Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur le site hikaya.tech est :

• Hikaya SAS — [Adresse à compléter], France
• Contact DPO : support@hikaya.tech

2. Données personnelles collectées

Nous collectons les catégories de données suivantes :

2.1. Données du compte parent

• Adresse e-mail (via Clerk, notre prestataire d'authentification)
• Nom et prénom (optionnels)
• Données de paiement (traitées exclusivement par Stripe — nous ne stockons aucun numéro de carte)

2.2. Données de l'enfant

• Prénom
• Âge
• Genre (fille/garçon — pour adapter les illustrations)
• Préférences de thème (pirate, espace, fée, etc.)

2.3. Photo de l'enfant

• Lors de la création du premier livre, la photo est nettoyée (fond blanc, 512x512 JPEG) puis stockée de manière chiffrée sur Cloudflare R2 (hébergement UE) pour permettre la génération automatique des livres hebdomadaires sans renvoyer la photo à chaque fois
• La photo est transmise au service de génération d'images (fal.ai) via une connexion chiffrée HTTPS pour produire les illustrations du livre
• La photo stockée est automatiquement supprimée à la suppression du profil de l'enfant
• Seules les illustrations artistiques finales (qui ne sont pas des photographies) sont conservées dans la bibliothèque

2.4. Données stockées uniquement sur votre appareil

Les données suivantes ne quittent jamais votre appareil et ne sont pas accessibles par Hikaya :

• Miniature de l'enfant : un aperçu local (IndexedDB) est utilisé pour l'affichage dans la bibliothèque uniquement
• Enregistrements vocaux parentaux : les narrations enregistrées via la fonctionnalité « Ma voix » sont stockées en IndexedDB par livre et par page
• Livres hors-ligne : les images et fichiers audio téléchargés pour lecture sans connexion sont stockés dans le cache du Service Worker
• Paramètres : mode nuit, taille du texte, réduction des animations, contraste élevé, nombre de visites (localStorage)

2.5. Données techniques et analytiques

• Adresse IP (logs serveur)
• Type de navigateur et système d'exploitation
• Pages consultées et horodatages
• Données d'usage anonymisées via PostHog (hébergé UE) : création de livres, modes de lecture utilisés, fonctionnalités activées. Aucun identifiant personnel n'est croisé avec des tiers.

2.6. Notifications push

Si vous activez les notifications push, un identifiant technique (Push Subscription) est généré par votre navigateur et transmis à nos serveurs pour vous envoyer des notifications (livre prêt, etc.). Cet identifiant ne contient aucune donnée personnelle et peut être révoqué à tout moment dans les paramètres de votre navigateur.

3. Finalités et bases légales

4. Architecture vie privée pour la photo de l'enfant

Nous avons conçu une architecture « privacy-first » pour le traitement des photos d'enfants, conforme à l'article 25 du RGPD (protection des données dès la conception) :

• Stockage sécurisé et chiffré : après le premier livre, la photo nettoyée (fond blanc, 512x512 JPEG) est stockée sur Cloudflare R2 (hébergement UE, chiffrement au repos) pour permettre la génération automatique des livres hebdomadaires. Seule cette version nettoyée est conservée — la photo originale n'est jamais stockée.
• Consentement parental explicite : une case à cocher dédiée recueille le consentement avant toute utilisation et stockage de la photo.
• Transmission chiffrée : lors de la génération d'un livre, la photo est transmise vers l'API de génération d'images (fal.ai) via HTTPS pour produire les illustrations.
• Pas de données biométriques : aucun modèle de reconnaissance faciale ni template biométrique n'est créé ou stocké. La photo est uniquement utilisée comme référence visuelle pour l'illustration artistique.
• Suppression automatique : la photo stockée est automatiquement supprimée lors de la suppression du profil de l'enfant. L'utilisateur peut également supprimer le profil à tout moment.

5. Sous-traitants et transferts de données

Nous faisons appel aux sous-traitants suivants, tous soumis à des garanties appropriées (clauses contractuelles types ou décision d'adéquation) :

SCCs = Standard Contractual Clauses (Clauses Contractuelles Types de la Commission Européenne)

6. Vos droits

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
• Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) : demander la suppression de vos données (« droit à l'oubli »).
• Droit à la limitation (art. 18) : restreindre le traitement dans certains cas.
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime, y compris l'analyse d'audience PostHog.
• Retrait du consentement (art. 7.3) : retirer votre consentement à tout moment pour les traitements qui en dépendent (notamment la photo de l'enfant et les notifications push).

Pour exercer vos droits, envoyez un e-mail à support@hikaya.tech en précisant votre identité. Nous répondrons dans un délai maximum de 30 jours.

Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française.

7. Cookies et traceurs

7.1. Cookies strictement nécessaires

Exemptés de consentement (art. 82 loi Informatique et Libertés) :

• __clerk_* : cookies d'authentification (session utilisateur) — durée de la session
• theme : préférence de thème clair/sombre (localStorage) — indéfini
• hikaya-settings : préférences utilisateur (mode nuit, taille texte, animations, contraste) — localStorage, indéfini

7.2. Cookies analytiques

• PostHog (ph_*) : mesure d'audience anonymisée, hébergée en UE. Données collectées : pages vues, fonctionnalités utilisées (création de livre, mode de lecture, etc.), type d'appareil. Aucune donnée n'est partagée avec des tiers publicitaires. Durée : 26 mois.

Aucun cookie publicitaire, de retargeting ou de profilage commercial n'est utilisé sur le Site.

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement en transit (HTTPS / TLS 1.3)
• Chiffrement au repos des données sensibles
• Authentification JWT avec vérification JWKS
• Principe du moindre privilège pour l'accès aux bases de données
• Architecture « privacy-first » pour les photos d'enfants (stockage chiffré Cloudflare R2, suppression automatique avec le profil)
• Enregistrements vocaux stockés exclusivement sur l'appareil de l'utilisateur (IndexedDB chiffré par le navigateur)
• Hébergement de la base de données en Union Européenne
• Analytics hébergés en Union Européenne (PostHog EU)

9. Protection des données des mineurs

Conformément à l'article 8 du RGPD et aux recommandations de la CNIL relatives aux mineurs :

• Le Service est utilisé exclusivement par des parents/tuteurs légaux pour le compte de leurs enfants
• Les données minimales de l'enfant (prénom, âge, genre) sont collectées uniquement pour personnaliser les histoires
• La photo de l'enfant est stockée de manière chiffrée et supprimée automatiquement à la suppression du profil
• Les contenus générés (textes et illustrations) sont adaptés à l'âge de l'enfant et filtrés pour garantir leur caractère approprié
• Le parent peut demander la suppression complète de toutes les données relatives à son enfant à tout moment via support@hikaya.tech

10. Modifications de cette politique

Nous nous réservons le droit de modifier la présente politique de confidentialité. Toute modification substantielle sera notifiée par e-mail aux utilisateurs inscrits et affichée sur le Site au moins 30 jours avant son entrée en vigueur.