— Information au sens des art. 13-14 du RGPD —

Politique de Confidentialité

Dernière mise à jour : 4 juillet 2026 — Version 1.2

La présente politique décrit les modalités de traitement des données personnelles des Utilisateurs qui utilisent le site dallamaga.com (« le Service »), au sens des articles 13 et 14 du RGPD (Règlement (UE) 2016/679) et du décret législatif italien n° 196/2003 (Code italien de la protection des données personnelles), tel que modifié par le décret législatif n° 101/2018. Le Service est proposé sur une base anonyme : aucun compte utilisateur, aucune inscription, aucun profilage n'est prévu.

— Responsable du traitement —
Dénomination
Akula Dev Team
Siège
Montecatini Terme (PT) — Italie
Numéro de TVA
IT02135800478
Email de contact
[email protected]
Délégué à la protection des données
Non désigné (les conditions rendant sa désignation obligatoire au sens de l'art. 37 du RGPD ne sont pas réunies)

Afin de protéger la vie privée du titulaire, les nom et prénom complets ainsi que l'adresse complète du siège sont toujours disponibles sur demande, en écrivant à l'adresse email [email protected]. Toute demande reçoit une réponse dans les meilleurs délais.

— Sommaire —
  1. Catégories de données collectées
  2. Finalités et bases juridiques
  3. Conservation des données
  4. Nature éphémère des séances
  5. Destinataires et sous-traitants
  6. Transferts hors UE
  7. Cookies et technologies similaires
  8. Sécurité du traitement
  9. Droits de la personne concernée
  10. Mineurs
  11. Réclamation auprès de l'autorité de contrôle
  12. Modifications de la politique

01 Catégories de données collectées

Le Service est conçu pour minimiser la collecte de données personnelles (principe de minimisation des données prévu à l'art. 5, par. 1, point c) du RGPD). Seules les catégories suivantes sont traitées :

Données de navigation (techniques)

Adresse IP, user-agent du navigateur, type et version du système d'exploitation, langue configurée, horodatage d'accès, pages visitées, référent (HTTP referer). Ces données sont collectées automatiquement par les systèmes informatiques pour le bon fonctionnement du Service, à des fins de statistiques agrégées et de sécurité (détection des abus, antifraude, anti-bot).

Données de session

Identifiant technique de la session (jeton éphémère stocké côté client), Sibylle sélectionnée, mode d'interaction (voix/texte), horodatage de début et de fin de séance, durée résiduelle du crédit acheté.

Contenu des conversations

Texte saisi par l'Utilisateur, transcription vocale (en mode voix), réponses générées par l'intelligence artificielle, cartes symboliques tirées. Ces contenus sont traités en temps réel et exclusivement pendant le temps strictement nécessaire à la génération de la réponse. Pour le détail des durées de conservation, voir la section 03.

Données vocales (mode voix)

En mode vocal, le lancement de la séance requiert l'autorisation du navigateur pour l'accès au microphone. Le flux audio capté est transmis en temps réel, sous forme chiffrée, aux fournisseurs d'intelligence artificielle aux seules fins de speech-to-text (transcription automatique en temps réel) et de text-to-speech (synthèse de la réponse vocale).

La voix de l'Utilisateur est traitée exclusivement aux fins indiquées ci-dessus et n'est pas utilisée pour identifier l'Utilisateur de manière unique : par conséquent, au sens de l'art. 4, point 14 du RGPD et des Lignes directrices 3/2019 du CEPD (EDPB), elle ne constitue pas une donnée biométrique et ne relève pas des catégories particulières de données visées à l'art. 9 du RGPD. Le flux audio n'est ni enregistré, ni conservé, ni archivé, ni utilisé pour entraîner des modèles vocaux, ni exploité à des fins de profilage.

Pour des raisons inhérentes au fonctionnement du microphone, le flux peut capter des bruits de fond, des voix de tiers présents, des sonneries ou des contenus audio d'autres appareils. Ces contenus, lorsqu'ils sont involontairement captés, sont traités selon la même logique d'éphémérité que celle prévue pour la voix de l'Utilisateur. La responsabilité de leur licéité (consentement des tiers présents) incombe exclusivement à l'Utilisateur, conformément aux Conditions Générales d'Utilisation.

Données de paiement

Email de facturation (facultatif, indiqué lors de l'achat du forfait), forfait acheté, montant, identifiant de la transaction Stripe, résultat du paiement. Les données de la carte bancaire ne transitent pas par les serveurs du Responsable du traitement : elles sont collectées, conservées et traitées directement par Stripe Payments Europe Limited en qualité de responsable de traitement autonome.

Données fiscales (éventuelles)

En cas de demande de facture électronique : dénomination ou nom et prénom, code fiscal et/ou numéro de TVA, code destinataire ou adresse PEC, adresse de facturation.

Communications adressées directement au Responsable du traitement

Emails envoyés par l'Utilisateur à l'adresse [email protected] : contenu du message, pièces jointes éventuelles, adresse email de l'expéditeur.

Données que le Responsable du traitement NE collecte PAS et NE souhaite PAS recevoir. Le Service ne demande pas et ne souhaite pas recevoir de catégories particulières de données au sens de l'art. 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données concernant la santé, la vie sexuelle ou l'orientation sexuelle) ni de données relatives aux condamnations pénales et aux infractions (art. 10 du RGPD). L'Utilisateur est invité à ne pas partager de telles informations pendant les séances ; en tout état de cause, la nature éphémère du traitement (voir section 03) garantit la cessation rapide de tout contact du Responsable du traitement avec ces données.

02 Finalités et bases juridiques

Les données collectées sont traitées pour les finalités suivantes, chacune fondée sur une base juridique spécifique au sens de l'art. 6 du RGPD :

Fourniture
Fournir à l'Utilisateur les séances de consultation demandées, gérer la session technique, générer les réponses. Base juridique : exécution du contrat (art. 6, par. 1, point b) du RGPD).
Paiements
Traiter les paiements des forfaits achetés, gérer les remboursements et les contestations. Base juridique : exécution du contrat (art. 6, par. 1, point b) du RGPD).
Obligations fiscales
Émettre des reçus ou des factures, conserver la documentation fiscale et comptable. Base juridique : obligation légale (art. 6, par. 1, point c) du RGPD — D.P.R. italien n° 633/1972, art. 2220 du Code civil italien).
Sécurité
Prévenir les fraudes, les abus, les attaques informatiques, l'utilisation automatisée du Service. Base juridique : intérêt légitime du Responsable du traitement à la protection du Service et des Utilisateurs (art. 6, par. 1, point f) du RGPD).
Statistiques agrégées
Analyses statistiques agrégées et anonymes sur l'utilisation du Service à des fins d'amélioration. Base juridique : intérêt légitime du Responsable du traitement (art. 6, par. 1, point f) du RGPD).
Défense en justice
Constater, exercer ou défendre un droit du Responsable du traitement en justice ou dans un cadre extrajudiciaire. Base juridique : intérêt légitime (art. 6, par. 1, point f) du RGPD).
Communications de service
Répondre aux emails de contact envoyés par l'Utilisateur. Base juridique : exécution de mesures précontractuelles prises à la demande de l'Utilisateur (art. 6, par. 1, point b) du RGPD) ou intérêt légitime.

La fourniture des données strictement nécessaires à la prestation du Service est obligatoire : le refus entraîne l'impossibilité d'utiliser le Service. La fourniture des données relatives à la facturation électronique est facultative, sauf demande expresse de l'Utilisateur.

03 Conservation des données

Les données personnelles sont conservées pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles sont collectées, selon les durées maximales suivantes :

Conversations
Durée de la séance. Le contenu textuel et vocal des consultations est traité en temps réel et supprimé à la fin de la séance (voir section 04).
Journaux techniques
Jusqu'à 30 jours à compter de leur génération, à des fins de sécurité, d'antifraude et de diagnostic.
Données de session
Jusqu'à l'épuisement du crédit ou pendant 60 jours à compter de l'achat du forfait, délai au-delà duquel le crédit expire.
Données de paiement
10 ans à compter de la date de la transaction, au titre des obligations civiles et fiscales italiennes (art. 2220 du Code civil italien, D.P.R. n° 600/1973).
Données fiscales
10 ans à compter de l'émission du document fiscal, conformément à la réglementation fiscale.
Emails reçus
Jusqu'à 24 mois à compter de la date de réception, sauf nécessité d'une conservation plus longue pour les besoins de la défense en justice.
Preuve d'acceptation des CGU
Jusqu'à 10 ans à compter de l'acceptation, à des fins probatoires de la conclusion du contrat (art. 2946 du Code civil italien).

À l'expiration de ces délais, les données sont supprimées ou rendues anonymes de manière irréversible.

04 Nature éphémère des séances

Le Service est conçu selon le principe de la protection des données dès la conception (privacy by design, art. 25 du RGPD), de manière à minimiser structurellement la conservation du contenu des conversations :

Cette architecture entraîne une conséquence importante pour l'Utilisateur : il n'est pas possible de récupérer le contenu d'une séance passée. L'Utilisateur souhaitant conserver une trace de sa séance est invité à en sauvegarder lui-même une copie au cours de son déroulement (capture d'écran ou transcription manuelle), dans le respect des dispositions de l'article 9 des Conditions Générales d'Utilisation relatives à la propriété intellectuelle des contenus générés.

Ce choix de conception est motivé par le fait que les conversations avec les Sibylles peuvent aborder des sujets personnels et intimes : la non-conservation structurelle garantit à l'Utilisateur la confidentialité maximale possible, bien au-delà de ce qui est strictement exigé par la réglementation.

05 Destinataires et sous-traitants

Pour la fourniture du Service, le Responsable du traitement fait appel à des tiers qualifiés agissant en qualité de sous-traitants (art. 28 du RGPD) ou de responsables de traitement autonomes, chacun étant régi par un accord spécifique (Data Processing Agreement ou équivalent). Les sous-traitants utilisés à la date de la présente version sont :

Stripe Payments Europe Limited

Rôle : traitement des paiements électroniques.

Siège : Irlande (Union européenne).

Qualification : responsable de traitement autonome pour les données de paiement au sens de sa propre politique de confidentialité.

Confidentialité : stripe.com/privacy
Fournisseurs d'intelligence artificielle

Rôle : génération des réponses textuelles et vocales à partir des entrées de l'Utilisateur.

Siège : États-Unis d'Amérique (en dehors de l'Union européenne).

Qualification : sous-traitants au sens de l'art. 28 du RGPD pour les données transmises via l'API commerciale.

Le Responsable du traitement sélectionne des fournisseurs qui, à la date de la présente version, déclarent dans leurs conditions applicables au canal API commercial : (a) ne pas utiliser les entrées et les sorties transmises pour entraîner leurs modèles ; (b) appliquer des politiques de conservation technique des données limitée et exclusivement destinée à la sécurité du service ; (c) garantir la conformité au RGPD au moyen de Clauses Contractuelles Types approuvées par la Commission européenne.

La liste à jour des fournisseurs d'IA actuellement utilisés est disponible sur demande en écrivant à l'adresse [email protected]. Le Responsable du traitement vérifie périodiquement la persistance des conditions susmentionnées.

Références publiques des politiques d'IA : privacy.claude.com (Anthropic) — x.ai/legal (xAI)
Cloudflare, Inc.

Rôle : CDN, protection DDoS, optimisation réseau, DNS.

Siège : États-Unis d'Amérique.

Transfert hors UE : Clauses Contractuelles Types au sens de l'art. 46 du RGPD ; Data Processing Addendum de Cloudflare automatiquement applicable.

Fournisseur d'hébergement et d'infrastructure

Rôle : hébergement des serveurs applicatifs du Service.

Siège : Union européenne (Italie — datacenter de Milan).

Qualification : sous-traitant au sens de l'art. 28 du RGPD.

Le Responsable du traitement se réserve le droit de modifier, de remplacer ou d'ajouter des sous-traitants en le communiquant préalablement par la mise à jour de la présente politique, avec un préavis minimum de 30 jours en cas de modifications substantielles. L'Utilisateur qui s'oppose de manière motivée à un nouveau sous-traitant peut demander la cessation du Service et le remboursement du crédit résiduel non utilisé.

06 Transferts hors UE

Certains sous-traitants (Cloudflare, fournisseurs d'intelligence artificielle) sont établis aux États-Unis d'Amérique, pays situé en dehors de l'Espace économique européen. Le transfert des données personnelles vers ces entités s'effectue sur la base des garanties suivantes, au sens du chapitre V du RGPD :

Politique de non-entraînement des fournisseurs d'IA

Une attention particulière est portée aux fournisseurs d'intelligence artificielle, dont les conditions applicables au canal API commercial à la date de la présente version prévoient expressément que les données transmises (entrées et sorties, textuelles et vocales) ne sont pas utilisées pour entraîner les modèles, sauf opt-in exprès du client. Le Responsable du traitement n'a pas donné et ne donnera pas un tel opt-in pour le Service. La conservation technique des prompts chez les fournisseurs d'IA est limitée à de brèves périodes exclusivement destinées à la sécurité du service et à la détection des abus.

Transfert des flux audio en temps réel

Les séances en mode vocal impliquent la transmission en temps réel de flux audio vers les fournisseurs d'intelligence artificielle établis aux États-Unis. Ce transfert s'effectue sous forme chiffrée (TLS 1.2 ou supérieur), avec les mêmes garanties juridiques que celles prévues pour les données textuelles (Clauses Contractuelles Types au sens de l'art. 46 du RGPD, le cas échéant Data Privacy Framework). Le flux audio est traité en streaming : ni le fichier audio entrant ni le fichier audio sortant ne sont retenus par les fournisseurs au-delà du temps strictement nécessaire au service de speech-to-text et de text-to-speech, conformément à leurs politiques applicables.

L'Utilisateur peut obtenir copie des garanties appliquées (Clauses Contractuelles Types, attestations d'adhésion au Data Privacy Framework) en écrivant à l'adresse [email protected].

08 Sécurité du traitement

Le Responsable du traitement adopte des mesures techniques et organisationnelles appropriées au sens de l'art. 32 du RGPD afin de garantir un niveau de sécurité adapté au risque, parmi lesquelles :

Malgré les mesures adoptées, aucun système informatique ne peut être considéré comme absolument sûr : en cas de violation susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le Responsable du traitement procédera aux notifications et communications prévues aux articles 33 et 34 du RGPD.

09 Droits de la personne concernée

L'Utilisateur, en sa qualité de personne concernée au sens du RGPD, peut exercer à tout moment et gratuitement les droits suivants :

Art. 15 — Accès
Obtenir la confirmation du traitement et une copie des données personnelles le concernant.
Art. 16 — Rectification
Demander la correction de données inexactes ou le complément de données incomplètes.
Art. 17 — Effacement
Demander l'effacement des données dans les cas prévus par la réglementation (dit « droit à l'oubli »).
Art. 18 — Limitation
Demander la limitation du traitement dans les cas prévus.
Art. 20 — Portabilité
Recevoir les données dans un format structuré, couramment utilisé et lisible par machine.
Art. 21 — Opposition
S'opposer au traitement fondé sur l'intérêt légitime du Responsable du traitement.
Art. 22 — Décisions automatisées
Ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques. Le Service n'adopte pas de telles décisions.
Art. 7 — Retrait du consentement
Retirer à tout moment le consentement éventuellement donné, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant ce retrait.

Pour exercer ses droits, l'Utilisateur peut écrire à l'adresse [email protected] en précisant : (a) la nature du droit exercé ; (b) les éléments permettant d'identifier sa qualité de personne concernée (par exemple, l'adresse email utilisée pour l'achat, l'identifiant de la transaction Stripe, la date et l'heure approximative de la séance). Le Responsable du traitement répondra dans un délai de 30 jours à compter de la réception, prorogeable de 60 jours supplémentaires en cas de complexité particulière, la personne concernée en étant alors informée.

Limite technique à l'exercice des droits sur les conversations. Le contenu des consultations n'étant pas conservé (voir section 04), le Responsable du traitement ne sera matériellement pas en mesure d'en fournir copie ou d'en effectuer l'effacement après la fin de la séance, ces contenus n'étant déjà plus présents dans ses systèmes. Sur les données conservées (transactions, journaux techniques, communications email), les droits sont pleinement exerçables dans les conditions prévues par la loi.

10 Mineurs

Le Service est réservé exclusivement aux personnes ayant atteint la majorité au sens de la réglementation italienne applicable. Le Responsable du traitement ne collecte pas sciemment de données personnelles de mineurs.

Si le Responsable du traitement apprend qu'une personne mineure a utilisé le Service en faisant de fausses déclarations lors de l'acceptation des Conditions, il procédera sans délai à l'effacement de toutes les données s'y rapportant, sous réserve de la conservation des données strictement nécessaires au respect des obligations légales et à la défense en justice.

Les parents ou les titulaires de l'autorité parentale qui estiment que leur enfant mineur a utilisé le Service sont invités à le signaler sans délai à l'adresse [email protected].

11 Réclamation auprès de l'autorité de contrôle

L'Utilisateur qui estime que le traitement de ses données personnelles est effectué en violation du RGPD a le droit d'introduire une réclamation auprès de l'autorité italienne de protection des données personnelles (Garante per la protezione dei dati personali), autorité de contrôle du Responsable du traitement, selon les modalités et dans les délais prévus par l'art. 77 du RGPD et le décret législatif italien n° 196/2003.

Garante per la protezione dei dati personali

Siège : Piazza Venezia 11, 00187 Roma

Standard téléphonique : +39 06 696771

Email : [email protected]PEC : [email protected]

Site : www.garanteprivacy.it

L'Utilisateur résidant dans un autre État membre de l'Union européenne peut introduire une réclamation auprès de l'autorité de contrôle de son pays de résidence, de son lieu de travail ou du lieu où la violation alléguée s'est produite. En particulier, l'Utilisateur résidant en France peut adresser une réclamation à la CNIL — Commission Nationale de l'Informatique et des Libertés (cnil.fr) ; pour l'Allemagne, la réclamation peut être adressée à l'autorité de protection des données du Land de résidence ou au BfDI (bfdi.bund.de).

12 Modifications de la politique

La présente Politique de Confidentialité peut être modifiée à tout moment afin de l'adapter à de nouvelles exigences réglementaires, à l'évolution du Service ou à l'introduction de nouveaux sous-traitants. Les modifications seront publiées sur cette page avec indication de la date d'entrée en vigueur et de la nouvelle version.

En cas de modifications substantielles affectant de manière significative les droits des personnes concernées, le Responsable du traitement en informera les Utilisateurs par un avis visible sur le site au moins 30 jours avant l'entrée en vigueur.

L'Utilisateur est invité à consulter périodiquement la présente politique afin d'être toujours informé des modalités de traitement de ses données.