SomniAI
Version 1.0 — Dernière mise à jour : [À COMPLÉTER — date de mise en ligne, ex: 25 avril 2026]
La présente politique décrit la manière dont SomniAI collecte, utilise, conserve et protège vos données personnelles, en particulier vos données relatives au sommeil. Elle s'applique à l'application mobile SomniAI et à tout service associé accessible via somniai.fr.
Nous prenons la confidentialité de vos données de santé au sérieux : l'ensemble de l'infrastructure qui héberge vos données est certifié HDS (Hébergeur de Données de Santé) conformément à la réglementation française.
Le responsable du traitement des données personnelles est :
[À COMPLÉTER — Dénomination sociale, ex: Oshilion SASU]
Société par actions simplifiée unipersonnelle (SASU)
SIRET : [À COMPLÉTER — numéro SIRET 14 chiffres]
Siège social : [À COMPLÉTER — adresse complète du siège social]
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits (voir section 9), vous pouvez nous contacter :
Nous nous engageons à répondre à toute demande dans un délai maximal d'un mois, pouvant être prolongé de deux mois en cas de complexité particulière (article 12.3 du RGPD).
SomniAI collecte uniquement les données nécessaires à son fonctionnement. Aucune donnée n'est collectée à votre insu.
Si vous liez une montre connectée compatible (Samsung Galaxy Watch via Samsung Health — service fourni par Samsung Electronics, soumis à sa propre politique de confidentialité) :
Cette synchronisation est strictement optionnelle : vous pouvez utiliser SomniAI sans connecter de montre. Vous pouvez désactiver la synchronisation à tout moment depuis les paramètres de l'application. D'autres intégrations (par exemple Health Connect de Google) pourront être proposées ultérieurement ; leur activation fera l'objet d'un amendement à la présente politique.
Lorsque vous utilisez les fonctionnalités d'IA (coaching hebdomadaire, chat, analyse d'évolution), un résumé statistique agrégé de vos données est transmis au service d'IA. Ce résumé contient :
Ce résumé ne contient ni votre identité ni aucune donnée directement identifiante. Il n'est pas conservé après la génération de la réponse : ni le résumé, ni la réponse de l'IA ne sont stockés sur nos serveurs.
SomniAI ne collecte aucune donnée de géolocalisation, ni via GPS, ni via adresse IP à des fins de tracking.
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat (art. 6.1.b) | Email, UUID |
| Enregistrement et synchronisation de votre agenda du sommeil | Exécution du contrat (art. 6.1.b) + consentement explicite pour les données de santé (art. 9.2.a) | Données de sommeil, questionnaires, journal |
| Coaching personnalisé par intelligence artificielle | Consentement explicite (art. 9.2.a) | Résumé statistique agrégé |
| Gestion de l'abonnement premium | Exécution du contrat (art. 6.1.b) | Statut d'abonnement, identifiants transactionnels |
| Sécurité, prévention des abus, lutte contre la fraude | Intérêt légitime (art. 6.1.f) | IP, logs techniques |
| Respect des obligations comptables et légales | Obligation légale (art. 6.1.c) | Données de facturation |
Vous pouvez retirer votre consentement à tout moment en supprimant votre compte (voir section 9). Ce retrait n'affecte pas la licéité des traitements effectués avant ce retrait.
SomniAI utilise un modèle de stockage à trois niveaux, conçu pour maximiser votre contrôle sur vos données.
Vos agendas du sommeil et contenus sensibles sont stockés principalement sur votre appareil. Une copie de sauvegarde est synchronisée dans le cloud (France, hébergement HDS), avec chiffrement des communications (HTTPS/TLS) et chiffrement au repos côté serveur (AES-256). Aucune donnée n'est partagée avec des tiers à des fins commerciales ou publicitaires.
L'essentiel de vos données (agenda du sommeil, questionnaires, journal, préférences) est stocké dans la mémoire sécurisée de votre appareil mobile via les mécanismes standards du système d'exploitation (Capacitor Preferences / Android KeyStore). Ces données ne quittent votre appareil que si vous activez la synchronisation cloud.
Pour vous permettre de retrouver vos données en cas de perte, vol ou changement d'appareil, SomniAI effectue une sauvegarde de vos données dans une base Microsoft Azure SQL, hébergée en France (région France Central), sur une infrastructure certifiée HDS. Les données sont chiffrées en transit (HTTPS/TLS 1.2+) et au repos sur les serveurs Microsoft (chiffrement AES-256 géré par Azure).
Vous pouvez :
Votre compte est géré par Supabase, avec un projet hébergé dans l'Union européenne ([À COMPLÉTER — région exacte, ex: eu-west-3 Paris]). Supabase stocke votre adresse email, votre identifiant interne (UUID), la méthode d'inscription (email ou Google), la date de création du compte, la date de dernière connexion, et les jetons de session vous permettant de rester connecté sans saisir à nouveau vos identifiants. Si vous vous êtes inscrit avec un mot de passe, celui-ci est stocké uniquement sous forme chiffrée non réversible (hachage bcrypt) ; nous n'avons jamais accès à votre mot de passe en clair.
SomniAI fait appel à plusieurs sous-traitants techniques pour le fonctionnement du service. Aucun d'eux n'est autorisé à utiliser vos données pour son propre compte.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Microsoft Ireland Operations Ltd (Azure) | Hébergement base de données + calcul IA (Azure OpenAI) | France (France Central) [confirmer région OpenAI si différente] | Certifié HDS, ISO 27001, ISO 27018, SOC 2. Contrat de sous-traitance conforme RGPD. |
| Supabase Inc. | Authentification et gestion des comptes | Union européenne ([région exacte]) | Conformité RGPD, chiffrement au repos et en transit. |
| Google Ireland Limited | Authentification via Google Sign-In (si vous l'utilisez) | Union européenne (Irlande) | Entité soumise directement au RGPD, pas de transfert hors UE pour ce traitement. |
| Google LLC | Distribution via Google Play et gestion des paiements in-app (Google Play Billing) | États-Unis | Clauses contractuelles types (CCT), certifié EU-U.S. Data Privacy Framework. |
| RevenueCat Inc. (activé dès disponibilité de l'abonnement premium) | Gestion technique des abonnements in-app | États-Unis | Clauses contractuelles types (CCT), conformité RGPD. |
SomniAI ne vend, ne loue, ni ne partage vos données avec des tiers à des fins commerciales ou publicitaires, en dehors des sous-traitants strictement nécessaires au fonctionnement du service.
La quasi-totalité de vos données personnelles est traitée et stockée en Union européenne, majoritairement en France.
Certains traitements font néanmoins intervenir des sociétés américaines : la distribution de l'application et la gestion des paiements in-app passent par Google LLC (États-Unis), et la gestion technique des abonnements par RevenueCat Inc. (États-Unis). Ces transferts sont encadrés par :
Ces mécanismes offrent un niveau de protection équivalent à celui du RGPD.
L'authentification via Google Sign-In, lorsqu'elle est utilisée, transite exclusivement par Google Ireland Limited (Irlande), soumise directement au RGPD : aucun transfert hors Union européenne n'a lieu dans ce cadre.
| Donnée | Durée de conservation |
|---|---|
| Données de compte et de sommeil | Durée d'utilisation du compte + 36 mois d'inactivité maximum (suppression automatique au-delà) |
| Données de sommeil en local (sur votre appareil) | Tant que l'application est installée ; supprimées si vous désinstallez l'app ou videz ses données |
| Historique de conversations IA (sur serveur) | Non conservé : les requêtes ne sont pas stockées après la réponse |
| Adresse IP (journaux de sécurité) | 30 jours |
| Données de facturation et comptables | 10 ans (obligation légale — article L.123-22 du Code de commerce) |
À l'issue de ces durées, vos données sont automatiquement supprimées de nos serveurs par un processus de purge programmé.
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
Pour exercer l'un de ces droits, écrivez-nous à l'adresse email indiquée en section 2, depuis l'adresse email associée à votre compte SomniAI. Nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable.
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données contre la perte, l'accès non autorisé, l'altération ou la divulgation :
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous informerons individuellement dans les meilleurs délais et notifierons la CNIL dans les 72 heures, conformément à l'article 33 du RGPD.
L'application mobile SomniAI n'utilise aucun cookie ni traceur publicitaire, d'analyse comportementale, ou de profilage. Le site somniai.fr n'utilise que les cookies techniques strictement nécessaires à son fonctionnement.
Aucun outil de mesure d'audience tiers (Google Analytics, Meta Pixel, etc.) n'est intégré à l'application ou au site.
SomniAI est destiné aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données de personnes mineures. Si vous avez connaissance qu'un mineur a créé un compte, merci de nous contacter pour que nous puissions supprimer le compte et les données associées.
Nous pouvons être amenés à modifier cette politique de confidentialité pour tenir compte d'évolutions légales, techniques ou fonctionnelles. La version en vigueur est celle publiée sur la présente page, dont la date de mise à jour figure en haut.
En cas de modification substantielle (nouvelle finalité, nouveau sous-traitant majeur), nous vous en informerons via l'application et, le cas échéant, vous solliciterons un nouveau consentement.
Si, après nous avoir contactés, vous estimez que vos droits n'ont pas été respectés, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), autorité française compétente en matière de protection des données personnelles, via le formulaire disponible sur www.cnil.fr.