Politique de confidentialité
En vigueur au 15 février 2026 — Conforme au RGPD (Règlement UE 2016/679)
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées sur le site hikaya.tech est :
- Hikaya SAS — [Adresse à compléter], France
- Contact DPO : support@hikaya.tech
2. Données personnelles collectées
Nous collectons les catégories de données suivantes :
2.1. Données du compte parent
- Adresse e-mail (via Clerk, notre prestataire d'authentification)
- Nom et prénom (optionnels)
- Données de paiement (traitées exclusivement par Stripe — nous ne stockons aucun numéro de carte)
2.2. Données de l'enfant
- Prénom
- Âge
- Genre (fille/garçon — pour adapter les illustrations)
- Préférences de thème (pirate, espace, fée, etc.)
2.3. Avatar personnalisé de l'enfant
- Aucune photo de l'enfant n'est téléchargée, stockée ni traitée par le Service
- Le parent personnalise un avatar en choisissant des caractéristiques visuelles (couleur de peau, coiffure, couleur des yeux, accessoires, tenue, etc.)
- Ces caractéristiques sont enregistrées sous forme de description textuelle dans le profil de l'enfant sur nos serveurs
- L'IA génère les illustrations du livre à partir de cette description d'avatar, sans utiliser de photo réelle
2.4. Données stockées uniquement sur votre appareil
Les données suivantes ne quittent jamais votre appareil et ne sont pas accessibles par Hikaya :
- Enregistrements vocaux parentaux : les narrations enregistrées via la fonctionnalité « Ma voix » sont stockées en IndexedDB par livre et par page
- Livres hors-ligne : les images et fichiers audio téléchargés pour lecture sans connexion sont stockés dans le cache du Service Worker
- Paramètres : mode nuit, taille du texte, réduction des animations, contraste élevé, nombre de visites (localStorage)
2.5. Données techniques et analytiques
- Adresse IP (logs serveur)
- Type de navigateur et système d'exploitation
- Pages consultées et horodatages
- Données d'usage anonymisées via PostHog (hébergé UE) : création de livres, modes de lecture utilisés, fonctionnalités activées. Aucun identifiant personnel n'est croisé avec des tiers.
2.6. Notifications push
Si vous activez les notifications push, un identifiant technique (Push Subscription) est généré par votre navigateur et transmis à nos serveurs pour vous envoyer des notifications (livre prêt, etc.). Cet identifiant ne contient aucune donnée personnelle et peut être révoqué à tout moment dans les paramètres de votre navigateur.
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) | Durée |
|---|---|---|
| Création et gestion du compte | Exécution du contrat | Durée du compte + 3 ans |
| Génération de livres personnalisés | Exécution du contrat | Durée de l'abonnement |
| Personnalisation de l'avatar de l'enfant | Exécution du contrat | Durée de l'abonnement (supprimée à la suppression du profil enfant) |
| Facturation et paiement | Obligation légale | 10 ans (comptable) |
| Analyse d'audience (PostHog) | Intérêt légitime | 26 mois |
| Notifications push | Consentement (opt-in) | Jusqu'à révocation |
| E-mails transactionnels | Exécution du contrat | Durée du compte |
4. Architecture vie privée pour l'avatar de l'enfant
Nous avons conçu une architecture « privacy-first » pour la personnalisation des personnages, conforme à l'article 25 du RGPD (protection des données dès la conception) :
- Aucune photo téléchargée ni stockée : le système repose sur un outil de personnalisation d'avatar. Le parent choisit des caractéristiques visuelles (couleur de peau, coiffure, couleur des yeux, accessoires, tenue) pour créer le personnage de l'enfant.
- Données descriptives uniquement : seules les caractéristiques choisies sont enregistrées dans le profil de l'enfant (par exemple : « peau claire, cheveux bruns bouclés, yeux verts »). Aucune donnée biométrique ni image réelle n'est collectée.
- Génération d'illustrations IA : lors de la création d'un livre, la description de l'avatar est transmise au service de génération d'images (fal.ai) via HTTPS pour produire des illustrations artistiques cohérentes.
- Pas de données biométriques : aucune reconnaissance faciale, aucun template biométrique, aucune photo réelle n'est utilisée dans le processus.
- Suppression : les caractéristiques de l'avatar sont supprimées lors de la suppression du profil de l'enfant. L'utilisateur peut supprimer le profil à tout moment.
5. Sous-traitants et transferts de données
Nous faisons appel aux sous-traitants suivants, tous soumis à des garanties appropriées (clauses contractuelles types ou décision d'adéquation) :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Clerk | Authentification | États-Unis (SCCs) |
| Stripe | Paiements | États-Unis (SCCs) |
| Neon | Base de données | UE (Francfort) |
| Cloudflare R2 | Stockage fichiers (livres, audio) | UE |
| Vercel | Hébergement frontend | États-Unis (SCCs) |
| Railway | Hébergement backend | États-Unis (SCCs) |
| OpenRouter / Anthropic | Génération de texte IA (Claude) | États-Unis (SCCs) |
| fal.ai | Génération d'images IA (Flux PuLID + Kontext) | États-Unis (SCCs) |
| ElevenLabs | Génération audio / narration | États-Unis (SCCs) |
| PostHog | Analyse d'audience | UE (Francfort) |
SCCs = Standard Contractual Clauses (Clauses Contractuelles Types de la Commission Européenne)
6. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données (« droit à l'oubli »).
- Droit à la limitation (art. 18) : restreindre le traitement dans certains cas.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime, y compris l'analyse d'audience PostHog.
- Retrait du consentement (art. 7.3) : retirer votre consentement à tout moment pour les traitements qui en dépendent (notamment les notifications push).
Pour exercer vos droits, envoyez un e-mail à support@hikaya.tech en précisant votre identité. Nous répondrons dans un délai maximum de 30 jours.
Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française.
7. Cookies et traceurs
7.1. Cookies strictement nécessaires
Exemptés de consentement (art. 82 loi Informatique et Libertés) :
- __clerk_* : cookies d'authentification (session utilisateur) — durée de la session
- theme : préférence de thème clair/sombre (localStorage) — indéfini
- hikaya-settings : préférences utilisateur (mode nuit, taille texte, animations, contraste) — localStorage, indéfini
7.2. Cookies analytiques
- PostHog (
ph_*) : mesure d'audience anonymisée, hébergée en UE. Données collectées : pages vues, fonctionnalités utilisées (création de livre, mode de lecture, etc.), type d'appareil. Aucune donnée n'est partagée avec des tiers publicitaires. Durée : 26 mois.
Aucun cookie publicitaire, de retargeting ou de profilage commercial n'est utilisé sur le Site.
8. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement en transit (HTTPS / TLS 1.3)
- Chiffrement au repos des données sensibles
- Authentification JWT avec vérification JWKS
- Principe du moindre privilège pour l'accès aux bases de données
- Architecture « privacy-first » pour les avatars d'enfants (aucune photo, uniquement des caractéristiques descriptives)
- Enregistrements vocaux stockés exclusivement sur l'appareil de l'utilisateur (IndexedDB chiffré par le navigateur)
- Hébergement de la base de données en Union Européenne
- Analytics hébergés en Union Européenne (PostHog EU)
9. Protection des données des mineurs
Conformément à l'article 8 du RGPD et aux recommandations de la CNIL relatives aux mineurs :
- Le Service est utilisé exclusivement par des parents/tuteurs légaux pour le compte de leurs enfants
- Les données minimales de l'enfant (prénom, âge, genre) sont collectées uniquement pour personnaliser les histoires
- L'avatar de l'enfant est défini par des caractéristiques visuelles choisies par le parent (aucune photo n'est utilisée) et supprimé à la suppression du profil
- Les contenus générés (textes et illustrations) sont adaptés à l'âge de l'enfant et filtrés pour garantir leur caractère approprié
- Le parent peut demander la suppression complète de toutes les données relatives à son enfant à tout moment via support@hikaya.tech
10. Modifications de cette politique
Nous nous réservons le droit de modifier la présente politique de confidentialité. Toute modification substantielle sera notifiée par e-mail aux utilisateurs inscrits et affichée sur le Site au moins 30 jours avant son entrée en vigueur.