Conformité RGPD
Dernière mise à jour : 24 mars 2026
CalmCall, opéré par CalmCall SRL (Bucarest, Roumanie), s'engage à se conformer pleinement au Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (« RGPD »).
Étant donné que CalmCall traite des données sensibles sur la santé mentale, nous nous engageons à respecter les normes les plus élevées de protection et de transparence.
1. Délégué à la Protection des Données (DPD)
Nous avons désigné un Délégué à la Protection des Données que vous pouvez contacter pour toute demande concernant vos données personnelles :
- Poste : Délégué à la Protection des Données
- Société : CalmCall SRL
- Email : dpo@calmcall.ai
- Adresse : Bucarest, Roumanie
- Délai de réponse : Maximum 30 jours calendaires
2. Bases Légales pour le Traitement des Données
Nous traitons vos données personnelles sur la base des fondements juridiques suivants prévus par le RGPD :
- Consentement explicite (Art. 6(1)(a) et Art. 9(2)(a)) : Pour le traitement de données sensibles sur la santé mentale (conversations IA, évaluations émotionnelles, entrées de journal). Le consentement est demandé lors de la création du compte et peut être retiré à tout moment.
- Exécution du contrat (Art. 6(1)(b)) : Pour fournir les services CalmCall, la gestion des comptes et le traitement des paiements.
- Obligation légale (Art. 6(1)(c)) : Pour se conformer aux exigences fiscales, comptables et légales applicables.
- Intérêt vital (Art. 6(1)(d)) : Dans des cas exceptionnels de détection d'un risque imminent pour la vie de l'utilisateur.
- Intérêt légitime (Art. 6(1)(f)) : Pour l'amélioration des services, la sécurité et la prévention de la fraude — tout en respectant les droits et intérêts des utilisateurs.
3. Durées de Conservation des Données
Les données sont conservées strictement pendant la durée nécessaire à la finalité pour laquelle elles ont été collectées :
| Catégorie de Données | Durée de Conservation |
|---|---|
| Données de compte (email, nom) | Durée du compte + 30 jours |
| Conversations IA | Durée du compte + 30 jours (suppression individuelle disponible) |
| Journal thérapeutique | Durée du compte + 30 jours |
| Données de paiement | 5 ans (obligation légale fiscale) |
| Logs techniques | 90 jours |
| Cookies analytiques | 13 mois (selon les recommandations de la CNIL) |
| Sauvegardes chiffrées | 90 jours après la suppression des données sources |
| Correspondance de support | 2 ans |
4. Sous-traitants Tiers
Nous travaillons avec les sous-traitants tiers suivants, tous conformes au RGPD avec des accords de traitement de données signés (DPA) :
- Hetzner Online GmbH (Allemagne) : Hébergement et infrastructure serveur. Serveurs situés dans l'UE (Allemagne).
- Stripe Inc. (USA/Ireland) : Traitement des paiements. Certifié PCI DSS Niveau 1. Clauses contractuelles standard pour le transfert UE-USA.
- OpenAI (USA) : Traitement IA pour le compagnon vocal. Données traitées selon le DPA avec clauses contractuelles standard. Les données des utilisateurs ne sont pas utilisées pour l'entraînement des modèles.
- ElevenLabs (USA) : Synthèse vocale pour le compagnon IA. Clauses contractuelles standard.
- Google Analytics (USA/Ireland) : Analyse du trafic anonymisé. IP anonymisées, pas de cookies d'identification.
5. Transferts de Données Transfrontaliers
Toutes les données sont stockées sur des serveurs au sein de l'Union Européenne. Lorsque le transfert de données vers des pays en dehors de l'Espace Économique Européen est nécessaire (par exemple, pour le traitement IA), nous veillons à ce que :
- Clauses Contractuelles Standards (CCS) approuvées par la Commission Européenne soient mises en œuvre
- Les sous-traitants disposent de certifications de conformité pertinentes (SOC 2, ISO 27001, PCI DSS)
- Des mesures techniques supplémentaires s'appliquent : cryptage de bout en bout, pseudonymisation, minimisation des données
- Des évaluations d'impact (Évaluations d'Impact des Transferts) sont réalisées pour chaque transfert
6. Demandes de Suppression de Données
Vous pouvez demander la suppression complète de vos données personnelles par :
- Depuis le compte : Paramètres > Confidentialité > Supprimer toutes les données
- Email : Envoyez une demande à dpo@calmcall.ai
- Formulaire : Complétez le formulaire de demande RGPD sur le site web
Processus de suppression :
- Confirmation d'identité dans un délai maximum de 3 jours ouvrables
- Suppression des données principales dans un délai maximum de 30 jours
- Suppression des sauvegardes dans un délai maximum de 90 jours
- Confirmation de la suppression finale par email
Remarque : Certaines données peuvent être conservées en raison d'obligations légales (données fiscales — 5 ans).
7. Politique de Cookies — Détails
Classification complète des cookies utilisés sur CalmCall :
Cookies Strictement Nécessaires
- session_id : Identifiant de session. Durée : session du navigateur. Ne peut pas être désactivé.
- csrf_token : Protection contre les attaques CSRF. Durée : session. Ne peut pas être désactivé.
- auth_token : Jeton d'authentification. Durée : 30 jours ou lors de la déconnexion. Ne peut pas être désactivé.
Cookies Fonctionnels
- language : Préférence de langue. Durée : 1 an. Peut être désactivé.
- theme : Préférence de thème visuel. Durée : 1 an. Peut être désactivé.
- cookie_consent : Préférences de consentement. Durée : 1 an.
Cookies Analytiques
- _ga : Google Analytics — identification anonyme des utilisateurs. Durée : 13 mois. Peut être désactivé.
- _ga_* : Google Analytics — état de session. Durée : 13 mois. Peut être désactivé.
Nous n'utilisons pas de cookies de marketing, de publicité ou de remarketing.
8. Évaluation d'Impact sur la Protection des Données (EIPD)
Étant donné que CalmCall traite des données sensibles sur la santé mentale à grande échelle, nous avons réalisé une Évaluation d'Impact sur la Protection des Données (EIPD) conformément à l'Art. 35 RGPD. L'EIPD est révisée annuellement ou lors de tout changement significatif des activités de traitement. Les résultats de l'EIPD sont disponibles sur demande auprès des autorités de contrôle.
9. Vos Droits
En vertu du RGPD, vous avez les droits suivants :
- Droit d'accès (Art. 15) — obtenir une copie de vos données
- Droit de rectification (Art. 16) — corriger des données inexactes
- Droit à l'effacement (Art. 17) — demander la suppression des données
- Droit à la limitation (Art. 18) — limiter le traitement
- Droit à la portabilité (Art. 20) — recevoir des données dans un format structuré
- Droit d'opposition (Art. 21) — s'opposer au traitement
- Droit de retirer le consentement (Art. 7(3)) — à tout moment, sans effet rétroactif
- Droit de déposer une plainte (Art. 77) — auprès de l'autorité de contrôle
10. Autorités de Contrôle
Si vous pensez que vos droits ont été violés, vous pouvez déposer une plainte auprès de :
- Roumanie : Autorité Nationale de Surveillance du Traitement des Données Personnelles (ANSPDCP) — www.dataprotection.ro
- Chypre : Bureau du Commissaire à la Protection des Données Personnelles — www.dataprotection.gov.cy
11. Contact
Pour toute question ou demande concernant le RGPD et la protection des données personnelles :
- Email DPD : dpo@calmcall.ai
- Email général : contact@calmcall.ai
- Société : CalmCall SRL, Bucarest, Roumanie