Politique de Confidentialité

Version 1.0 — Mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est Thibaut Ingelaere, entrepreneur individuel, éditeur de la plateforme Sobaik.

• Email : contact@sobaik.ai
• Délégué à la protection des données (DPO) : dpo@sobaik.ai

2. Données collectées

Dans le cadre de l'utilisation du Service, Sobaik collecte les données suivantes :

• Adresse email (inscription et authentification)
• Nom d'affichage (personnalisation du profil)
• Réponses aux exercices de créativité
• Profil créatif et scores de créativité (Fluence, Originalité, Flexibilité, Élaboration)
• Idées entrepreneuriales saisies dans le carnet d'idées
• Données de navigation (pages visitées, durée de session)
• Cookies techniques et analytiques

3. Finalités du traitement

• Fourniture et fonctionnement du Service (création de compte, accès aux exercices, suivi de progression)
• Personnalisation du coaching par intelligence artificielle (scoring, feedbacks, recommandations)
• Analyse et amélioration du Service (analytics, statistiques d'usage anonymisées)
• Communication par emails transactionnels (liens magiques, notifications de compte)
• Gestion des abonnements et paiements

4. Bases légales du traitement

• Exécution du contrat (article 6.1.b du RGPD) : fourniture du Service, gestion du compte, traitement des paiements
• Consentement (article 6.1.a du RGPD) : utilisation des cookies analytiques, traitement des données par les services d'IA tiers
• Intérêt légitime (article 6.1.f du RGPD) : amélioration du Service, sécurité de la plateforme, prévention des abus

5. Sous-traitants

Sobaik fait appel aux sous-traitants suivants pour le traitement des données :

• Supabase Inc. — Base de données et authentification, hébergement dans l'Union européenne (AWS eu-west-1)
• Vercel Inc. — Hébergement de l'application, États-Unis
• Anthropic PBC — Intelligence artificielle Claude pour le scoring et le coaching, États-Unis
• OpenAI Inc. — Intelligence artificielle GPT pour le scoring et le coaching, États-Unis
• Stripe Inc. — Traitement des paiements, États-Unis
• Resend Inc. — Envoi d'emails transactionnels, États-Unis
• PostHog Inc. — Analytics et suivi d'usage, hébergement dans l'Union européenne

6. Transferts de données hors de l'Union européenne

Certains sous-traitants (Vercel, Anthropic, OpenAI, Stripe, Resend) sont situés aux États-Unis. Ces transferts sont encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023). Sobaik s'assure que chaque sous-traitant offre des garanties appropriées conformément au chapitre V du RGPD.

7. Durée de conservation

• Données du compte : conservées pendant toute la durée d'activité du compte
• Après résiliation : suppression des données personnelles dans un délai de 30 jours
• Logs IA (interactions avec les modèles d'IA) : conservés 12 mois maximum
• Données analytics : conservées 26 mois conformément aux recommandations de la CNIL
• Données de facturation : conservées conformément aux obligations légales comptables (10 ans)

8. Cookies

Sobaik utilise les cookies suivants :

• Cookies de session Supabase : strictement nécessaires au fonctionnement de l'authentification. Ils ne nécessitent pas de consentement.
• Cookies analytics PostHog : utilisés pour comprendre l'usage du Service et l'améliorer. Soumis au consentement de l'Utilisateur.

Sobaik n'utilise aucun cookie publicitaire ni cookie de traçage tiers à des fins commerciales.

9. Droits de l'Utilisateur (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), l'Utilisateur dispose des droits suivants :

• Droit d'accès : obtenir la confirmation que des données sont traitées et en recevoir une copie
• Droit de rectification : corriger des données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression des données personnelles
• Droit à la portabilité : recevoir ses données dans un format structuré et lisible par machine
• Droit d'opposition : s'opposer au traitement des données pour des motifs légitimes
• Droit à la limitation : demander la limitation du traitement dans certains cas

Ces droits peuvent être exercés en contactant le DPO à l'adresse dpo@sobaik.ai. Sobaik s'engage à répondre dans un délai de 30 jours.

10. Réclamation auprès de la CNIL

Si l'Utilisateur estime que le traitement de ses données ne respecte pas la réglementation en vigueur, il peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

11. Sécurité des données

Sobaik met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles :

• Chiffrement des communications via TLS (HTTPS)
• Row Level Security (RLS) sur Supabase pour isoler les données de chaque utilisateur
• Authentification sécurisée par tokens JWT
• Accès restreint aux bases de données de production
• Mise à jour régulière des dépendances et correctifs de sécurité

12. Protection des mineurs

Le Service est destiné aux personnes âgées d'au moins 16 ans. Sobaik ne collecte pas sciemment de données personnelles de mineurs de moins de 16 ans. Si un parent ou tuteur légal constate qu'un mineur s'est inscrit sans autorisation, il peut contacter dpo@sobaik.ai pour demander la suppression du compte et des données associées.

13. Modification de la politique

Sobaik se réserve le droit de modifier la présente Politique de Confidentialité. En cas de modification substantielle, l'Utilisateur sera notifié par email au moins 30 jours avant l'entrée en vigueur des changements. La version en vigueur est toujours accessible depuis le site.

14. Date d'effet

La présente Politique de Confidentialité entre en vigueur le 1er mars 2026. Version 1.0.

15. Contact

• Questions générales : contact@sobaik.ai
• Données personnelles et droits RGPD : dpo@sobaik.ai