Politique de confidentialité
Ce qu'on veut te dire simplement
Plumi, c'est un compagnon. Pour que ce compagnon soit là, on a besoin de garder quelques informations sur toi. On les garde avec soin. On ne les vend pas. On ne s'en sert pas pour entraîner des intelligences artificielles. On te les rend, on les efface, on te les montre, à ta demande.
Ce document détaille précisément ce qu'on fait, comment, et pourquoi. Il est long parce qu'il faut qu'il le soit. On a essayé de l'écrire comme on parle.
1. Qui on est
Plumi est édité par Windfall, société par actions simplifiée, SIREN 879 950 202, dont le siège est situé à ESPACO, 20235 BISINCHI, France. TVA intracommunautaire : FR80 879 950 202.
Pour toute question relative à tes données ou à l'exercice de tes droits : apps.windfall@gmail.com.
Windfall est le responsable de traitement au sens de l'article 4 du Règlement général sur la protection des données (RGPD).
2. À qui Plumi s'adresse
Plumi est réservé aux personnes majeures (18 ans et plus). Lors de ton inscription, on te demande de confirmer ton âge. Si on apprend qu'une personne mineure utilise Plumi, son compte est supprimé sans délai et toutes ses données effacées.
Plumi est un compagnon émotionnel. Ce n'est pas un professionnel de santé, pas un psychologue, pas un service d'urgence. Les réponses de Plumi ne remplacent pas un suivi médical, psychologique ou psychiatrique.
3. Les données qu'on collecte
3.1 Ce que tu nous donnes
Quand tu crées ton compte :
- Ton prénom (ou le prénom que tu choisis)
- Ton adresse email (via Sign in with Apple, Google ou un lien magique)
- La confirmation que tu as 18 ans ou plus
- Tes préférences d'usage (fréquence des messages, moments de contact, nom que tu donnes au compagnon)
Quand tu parles à Plumi :
- Le contenu de tes dépôts (les messages que tu lui écris)
- Les réponses que Plumi te fait
- Les moments où tu ouvres l'app, reviens, quittes
3.2 Ce que l'app enregistre automatiquement
- Identifiant technique de ton compte (UUID, non relié à ton nom public)
- Type d'appareil (iPhone, modèle, version iOS)
- Langue de l'appareil, fuseau horaire
- Données de diagnostic anonymes si l'app crashe (via Sentry)
- Indicateurs d'usage anonymes pour améliorer le produit (via Amplitude — on ne transmet jamais le contenu de tes dépôts, ni tes réponses, ni ton prénom)
3.3 Ce que tu peux choisir de nous donner en plus
Si tu acceptes les permissions :
- Des données de santé issues d'Apple Santé (sommeil, activité physique) — uniquement si tu cliques sur « accepter » quand Plumi te le propose, et uniquement dans la mesure où tu l'as autorisé. Jamais à l'inscription. Tu peux révoquer à tout moment.
3.4 Ce qu'on ne collecte pas
- Pas de géolocalisation précise
- Pas de contacts
- Pas d'accès à tes photos ou ton micro
- Pas d'identifiant publicitaire
- Pas de suivi entre apps (Apple App Tracking Transparency : Plumi ne demande pas ce consentement parce qu'on ne traque rien)
4. Les données sensibles
Plumi est un espace où tu peux parler de ce qui te pèse. Certaines choses que tu confies peuvent être considérées comme des données sensibles au sens de l'article 9 du RGPD (notamment ce qui touche à ta santé mentale, à ta vie intime).
On a conscience que ces données méritent une protection renforcée. Voici ce qu'on fait concrètement :
- Base légale : ton consentement explicite, recueilli au moment de l'onboarding et à chaque fois qu'on te demande d'ajouter une permission.
- Minimisation : Plumi ne te demande jamais d'en dire plus que ce que tu choisis de partager.
- Confidentialité : l'accès à tes dépôts est strictement cloisonné. Voir section 7.
- Détection de crise : Plumi sait détecter certains signaux graves (idéation suicidaire, violence, danger immédiat) et t'oriente immédiatement vers les bonnes ressources professionnelles (3114, 3919, 15, 17). Ces détections sont enregistrées de manière hashée (on ne stocke pas le texte brut de ces messages), uniquement pour améliorer la qualité de cette détection.
5. Pourquoi on traite tes données
On traite tes données pour les raisons suivantes :
| Finalité | Base légale |
|---|---|
| Te permettre d'accéder à Plumi et à ton compte | Exécution du contrat (CGU) |
| Te répondre de manière adaptée à ton contexte, ton histoire, tes mots | Exécution du contrat + consentement |
| Te proposer des messages du compagnon aux bons moments | Consentement |
| Détecter les signaux de crise pour te rediriger vers des ressources professionnelles | Intérêt vital, article 9.2.c RGPD |
| Corriger les bugs et améliorer le produit | Intérêt légitime de Windfall |
| Répondre à tes questions ou demandes légales | Obligation légale |
Tes dépôts ne sont jamais utilisés pour entraîner des modèles d'intelligence artificielle. Ni par Plumi, ni par nos sous-processeurs (voir section 8).
6. Combien de temps on garde tes données
- Compte et dépôts : tant que ton compte existe.
- Après suppression du compte : délai de grâce de 30 jours pendant lequel tu peux annuler la suppression. Passé ce délai, effacement complet.
- Journaux de détection de crise (hashés, sans contenu) : 6 mois, puis suppression automatique.
- Journaux techniques anonymes (Sentry, Amplitude) : 90 jours maximum.
- Données de facturation (si tu paies un jour pour un service payant) : 10 ans, obligation légale fiscale.
- Données de contact (emails que tu nous envoies) : 3 ans après le dernier échange.
7. Qui a accès à tes données
Les dépôts sont stockés chiffrés au repos (AES-256) dans notre base de données hébergée en France (Paris). L'accès est contrôlé par des règles de sécurité au niveau ligne (Row Level Security) — techniquement, chaque dépôt n'est accessible qu'à partir de ton identifiant authentifié.
Un accès humain exceptionnel à tes dépôts ne peut exister que dans deux cas :
- Tu l'as demandé, par exemple en rejoignant un cercle de relecture volontaire explicitement consenti, ou en signalant un bug à corriger.
- Obligation légale (réquisition judiciaire) — dans ce cas, on t'informe sauf si la loi l'interdit.
Les indicateurs anonymes d'usage (Amplitude) sont filtrés côté application pour ne jamais transmettre de contenu ni de donnée identifiante.
8. Les sous-processeurs auxquels on fait appel
Pour faire fonctionner Plumi, on s'appuie sur quelques partenaires techniques. Chacun est soumis à un contrat de sous-traitance (Data Processing Agreement) et à notre politique de confidentialité.
| Sous-processeur | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase, Inc. | Base de données, authentification, stockage | Union européenne (Paris, eu-west-3) | DPA signé, hébergement UE |
| Anthropic PBC | Génération des réponses du compagnon (modèle Claude) | États-Unis | DPA signé, certification EU-US Data Privacy Framework, données API jamais utilisées pour entraînement |
| Apple Inc. | Authentification (Sign in with Apple), notifications push, intégration HealthKit (optionnelle) | États-Unis / Europe selon service | DPA intégré aux conditions développeur Apple, certification EU-US Data Privacy Framework |
| Google LLC (optionnel) | Authentification (Sign in with Google) sur Android | États-Unis | DPA intégré, certification EU-US Data Privacy Framework |
| Sentry | Rapports de crash anonymes | Union européenne | DPA signé, hébergement UE |
| Amplitude, Inc. | Indicateurs d'usage anonymes | États-Unis | DPA signé, certification EU-US Data Privacy Framework |
Transferts hors Union européenne
Certains de nos sous-processeurs sont situés aux États-Unis. Ces transferts reposent sur la décision d'adéquation de la Commission européenne du 10 juillet 2023 (EU-US Data Privacy Framework), complétée par des Clauses Contractuelles Types (CCT) de la Commission européenne. On a documenté une analyse d'impact sur les transferts (TIA) pour chacun. Tu peux nous demander copie de cette documentation.
Aucune donnée identifiante (prénom, email brut) n'est transmise à Anthropic dans le contenu des prompts : on utilise un identifiant pseudonymisé.
9. Tes droits
Le RGPD te donne plusieurs droits sur tes données. Pour chacun, tu peux nous contacter à apps.windfall@gmail.com ou directement depuis les réglages de l'app.
- Droit d'accès : savoir quelles données on a sur toi, les recevoir. Délai de réponse : 1 mois maximum (8 jours pour les données de santé).
- Droit de rectification : corriger ce qui est inexact.
- Droit à l'effacement (« droit à l'oubli ») : supprimer ton compte et toutes tes données. Bouton disponible dans les réglages de l'app. Effacement effectif sous 30 jours.
- Droit à la limitation : nous demander de suspendre le traitement dans certains cas.
- Droit à la portabilité : récupérer tes données dans un format lisible (JSON).
- Droit d'opposition : s'opposer à certains traitements fondés sur l'intérêt légitime.
- Droit de retirer ton consentement à tout moment, sans affecter la licéité des traitements antérieurs.
- Droit d'introduire une réclamation auprès de la CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via www.cnil.fr.
10. Sécurité
On met en œuvre des mesures techniques et organisationnelles pour protéger tes données :
- Chiffrement au repos (AES-256) de la base de données
- Chiffrement en transit (TLS 1.3) pour toutes les communications
- Authentification forte (Sign in with Apple/Google ou lien magique chiffré)
- Cloisonnement strict par identifiant utilisatrice (Row Level Security)
- Journalisation des accès administratifs
- Environnements de développement et de production séparés
- Politique de mots de passe robuste pour les accès Windfall
- Formation continue sur la sécurité
En cas de violation de données susceptible d'entraîner un risque pour tes droits et libertés, on notifie la CNIL dans les 72 heures et on t'informe directement si le risque est élevé.
11. Cookies et traceurs
L'application Plumi n'utilise pas de cookies au sens de la directive ePrivacy. Elle utilise des identifiants techniques strictement nécessaires au fonctionnement de l'authentification et de la synchronisation, exemptés de consentement préalable au titre de l'article 82 de la loi Informatique et Libertés.
Notre site web utilise uniquement des cookies techniques strictement nécessaires.
12. Modifications de cette politique
On peut être amené à modifier cette politique (évolution du produit, de la loi, de nos partenaires). En cas de modification substantielle, on te notifiera par email et/ou par une notification dans l'app, au moins 30 jours avant l'entrée en vigueur. Tu pourras alors exercer ton droit de retrait ou fermer ton compte.
13. Pour finir
Si tu as une question, un doute, une inquiétude : écris-nous à apps.windfall@gmail.com. On lit. On répond.