Politique de confidentialité.

Chez Soulsync, nous considérons que la confidentialité n'est ni une option, ni un argument commercial : c'est la condition même d'un service de rencontre digne de confiance. Nos engagements sont les suivants, sans exception ni réserve :

• Aucune revente de données. Vos informations ne sont ni vendues, ni louées, ni mises à disposition de tiers à des fins commerciales ou publicitaires.
• Aucune publicité ciblée. Soulsync ne diffuse aucune annonce. Notre modèle économique repose exclusivement sur les abonnements Soulsync+.
• Aucun entraînement de modèle sur vos conversations. Vos échanges ne servent jamais à entraîner des modèles d'intelligence artificielle, qu'ils soient internes ou externes.
• Transit chiffré (TLS 1.3) entre votre appareil et nos serveurs, et chiffrement au repos des données sensibles côté base.
• Hébergement intégralement européen, aucune donnée personnelle n'est traitée ou stockée en dehors de l'Union européenne.

Le responsable du traitement au sens de l'article 4-7 du RGPD est :

Boost Studio SAS, société par actions simplifiée au capital de 100 €, dont le siège social est sis à Marseille, immatriculée au Registre du Commerce et des Sociétés de Marseille sous le numéro 914 016 837, qui édite et exploite la marque Soulsync.

Conformément à l'article 37 du RGPD, Boost Studio SAS a désigné un Délégué à la Protection des Données (DPO), joignable à l'adresse dpo@get-soulsync.com, ou par courrier postal à l'adresse du siège social, à l'attention du Délégué à la Protection des Données.

Nous ne collectons que les données strictement nécessaires à l'exécution du Service, conformément au principe de minimisation posé par l'article 5-1-c du RGPD.

Données d'identification, prénom, adresse électronique, date de naissance (vérification du seuil de 18 ans), ville de résidence, photographies de profil que vous choisissez librement de publier.

Données relatives à votre profil émotionnel, réponses au questionnaire d'inscription (cinq questions conversationnelles), vecteurs de valeurs calculés à partir de vos réponses, étapes franchies dans le parcours en onze paliers.

Données de communication, messages échangés avec vos matchs, notes vocales, photographies envoyées en conversation. Ces contenus sont stockés de manière chiffrée et ne sont consultés par nos équipes que dans le cadre strict d'un signalement ou d'une réquisition judiciaire.

Données de journal personnel, vos réponses aux prompts quotidiens, aura du jour, fréquence d'utilisation. Ces données ne sont jamais partagées avec d'autres utilisateurs.

Données techniques, adresse IP (anonymisée sous 24 heures), modèle de l'appareil, système d'exploitation, version de l'application, données de diagnostic technique strictement nécessaires à la prévention des fraudes et à la stabilité du Service.

Données de paiement, dans le cas d'une souscription à Soulsync+, les informations bancaires sont collectées et traitées exclusivement par notre prestataire Stripe Payments Europe Ltd.Soulsync n'a jamais accès à vos coordonnées bancaires complètes.

Conformément à l'article 6 du RGPD, chacun de nos traitements repose sur une base légale identifiée :

• Exécution du contrat(article 6-1-b RGPD), fourniture du Service, calcul des affinités, mise en relation, gestion de l'abonnement.
• Consentement (article 6-1-a RGPD), notifications push, géolocalisation approximative, communications marketing. Retirable à tout moment depuis les réglages.
• Obligation légale (article 6-1-c RGPD), conservation des données de connexion pendant un an (article L. 34-1 du Code des postes et des communications électroniques), modération des contenus illicites.
• Intérêt légitime(article 6-1-f RGPD), prévention de la fraude, sécurité du Service, amélioration de l'ergonomie, à l'exclusion stricte de tout profilage publicitaire.

Les données sont conservées pendant la stricte durée nécessaire aux finalités précitées, augmentée des délais légaux de prescription :

• Données de compte actif, pendant toute la durée d'utilisation du Service.
• Compte inactif depuis 24 mois, suppression automatique après notification adressée à l'utilisateur trente jours avant.
• Suppression de compte à la demande, effacement définitif sous trente jours, à l'exception des données dont la conservation est imposée par la loi.
• Données de connexion (logs), un an à compter de la connexion, conformément à l'article L. 34-1 III du Code des postes et des communications électroniques.
• Documents comptables et fiscaux, dix ans à compter de la clôture de l'exercice (article L. 123-22 du Code de commerce).

Vos données ne sont accessibles qu'aux personnels habilités de Boost Studio SAS, dans la stricte mesure de leurs fonctions, et à un nombre limité de sous-traitants soigneusement sélectionnés, liés par un accord conforme à l'article 28 du RGPD :

• Supabase Pte. Ltd., hébergement de la base de données, datacenters situés dans l'Union européenne.
• Vercel Inc., distribution Edge en Europe.
• Stripe Payments Europe Ltd., traitement des paiements (Dublin, Irlande).
• OpenAI Ireland Ltd., couche d'intelligence conversationnelle de Cupidon, opérée en zone européenne, sans entraînement sur les contenus utilisateurs (accord API zero-retention).
• Sentry Inc., supervision technique anonymisée, zone européenne.
• Autorités administratives et judiciaires, sur réquisition légale exclusivement et dans le strict cadre légal.

Aucune donnée personnelle de nos utilisateurs n'est transférée hors de l'Union européenne. L'ensemble de nos infrastructures d'hébergement et nos chaînes de traitement sont localisées dans des datacenters situés sur le territoire de l'Union.

Dans l'hypothèse où un tel transfert deviendrait à l'avenir nécessaire, il serait encadré par les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021, complétées le cas échéant de mesures supplémentaires appropriées, et l'utilisateur en serait informé préalablement.

Conformément à l'article 32 du RGPD, Boost Studio SAS met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

• TLS 1.3pour l'ensemble des communications entre l'application et nos serveurs.
• Chiffrement au reposde la base de données et du stockage objet, sous gestion de clés de notre prestataire d'hébergement.
• Hébergement intégralement européen, infrastructure opérée par nos prestataires Supabase et Vercel.
• Authentification renforcéevia fournisseurs d'identité tiers (Apple, Google) ou lien magique chiffré.
• Notification de violation à la CNIL sous 72 heures et aux utilisateurs concernés sans délai indu (articles 33 et 34 RGPD).
• Revue continue de nos pratiques par notre Délégué à la Protection des Données.

Conformément aux articles 15 à 22 du RGPD, vous disposez sur vos données des droits suivants :

• Droit d'accès aux données vous concernant (article 15).
• Droit de rectification des données inexactes ou incomplètes (article 16).
• Droit à l'effacement (« droit à l'oubli») dans les cas prévus à l'article 17.
• Droit à la limitation du traitement (article 18).
• Droit à la portabilité dans un format structuré, couramment utilisé et lisible par machine (article 20).
• Droit d'opposition au traitement, notamment à des fins de prospection commerciale (article 21).
• Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur cette base (article 7-3).
• Droit de définir des directives post-mortem relatives au sort de vos données après votre décès (article 85 de la loi du 6 janvier 1978 modifiée).

Ces droits s'exercent à l'adresse dpo@get-soulsync.com, accompagnée d'un justificatif d'identité en cas de doute raisonnable sur la personne demandant l'exercice du droit. Nous répondons dans un délai maximum d'un mois, susceptible d'être prorogé de deux mois en cas de demande complexe (article 12-3 RGPD).

Le site soulsync.app utilise un nombre strictement limité de cookies fonctionnels indispensables au bon fonctionnement du Service (préférence de langue, état de session). Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers, aucun pixel social ne sont déposés.

Conformément à l'article 82 de la loi Informatique et Libertés, les cookies non strictement nécessaires ne sont déposés qu'après recueil de votre consentement préalable, libre, éclairé et spécifique. Vous pouvez à tout moment modifier vos préférences depuis le pied de page du site.

Le Service est strictement réservé aux personnes majeures (18 ans révolus). Un mécanisme de vérification d'âge est mis en œuvre à l'inscription. Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, aucun traitement n'est mis en œuvre sur les données d'une personne mineure.

Si vous estimez qu'un mineur s'est inscrit en contournant nos contrôles, merci de nous en informer sans délai à l'adresse protection@get-soulsync.com. Nous procéderons à la suppression immédiate du compte et de l'ensemble des données associées.

La présente politique est susceptible d'évoluer pour refléter les évolutions législatives ou techniques. Toute modification substantielle vous sera notifiée par voie de courriel et par message intra-application au moins trente jours avant son entrée en vigueur. L'ensemble des versions antérieures demeurent consultables sur simple demande à l'adresse legal@get-soulsync.com.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez de la faculté d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
www.cnil.fr

Vous pouvez également saisir l'autorité de contrôle de votre État membre de résidence, conformément à l'article 77 du RGPD.