Politique de confidentialité

Dernière mise à jour : 19 mai 2026

Cette politique explique de manière transparente quelles données personnelles nous collectons sur GoalGuardian, pourquoi, avec qui nous les partageons, combien de temps nous les gardons et quels sont tes droits. Si tu vois quelque chose de flou, écris-nous à contact@goal-guardian.app.

1. Responsable du traitement

DKA Digital Tech LLC, société immatriculée à Dubaï (Émirats Arabes Unis) sous le numéro de trade license 2538289.01, dont le siège est situé Meydan Grandstand — 6th Floor, Al Meydan Rd, Nad Al Sheba, Nadd Al Shiba First, Dubai, Émirats Arabes Unis.

Contact pour toute question relative à la protection de tes données : contact@goal-guardian.app.

GoalGuardian est accessible dans le monde entier. Lorsque tu utilises le service depuis l'Union européenne, le RGPD (Règlement (UE) 2016/679) s'applique au traitement de tes données.

2. Données que nous collectons

Nous limitons la collecte au strict nécessaire. Voici l'inventaire complet :

  • Données de compte : adresse email, mot de passe (haché Argon2, jamais en clair), pseudo d'affichage, langue préférée.
  • Profil (optionnel) : prénom, nom, biographie courte, date de naissance, genre, fuseau horaire, devise préférée. Aucun de ces champs n'est obligatoire après la création du compte.
  • Données comportementales : habitudes que tu crées et leurs check-ins, bulles Digital Self, snapshots hebdomadaires, badges, points, dernière connexion, humeur du jour si tu la saisis.
  • Contenu généré : messages échangés avec Astra (notre coach IA), notes Digital Self, posts et messages communauté.
  • Données de paiement : uniquement l'identifiant client Stripe et le statut de ton abonnement. Aucun numéro de carte n'est stocké chez nous.
  • Données techniques : adresse IP (à des fins de sécurité, anti-fraude), user-agent du navigateur, logs serveur conservés de manière limitée.

Certaines données (humeur, habitudes de bien-être, contenu de tes notes) peuvent relever de catégories particulières au sens de l'Article 9 RGPD (santé, bien-être psychologique). Tu choisis librement de saisir ces informations et tu peux les supprimer à tout moment.

3. Finalités et bases légales

FinalitéBase légale RGPD
Création et gestion de ton compteExécution du contrat (Art. 6(1)(b))
Fourniture du service Digital Self / Astra / Brain ConnectExécution du contrat (Art. 6(1)(b))
Facturation et gestion des abonnementsExécution du contrat + obligation légale (Art. 6(1)(b)(c))
Emails transactionnels (réinitialisation mot de passe, sécurité, activité du compte)Exécution du contrat (Art. 6(1)(b))
Emails marketing, conseils, nouveautés produitConsentement (Art. 6(1)(a)) — opt-in explicite, désinscription à tout moment
Analyse anonymisée d'utilisation (Plausible, sans cookies)Intérêt légitime (Art. 6(1)(f))
Sécurité, prévention de la fraude, modération communautéIntérêt légitime (Art. 6(1)(f))
Données sensibles (humeur, habitudes santé) saisies par toiConsentement explicite (Art. 9(2)(a))

4. Sous-traitants et partage des données

Nous travaillons avec un nombre limité de prestataires soigneusement choisis. Aucun ne reçoit plus de données que ce qui est nécessaire à sa mission.

PrestataireRôleLocalisation
OpenAIGénération des réponses Astra, analyse pour rapport Digital Self, suggestions Brain ConnectÉtats-Unis
AnthropicOptionnel : si tu utilises ta propre clé API dans Studio. Sinon, aucune donnée envoyée.États-Unis
StripeTraitement des paiements et gestion des abonnementsIrlande / États-Unis
SendGrid (Twilio)Envoi des emails transactionnels et marketingÉtats-Unis
Heroku (Salesforce)Hébergement de l'application, base de donnéesÉtats-Unis / UE
Plausible AnalyticsStatistiques d'audience anonymes, sans cookies (uniquement si activé)Allemagne (UE)
SentryCollecte d'erreurs techniques et de traces d'exécution. PII utilisateur jamais transmise (send_default_pii désactivé).Allemagne (UE)
GitHub, Strava, Discord, GoogleConnexion via OAuth si tu choisis ces options. Nous recevons uniquement les données minimales nécessaires (email, nom, identifiant).États-Unis

Nous ne vendons jamais tes données. Nous ne les partageons avec aucun tiers à des fins publicitaires.

5. Transferts internationaux et représentant UE

GoalGuardian est édité depuis les Émirats Arabes Unis. Certains sous-traitants sont basés aux États-Unis. Pour les utilisateurs situés dans l'Union européenne, ces transferts hors UE sont encadrés par les Clauses Contractuelles Types (Standard Contractual Clauses) de la Commission européenne, conformément à l'Article 46 RGPD.

Concernant l'obligation de désigner un représentant dans l'Union (Article 27 RGPD), nous nous prévalons de l'exemption prévue à l'Article 27(2)(a) : notre traitement est occasionnel, ne comporte pas de traitement à grande échelle de données de catégories particulières (Article 9), et présente un risque limité pour les droits et libertés des personnes. Cette qualification est documentée dans une auto-évaluation interne, mise à jour annuellement et déclenchée par des seuils précis (volume d'utilisateurs UE, part de la base, traitements sensibles).

Les mesures techniques qui soutiennent cette qualification incluent : pseudonymisation systématique des journaux et analyses (un identifiant UUID interne remplace l'email partout où l'identité utilisateur n'est pas strictement nécessaire), opt-out granulaire du suivi de l'humeur (donnée Article 9), opt-in explicite pour les emails marketing, chiffrement des mots de passe (Argon2) et des clés tierces (Fernet/AES-128), export et suppression de compte directement accessibles depuis l'interface.

Une copie des Clauses Contractuelles Types applicables, ou de l'auto-évaluation Article 27(2)(a), peut être obtenue sur demande à contact@goal-guardian.app.

6. Durée de conservation

  • Compte actif : tant que ton compte existe.
  • Après suppression du compte : effacement immédiat de l'ensemble des données personnelles (cascade complète en base + suppression du client Stripe associé).
  • Données de facturation : conservées 7 ans après la dernière transaction pour répondre aux obligations comptables et fiscales applicables.
  • Logs techniques : 30 jours maximum, sauf incident de sécurité.
  • Sauvegardes : effacement progressif sous 30 jours après suppression du compte.

7. Tes droits

Conformément au RGPD, tu disposes des droits suivants sur tes données personnelles :

  • Droit d'accès (Art. 15) — obtenir une copie de toutes les données que nous détenons.
  • Droit de rectification (Art. 16) — corriger toute information inexacte. La plupart des champs sont modifiables directement depuis tes paramètres.
  • Droit à l'effacement (Art. 17) — supprimer ton compte et toutes ses données depuis tes paramètres.
  • Droit à la limitation (Art. 18) — demander la suspension du traitement de tes données dans certains cas.
  • Droit à la portabilité (Art. 20) — télécharger l'ensemble de tes données dans un format JSON structuré via le bouton « Exporter mes données ».
  • Droit d'opposition (Art. 21) — t'opposer à un traitement basé sur l'intérêt légitime, notamment pour les communications marketing.
  • Décision automatisée (Art. 22) — Astra et le rapport Digital Self génèrent des suggestions, jamais des décisions à effet juridique. Tu peux toujours contester une recommandation et demander une revue humaine via support.

Pour exercer un droit, écris à contact@goal-guardian.app. Nous répondons sous 30 jours maximum.

Si tu résides dans l'Union européenne et que tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès d'une autorité de contrôle. En France, il s'agit de la CNIL (3 Place de Fontenoy, 75007 Paris — cnil.fr). Pour les autres pays UE, la liste des autorités est disponible sur le site de l'EDPB.

8. Décision automatisée et IA

Astra (notre coach IA), le rapport Digital Self et les suggestions Brain Connect reposent sur des modèles de langage (OpenAI gpt-4o-mini principalement). Ces fonctionnalités produisent des recommandations, pas des décisions ayant un effet juridique sur toi. Le contenu de tes échanges avec Astra est transmis à OpenAI le temps de générer la réponse.

Pour limiter l'exposition, le rapport PDF Digital Self envoie uniquement des compteurs agrégés à OpenAI (pas de prénom, pas de date de naissance, pas de label d'entrée). Pour les autres appels IA, seules les données strictement nécessaires sont transmises.

9. Sécurité

  • Mots de passe : hachage Argon2 (état de l'art, jamais en clair en base).
  • Clés API tierces que tu fournis (Studio) : chiffrées en base avec Fernet (AES-128).
  • Transport : HTTPS / TLS exclusivement, HSTS activé.
  • Accès aux données : restreint aux personnes strictement habilitées.

10. Mineurs

GoalGuardian est réservé aux personnes de 15 ans et plus. Cette limite correspond au seuil de consentement numérique fixé par la France. Au moment de l'inscription, tu confirmes avoir atteint cet âge. Si nous découvrons qu'un compte a été ouvert par un mineur de moins de 15 ans sans consentement parental, nous le supprimerons.

11. Cookies

Voir notre politique cookies pour le détail des cookies utilisés et la manière de gérer ton consentement.

12. Modifications

Cette politique peut évoluer. En cas de changement significatif, nous t'informerons par email ou par une notification dans l'application au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.

Contact

Pour toute question relative à cette politique ou à tes données : contact@goal-guardian.app.