La présente politique décrit les modalités de traitement des données personnelles des Utilisateurs qui utilisent le site dallamaga.com (« le Service »), au sens des articles 13 et 14 du RGPD (Règlement (UE) 2016/679) et du décret législatif italien n° 196/2003 (Code italien de la protection des données personnelles), tel que modifié par le décret législatif n° 101/2018. Le Service est proposé sur une base anonyme : aucun compte utilisateur, aucune inscription, aucun profilage n'est prévu.
Afin de protéger la vie privée du titulaire, les nom et prénom complets ainsi que l'adresse complète du siège sont toujours disponibles sur demande, en écrivant à l'adresse email [email protected]. Toute demande reçoit une réponse dans les meilleurs délais.
Le Service est conçu pour minimiser la collecte de données personnelles (principe de minimisation des données prévu à l'art. 5, par. 1, point c) du RGPD). Seules les catégories suivantes sont traitées :
Adresse IP, user-agent du navigateur, type et version du système d'exploitation, langue configurée, horodatage d'accès, pages visitées, référent (HTTP referer). Ces données sont collectées automatiquement par les systèmes informatiques pour le bon fonctionnement du Service, à des fins de statistiques agrégées et de sécurité (détection des abus, antifraude, anti-bot).
Identifiant technique de la session (jeton éphémère stocké côté client), Sibylle sélectionnée, mode d'interaction (voix/texte), horodatage de début et de fin de séance, durée résiduelle du crédit acheté.
Texte saisi par l'Utilisateur, transcription vocale (en mode voix), réponses générées par l'intelligence artificielle, cartes symboliques tirées. Ces contenus sont traités en temps réel et exclusivement pendant le temps strictement nécessaire à la génération de la réponse. Pour le détail des durées de conservation, voir la section 03.
En mode vocal, le lancement de la séance requiert l'autorisation du navigateur pour l'accès au microphone. Le flux audio capté est transmis en temps réel, sous forme chiffrée, aux fournisseurs d'intelligence artificielle aux seules fins de speech-to-text (transcription automatique en temps réel) et de text-to-speech (synthèse de la réponse vocale).
La voix de l'Utilisateur est traitée exclusivement aux fins indiquées ci-dessus et n'est pas utilisée pour identifier l'Utilisateur de manière unique : par conséquent, au sens de l'art. 4, point 14 du RGPD et des Lignes directrices 3/2019 du CEPD (EDPB), elle ne constitue pas une donnée biométrique et ne relève pas des catégories particulières de données visées à l'art. 9 du RGPD. Le flux audio n'est ni enregistré, ni conservé, ni archivé, ni utilisé pour entraîner des modèles vocaux, ni exploité à des fins de profilage.
Pour des raisons inhérentes au fonctionnement du microphone, le flux peut capter des bruits de fond, des voix de tiers présents, des sonneries ou des contenus audio d'autres appareils. Ces contenus, lorsqu'ils sont involontairement captés, sont traités selon la même logique d'éphémérité que celle prévue pour la voix de l'Utilisateur. La responsabilité de leur licéité (consentement des tiers présents) incombe exclusivement à l'Utilisateur, conformément aux Conditions Générales d'Utilisation.
Email de facturation (facultatif, indiqué lors de l'achat du forfait), forfait acheté, montant, identifiant de la transaction Stripe, résultat du paiement. Les données de la carte bancaire ne transitent pas par les serveurs du Responsable du traitement : elles sont collectées, conservées et traitées directement par Stripe Payments Europe Limited en qualité de responsable de traitement autonome.
En cas de demande de facture électronique : dénomination ou nom et prénom, code fiscal et/ou numéro de TVA, code destinataire ou adresse PEC, adresse de facturation.
Emails envoyés par l'Utilisateur à l'adresse [email protected] : contenu du message, pièces jointes éventuelles, adresse email de l'expéditeur.
Données que le Responsable du traitement NE collecte PAS et NE souhaite PAS recevoir. Le Service ne demande pas et ne souhaite pas recevoir de catégories particulières de données au sens de l'art. 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données concernant la santé, la vie sexuelle ou l'orientation sexuelle) ni de données relatives aux condamnations pénales et aux infractions (art. 10 du RGPD). L'Utilisateur est invité à ne pas partager de telles informations pendant les séances ; en tout état de cause, la nature éphémère du traitement (voir section 03) garantit la cessation rapide de tout contact du Responsable du traitement avec ces données.
Les données collectées sont traitées pour les finalités suivantes, chacune fondée sur une base juridique spécifique au sens de l'art. 6 du RGPD :
La fourniture des données strictement nécessaires à la prestation du Service est obligatoire : le refus entraîne l'impossibilité d'utiliser le Service. La fourniture des données relatives à la facturation électronique est facultative, sauf demande expresse de l'Utilisateur.
Les données personnelles sont conservées pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles sont collectées, selon les durées maximales suivantes :
À l'expiration de ces délais, les données sont supprimées ou rendues anonymes de manière irréversible.
Le Service est conçu selon le principe de la protection des données dès la conception (privacy by design, art. 25 du RGPD), de manière à minimiser structurellement la conservation du contenu des conversations :
Cette architecture entraîne une conséquence importante pour l'Utilisateur : il n'est pas possible de récupérer le contenu d'une séance passée. L'Utilisateur souhaitant conserver une trace de sa séance est invité à en sauvegarder lui-même une copie au cours de son déroulement (capture d'écran ou transcription manuelle), dans le respect des dispositions de l'article 9 des Conditions Générales d'Utilisation relatives à la propriété intellectuelle des contenus générés.
Ce choix de conception est motivé par le fait que les conversations avec les Sibylles peuvent aborder des sujets personnels et intimes : la non-conservation structurelle garantit à l'Utilisateur la confidentialité maximale possible, bien au-delà de ce qui est strictement exigé par la réglementation.
Pour la fourniture du Service, le Responsable du traitement fait appel à des tiers qualifiés agissant en qualité de sous-traitants (art. 28 du RGPD) ou de responsables de traitement autonomes, chacun étant régi par un accord spécifique (Data Processing Agreement ou équivalent). Les sous-traitants utilisés à la date de la présente version sont :
Rôle : traitement des paiements électroniques.
Siège : Irlande (Union européenne).
Qualification : responsable de traitement autonome pour les données de paiement au sens de sa propre politique de confidentialité.
Rôle : génération des réponses textuelles et vocales à partir des entrées de l'Utilisateur.
Siège : États-Unis d'Amérique (en dehors de l'Union européenne).
Qualification : sous-traitants au sens de l'art. 28 du RGPD pour les données transmises via l'API commerciale.
Le Responsable du traitement sélectionne des fournisseurs qui, à la date de la présente version, déclarent dans leurs conditions applicables au canal API commercial : (a) ne pas utiliser les entrées et les sorties transmises pour entraîner leurs modèles ; (b) appliquer des politiques de conservation technique des données limitée et exclusivement destinée à la sécurité du service ; (c) garantir la conformité au RGPD au moyen de Clauses Contractuelles Types approuvées par la Commission européenne.
La liste à jour des fournisseurs d'IA actuellement utilisés est disponible sur demande en écrivant à l'adresse [email protected]. Le Responsable du traitement vérifie périodiquement la persistance des conditions susmentionnées.
Rôle : CDN, protection DDoS, optimisation réseau, DNS.
Siège : États-Unis d'Amérique.
Transfert hors UE : Clauses Contractuelles Types au sens de l'art. 46 du RGPD ; Data Processing Addendum de Cloudflare automatiquement applicable.
Rôle : hébergement des serveurs applicatifs du Service.
Siège : Union européenne (Italie — datacenter de Milan).
Qualification : sous-traitant au sens de l'art. 28 du RGPD.
Le Responsable du traitement se réserve le droit de modifier, de remplacer ou d'ajouter des sous-traitants en le communiquant préalablement par la mise à jour de la présente politique, avec un préavis minimum de 30 jours en cas de modifications substantielles. L'Utilisateur qui s'oppose de manière motivée à un nouveau sous-traitant peut demander la cessation du Service et le remboursement du crédit résiduel non utilisé.
Certains sous-traitants (Cloudflare, fournisseurs d'intelligence artificielle) sont établis aux États-Unis d'Amérique, pays situé en dehors de l'Espace économique européen. Le transfert des données personnelles vers ces entités s'effectue sur la base des garanties suivantes, au sens du chapitre V du RGPD :
Une attention particulière est portée aux fournisseurs d'intelligence artificielle, dont les conditions applicables au canal API commercial à la date de la présente version prévoient expressément que les données transmises (entrées et sorties, textuelles et vocales) ne sont pas utilisées pour entraîner les modèles, sauf opt-in exprès du client. Le Responsable du traitement n'a pas donné et ne donnera pas un tel opt-in pour le Service. La conservation technique des prompts chez les fournisseurs d'IA est limitée à de brèves périodes exclusivement destinées à la sécurité du service et à la détection des abus.
Les séances en mode vocal impliquent la transmission en temps réel de flux audio vers les fournisseurs d'intelligence artificielle établis aux États-Unis. Ce transfert s'effectue sous forme chiffrée (TLS 1.2 ou supérieur), avec les mêmes garanties juridiques que celles prévues pour les données textuelles (Clauses Contractuelles Types au sens de l'art. 46 du RGPD, le cas échéant Data Privacy Framework). Le flux audio est traité en streaming : ni le fichier audio entrant ni le fichier audio sortant ne sont retenus par les fournisseurs au-delà du temps strictement nécessaire au service de speech-to-text et de text-to-speech, conformément à leurs politiques applicables.
L'Utilisateur peut obtenir copie des garanties appliquées (Clauses Contractuelles Types, attestations d'adhésion au Data Privacy Framework) en écrivant à l'adresse [email protected].
Le Service utilise exclusivement des cookies techniques et des technologies assimilées (sessionStorage, localStorage) strictement nécessaires au fonctionnement du site et à la fourniture du Service demandé par l'Utilisateur. Pour ces cookies, au sens de l'art. 122 du décret législatif italien n° 196/2003 et des lignes directrices de l'autorité italienne de protection des données (Garante) du 10 juin 2021, le consentement préalable de l'Utilisateur n'est pas requis.
Le Service n'utilise pas de cookies de profilage, de cookies publicitaires, de cookies de suivi de tiers ni de pixels marketing. Aucun traceur analytique tiers nécessitant un consentement n'est présent.
L'utilisation du mode vocal requiert l'autorisation du navigateur pour l'accès au microphone. Cette autorisation est gérée directement par le système d'exploitation et le navigateur de l'Utilisateur, qui affiche une invite native lors de la première utilisation. Le Responsable du traitement n'a pas accès au microphone en dehors de la séance vocale expressément lancée par l'Utilisateur. L'autorisation peut être révoquée à tout moment depuis les paramètres de confidentialité du navigateur (section « Autorisations du site » ou équivalent).
L'Utilisateur peut à tout moment gérer ou supprimer les cookies via les paramètres de son navigateur. La désactivation des cookies techniques peut compromettre le fonctionnement du Service.
Le Responsable du traitement adopte des mesures techniques et organisationnelles appropriées au sens de l'art. 32 du RGPD afin de garantir un niveau de sécurité adapté au risque, parmi lesquelles :
Malgré les mesures adoptées, aucun système informatique ne peut être considéré comme absolument sûr : en cas de violation susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le Responsable du traitement procédera aux notifications et communications prévues aux articles 33 et 34 du RGPD.
L'Utilisateur, en sa qualité de personne concernée au sens du RGPD, peut exercer à tout moment et gratuitement les droits suivants :
Pour exercer ses droits, l'Utilisateur peut écrire à l'adresse [email protected] en précisant : (a) la nature du droit exercé ; (b) les éléments permettant d'identifier sa qualité de personne concernée (par exemple, l'adresse email utilisée pour l'achat, l'identifiant de la transaction Stripe, la date et l'heure approximative de la séance). Le Responsable du traitement répondra dans un délai de 30 jours à compter de la réception, prorogeable de 60 jours supplémentaires en cas de complexité particulière, la personne concernée en étant alors informée.
Limite technique à l'exercice des droits sur les conversations. Le contenu des consultations n'étant pas conservé (voir section 04), le Responsable du traitement ne sera matériellement pas en mesure d'en fournir copie ou d'en effectuer l'effacement après la fin de la séance, ces contenus n'étant déjà plus présents dans ses systèmes. Sur les données conservées (transactions, journaux techniques, communications email), les droits sont pleinement exerçables dans les conditions prévues par la loi.
Le Service est réservé exclusivement aux personnes ayant atteint la majorité au sens de la réglementation italienne applicable. Le Responsable du traitement ne collecte pas sciemment de données personnelles de mineurs.
Si le Responsable du traitement apprend qu'une personne mineure a utilisé le Service en faisant de fausses déclarations lors de l'acceptation des Conditions, il procédera sans délai à l'effacement de toutes les données s'y rapportant, sous réserve de la conservation des données strictement nécessaires au respect des obligations légales et à la défense en justice.
Les parents ou les titulaires de l'autorité parentale qui estiment que leur enfant mineur a utilisé le Service sont invités à le signaler sans délai à l'adresse [email protected].
L'Utilisateur qui estime que le traitement de ses données personnelles est effectué en violation du RGPD a le droit d'introduire une réclamation auprès de l'autorité italienne de protection des données personnelles (Garante per la protezione dei dati personali), autorité de contrôle du Responsable du traitement, selon les modalités et dans les délais prévus par l'art. 77 du RGPD et le décret législatif italien n° 196/2003.
Siège : Piazza Venezia 11, 00187 Roma
Standard téléphonique : +39 06 696771
Email : [email protected] — PEC : [email protected]
Site : www.garanteprivacy.it
L'Utilisateur résidant dans un autre État membre de l'Union européenne peut introduire une réclamation auprès de l'autorité de contrôle de son pays de résidence, de son lieu de travail ou du lieu où la violation alléguée s'est produite. En particulier, l'Utilisateur résidant en France peut adresser une réclamation à la CNIL — Commission Nationale de l'Informatique et des Libertés (cnil.fr) ; pour l'Allemagne, la réclamation peut être adressée à l'autorité de protection des données du Land de résidence ou au BfDI (bfdi.bund.de).
La présente Politique de Confidentialité peut être modifiée à tout moment afin de l'adapter à de nouvelles exigences réglementaires, à l'évolution du Service ou à l'introduction de nouveaux sous-traitants. Les modifications seront publiées sur cette page avec indication de la date d'entrée en vigueur et de la nouvelle version.
En cas de modifications substantielles affectant de manière significative les droits des personnes concernées, le Responsable du traitement en informera les Utilisateurs par un avis visible sur le site au moins 30 jours avant l'entrée en vigueur.
L'Utilisateur est invité à consulter périodiquement la présente politique afin d'être toujours informé des modalités de traitement de ses données.