reconnaît avoir pris connaissance de la présente politique et en accepte les termes. Si l'Utilisateur n'accepte pas ces termes, il doit cesser d'utiliser l'Application.

Article 2 – Données collectées

2.1 Données collectées directement auprès de l'Utilisateur

Lors de l'utilisation de l'Application, MOONZ peut collecter les catégories de données suivantes :

a) Données d'identification et de compte (si création de compte) :

Adresse e-mail (optionnelle, si l'Utilisateur crée un compte) ;
Pseudonyme ou identifiant de connexion ;
Mot de passe (stocké sous forme hachée et salée, jamais en clair) ;
Date de naissance ou tranche d'âge (pour vérification des conditions d'accès).

b) Données de contenu – Conversations :

Les messages échangés avec l'IA d'ERA constituent des données à caractère personnel dès lors qu'ils permettent, directement ou indirectement, l'identification de l'Utilisateur. Ces données peuvent contenir des informations sensibles de nature émotionnelle, psychologique ou personnelle.

Traitement des données de conversation – Engagement fort de MOONZ :

Les conversations sont traitées avec le plus haut niveau de confidentialité.
Elles ne sont jamais vendues, louées ni cédées à des tiers à des fins commerciales.
Elles peuvent être utilisées, uniquement sous forme anonymisée et agrégée, pour améliorer les performances de l'IA.
L'Utilisateur peut demander la suppression définitive de l'ensemble de ses conversations à tout moment.
ERA est conçu pour être utilisable de manière entièrement anonyme : aucune conversation n'est nominativement liée à une identité réelle sans action volontaire de l'Utilisateur.

c) Données de navigation et techniques :

Identifiant de l'appareil (Device ID) ;
Système d'exploitation et version ;
Version de l'Application utilisée ;
Données de session (horodatage de connexion, durée d'utilisation) ;
Données de plantage et journaux d'erreurs (logs techniques) ;
Adresse IP (collectée transitoirement lors des échanges serveur).

d) Données de paiement :

MOONZ ne collecte et ne stocke aucune donnée bancaire ou de carte de crédit. Les transactions sont intégralement gérées par Apple (App Store) ou Google (Google Play Store), dont les politiques de confidentialité sont applicables de manière autonome.

2.2 Données non collectées – Engagements d'abstention

ERA ne collecte PAS les données suivantes :

Données biométriques (empreinte digitale, reconnaissance faciale, voix) ;
Géolocalisation précise ou tracking de déplacement ;
Contacts du téléphone, messages SMS ou emails ;
Données relatives à d'autres applications installées sur l'appareil ;
Numéro de téléphone (sauf si volontairement fourni par l'Utilisateur) ;
Données de santé au sens strict du Règlement (UE) 2017/745 sur les dispositifs médicaux.

2.3 Données sensibles

De par la nature d'ERA, les conversations peuvent contenir des données relevant de catégories particulières au sens de l'article 9 du RGPD (données relatives à la santé mentale, à la vie sexuelle, aux opinions politiques ou religieuses, à l'origine ethnique, etc.).

MOONZ traite ces données sur le fondement du consentement explicite de l'Utilisateur, exprimé lors de l'acceptation des présentes conditions, et avec un niveau de protection renforcé. Ces données ne font l'objet d'aucun profilage commercial, d'aucune cession à des tiers, et sont soumises à des mesures de sécurité techniques et organisationnelles spécifiques.

Article 3 – Finalités du traitement et bases légales

Conformément à l'article 13 du RGPD, MOONZ informe l'Utilisateur des finalités précises de chaque traitement de données et de la base légale correspondante :

Finalité du traitement

Base légale (Art. 6 RGPD)

Fourniture du service ERA (conversations IA, fonctionnalités de l'Application)

Exécution du contrat (Art. 6.1.b)

Création et gestion du compte utilisateur

Exécution du contrat (Art. 6.1.b)

Amélioration des algorithmes IA (données anonymisées uniquement)

Intérêt légitime (Art. 6.1.f)

Analyse des performances techniques et correction de bugs

Intérêt légitime (Art. 6.1.f)

Envoi de communications liées au service (mises à jour, incidents)

Exécution du contrat (Art. 6.1.b)

Envoi de communications marketing (si consentement donné)

Consentement (Art. 6.1.a)

Traitement des données de conversation (contenu émotionnel/sensible)

Consentement explicite (Art. 9.2.a)

Respect des obligations légales (fiscales, comptables, judiciaires)

Obligation légale (Art. 6.1.c)

Prévention de la fraude et sécurité de l'Application

Intérêt légitime (Art. 6.1.f)

Article 4 – Durées de conservation des données

MOONZ applique le principe de minimisation temporelle : les données sont conservées uniquement pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées.

Catégorie de données

Durée de conservation

Données de compte (email, identifiant)

Durée de vie du compte + 1 an après suppression

Contenu des conversations (messages)

Durée de vie du compte + suppression sur demande immédiate

Données techniques (logs, Device ID)

13 mois maximum (recommandation CNIL)

Données de paiement

Non conservées par MOONZ (gérées par App Store / Play Store)

Données fiscales et comptables

10 ans (obligation légale – Code de commerce)

Adresse IP (transit)

Maximum 12 mois, puis suppression automatique

Données de marketing (si consentement)

Jusqu'au retrait du consentement ou 3 ans d'inactivité

Article 5 – Destinataires des données et sous-traitants

5.1 Principe général

MOONZ ne vend, ne loue, ne cède et ne monnaye en aucune façon les données personnelles des Utilisateurs à des tiers à des fins commerciales. C'est un engagement fondamental et non négociable.

5.2 Sous-traitants techniques

Dans le cadre strict de la fourniture du service, MOONZ peut faire appel à des sous-traitants techniques agréés, liés par des Accords de Traitement des Données (DPA) conformes au RGPD :

Hébergeurs et fournisseurs d'infrastructure cloud (serveurs sécurisés, de préférence localisés dans l'Union européenne ou couverts par des garanties adéquates) ;
Fournisseurs de services d'analyse technique (crash reporting, monitoring de performance) ;
Fournisseurs de modèles d'IA (sous contrat de confidentialité strict, sans possibilité d'exploitation des données ERA à leurs propres fins) ;
Fournisseurs d'outils de support client, le cas échéant.

MOONZ s'assure contractuellement que chaque sous-traitant offre des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, conformément à l'article 28 du RGPD.

5.3 Transferts hors Union européenne

Certains sous-traitants peuvent être établis hors de l'Union européenne. Dans ce cas, MOONZ s'assure que les transferts de données sont encadrés par l'un des mécanismes suivants :

Décision d'adéquation de la Commission européenne (ex. : pays reconnus adéquats) ;
Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ;
Règles d'entreprise contraignantes (Binding Corporate Rules – BCR) ;
Tout autre mécanisme reconnu par le RGPD offrant un niveau de protection équivalent.

L'Utilisateur peut obtenir des informations sur les garanties applicables aux transferts en contactant MOONZ à l'adresse : Contact@talktoera.com.

5.4 Divulgation légale obligatoire

MOONZ peut être amenée à communiquer des données personnelles aux autorités compétentes (judiciaires, administratives, régulatoires) lorsqu'une telle communication est requise par la loi, une décision de justice ou pour protéger les droits, la propriété ou la sécurité de MOONZ, de ses utilisateurs ou de tiers. MOONZ informera l'Utilisateur de toute telle demande dans les limites permises par la loi.

Article 6 – Sécurité des données

6.1 Mesures techniques

MOONZ met en œuvre un ensemble de mesures techniques de sécurité conformes à l'état de l'art pour protéger les données personnelles contre tout accès non autorisé, altération, divulgation ou destruction :

Chiffrement des données en transit (protocole TLS 1.2 minimum) ;
Chiffrement des données au repos (AES-256 ou équivalent) ;
Hachage et salage des mots de passe (algorithme bcrypt ou équivalent) ;
Authentification à deux facteurs (2FA) pour l'accès aux systèmes internes ;
Segmentation réseau et contrôle d'accès basé sur le principe du moindre privilège ;
Tests de sécurité réguliers (audits, tests d'intrusion, scan de vulnérabilités).

6.2 Mesures organisationnelles

Accès aux données limité aux seules personnes strictement habilitées et formées ;
Signature d'accords de confidentialité par l'ensemble du personnel et des prestataires ayant accès aux données ;
Politique interne de gestion des incidents de sécurité ;
Journalisation des accès aux données personnelles sensibles.

6.3 Violation de données personnelles

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, MOONZ s'engage à :

Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD ;
Informer les Utilisateurs concernés dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD ;
Prendre immédiatement les mesures correctives nécessaires pour contenir la violation.

Article 7 – Droits des Utilisateurs

7.1 Inventaire des droits

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, tout Utilisateur dispose des droits suivants sur ses données personnelles :

Droit

Description

Droit d'accès (Art. 15)

Obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.

Droit de rectification (Art. 16)

Faire corriger toute donnée inexacte ou incomplète vous concernant.

Droit à l'effacement (Art. 17)

Demander la suppression de vos données (« droit à l'oubli »), sous réserve des obligations légales de conservation.

Droit à la limitation (Art. 18)

Demander la suspension temporaire du traitement de vos données.

Droit à la portabilité (Art. 20)

Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.

Droit d'opposition (Art. 21)

Vous opposer au traitement de vos données fondé sur l'intérêt légitime ou à des fins de prospection.

Droit de retrait du consentement

Retirer à tout moment votre consentement sans que cela affecte la licéité des traitements antérieurs.

Droit relatif aux décisions automatisées (Art. 22)

Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs.

Droit de définir des directives post-mortem

Définir des directives relatives au sort de vos données après votre décès.

7.2 Modalités d'exercice des droits

Pour exercer l'un ou plusieurs des droits listés ci-dessus, l'Utilisateur peut adresser une demande écrite à MOONZ par l'un des moyens suivants :

Par email : Contact@talktoera.com

Objet du message : [RGPD] – Exercice de droit – [Droit concerné]

MOONZ s'engage à accuser réception de la demande dans un délai de 5 jours ouvrés et à y répondre dans un délai maximum d'un (1) mois à compter de la réception. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe ou de demandes multiples, avec information préalable de l'Utilisateur.

Une pièce justificative d'identité pourra être demandée pour protéger contre les demandes frauduleuses.

7.3 Droit d'introduire une réclamation

Si l'Utilisateur estime que le traitement de ses données personnelles n'est pas conforme au RGPD, il dispose du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL)

3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

Téléphone : 01 53 73 22 22 | Site web : www.cnil.fr

Article 8 – Modes d'authentification et connexion

8.1 Trois modes de connexion disponibles

ERA propose trois modes d'authentification distincts pour accéder à l'Application. L'Utilisateur choisit librement le mode qui lui convient. Chaque mode implique un traitement de données spécifique décrit ci-dessous.

8.2 Connexion via adresse e-mail (authentification classique)

L'Utilisateur peut créer un compte ERA en fournissant directement une adresse e-mail et un mot de passe.

Données collectées :

Adresse e-mail fournie par l'Utilisateur ;
Mot de passe (stocké exclusivement sous forme hachée et salée – jamais en clair) ;
Date et heure de création du compte.

Utilisation de ces données :

Authentification et sécurisation de l'accès au compte ;
Envoi d'e-mails transactionnels liés au service (confirmation d'inscription, réinitialisation de mot de passe, notifications importantes) ;
Communication marketing uniquement si consentement explicite donné.

MOONZ ne communique l'adresse e-mail de l'Utilisateur à aucun tiers à des fins commerciales.

8.3 Connexion via « Se connecter avec Google » (OAuth 2.0 Google)

L'Utilisateur peut s'authentifier via son compte Google en utilisant le protocole OAuth 2.0. Dans ce cas, ERA accède uniquement aux informations strictement nécessaires à la création et à la gestion du compte.

Données transmises par Google à ERA lors de la connexion OAuth :

Adresse e-mail Google de l'Utilisateur ;
Nom d'affichage associé au compte Google (prénom / nom) ;
Photo de profil Google (si disponible et autorisée par l'Utilisateur) ;
Identifiant unique Google (Google ID) utilisé pour reconnaître le compte.

ERA ne demande PAS l'accès à : les e-mails, les contacts, l'agenda, les fichiers Google Drive, les recherches, l'historique de navigation, ni aucune autre donnée Google. Les permissions demandées sont strictement limitées à l'authentification (scope 'openid', 'email', 'profile').

La connexion via Google est régie conjointement par la présente Politique de Confidentialité et par la Politique de Confidentialité de Google, disponible sur : https://policies.google.com/privacy. MOONZ n'est pas responsable du traitement effectué par Google dans le cadre de ses propres services.

L'Utilisateur peut révoquer à tout moment l'accès d'ERA à son compte Google depuis les paramètres de sécurité de son compte Google (myaccount.google.com > Sécurité > Applications tierces).

8.4 Connexion via « Se connecter avec Apple » (Sign in with Apple)

L'Utilisateur peut s'authentifier via son identifiant Apple (Apple ID) en utilisant le service « Sign in with Apple » fourni par Apple Inc.

Données transmises par Apple à ERA lors de la connexion :

Adresse e-mail associée à l'Apple ID (réelle ou masquée selon le choix de l'Utilisateur) ;
Prénom et nom (uniquement lors de la première connexion, si l'Utilisateur choisit de les partager) ;
Identifiant unique Apple anonymisé (Apple User Identifier).

Fonctionnalité 'Masquer mon adresse e-mail' d'Apple : si l'Utilisateur choisit cette option, Apple fournit à ERA une adresse e-mail de relais anonymisée (@privaterelay.appleid.com). ERA utilise cette adresse uniquement pour les communications transactionnelles essentielles.

ERA ne demande PAS l'accès à : iCloud, contacts, calendrier, photos, santé, ni aucune autre donnée Apple au-delà de l'authentification stricte.

L'Utilisateur peut révoquer à tout moment l'accès d'ERA à son Apple ID depuis les réglages de son appareil Apple (Réglages > [Nom] > Mot de passe et sécurité > Apps utilisant votre identifiant Apple).

8.5 Tableau comparatif des modes d'authentification

Mode de connexion

Données transmises à ERA

E-mail + mot de passe

Email + mot de passe haché

Google (OAuth 2.0)

Email Google, nom, photo de profil, Google ID

Apple (Sign in with Apple)

Email Apple (réel ou masqué), prénom/nom (1ère connexion), Apple ID anonymisé

8.6 Sécurité des sessions

Quel que soit le mode de connexion choisi, ERA met en œuvre les mesures de sécurité suivantes pour protéger les sessions utilisateurs :

Tokens d'authentification chiffrés (JWT ou équivalent), à durée de vie limitée ;
Expiration automatique des sessions inactives ;
Possibilité de déconnexion et d'invalidation de toutes les sessions actives depuis les paramètres du compte ;
Journalisation des connexions (date, heure, type d'appareil) à des fins de sécurité.

Article 9 – Cookies et technologies similaires

L'Application mobile ERA peut utiliser des technologies de suivi de nature fonctionnelle et analytique (traceurs SDK) pour assurer le bon fonctionnement du service et analyser l'utilisation de l'Application.

Catégories de traceurs utilisés :

Traceurs strictement nécessaires : indispensables au fonctionnement de l'Application (gestion de session, authentification). Non soumis au consentement.
Traceurs analytiques : mesure d'audience agrégée et anonymisée, analyse de performance. Soumis au consentement préalable de l'Utilisateur.
Traceurs marketing : uniquement si l'Utilisateur y a expressément consenti.

L'Utilisateur peut gérer ses préférences de traceurs à tout moment depuis les paramètres de l'Application ou depuis les paramètres de confidentialité de son appareil mobile.

Article 10 – Protection des mineurs

ERA est accessible aux personnes âgées d'au moins 13 ans. MOONZ accorde une protection renforcée aux données des mineurs.

Les Utilisateurs âgés de 13 à 17 ans doivent disposer de l'autorisation préalable et explicite d'un parent ou tuteur légal ;
MOONZ ne collecte pas sciemment de données personnelles auprès d'enfants de moins de 13 ans. Si MOONZ apprenait avoir collecté par inadvertance de telles données, elle procéderait à leur suppression immédiate ;
Les parents ou tuteurs légaux peuvent exercer les droits RGPD au nom des mineurs dont ils ont la charge, en justifiant de leur qualité, à l'adresse : Contact@talktoera.com.

Article 11 – Modifications de la Politique de Confidentialité

MOONZ se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour se conformer à une évolution légale, réglementaire, jurisprudentielle ou technologique.

En cas de modification substantielle (changement de finalité, nouveaux destinataires, modification des droits des Utilisateurs), MOONZ s'engage à en informer l'Utilisateur par notification in-app et/ou par email dans un délai raisonnable avant l'entrée en vigueur des modifications.

La poursuite de l'utilisation de l'Application après notification des modifications vaut acceptation de la politique mise à jour. La version en vigueur est toujours accessible sur : https://talktoera.com/confidentialite.

Article 12 – Contact et Délégué à la Protection des Données

Pour toute question relative au traitement de vos données personnelles, toute demande d'exercice de droits, ou toute réclamation, vous pouvez contacter MOONZ SAS :

Contact Données Personnelles – MOONZ SAS

Email : Contact@talktoera.com

Site web : https://talktoera.com

RCS Evry – SIREN 920 991 932

Objet recommandé : [DONNÉES PERSONNELLES] – [Nature de la demande]

Délai de réponse : 5 jours ouvrés pour l'accusé de réception, 1 mois pour la réponse complète.

SIREN 920 991 932 R.C.S. Evry | SAS au capital de 1 204,82 € | N° TVA : FR66920991932