Politique de confidentialité — Tarot de Marseille
Version : 1.0 Date d'entrée en vigueur : 18 mai 2026 Dernière mise à jour : 29 mai 2026
1. Identité du responsable de traitement
Le service Tarot de Marseille Conver est édité par :
GALAAD Micro-entreprise (BNC) Représentant : Alexandre Ferran SIRET : 101 978 872 00014 Adresse : Le Parédé, 1309 chemin de Sarraméa, 65200 Bagnères-de-Bigorre Contact : privacy@galaadmf.fr
Conformément au Règlement (UE) 2016/679 relatif à la protection des données personnelles (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), Alexandre Ferran agissant sous l'enseigne GALAAD est le responsable de traitement de vos données collectées via cette application.
2. Données collectées
2.1 Données d'authentification
Lors de l'inscription et de la connexion :
- Adresse email (collectée via Supabase Auth, lien de connexion sans mot de passe).
- Données de connexion Google si vous choisissez Google Sign-In sur le web (identifiant Google, email vérifié, nom et avatar si fournis par Google).
L'email est utilisé exclusivement pour l'authentification et l'envoi du lien de connexion. Il n'est jamais partagé à des fins commerciales ou publicitaires.
2.2 Données de tirages
Lorsque vous sauvegardez un tirage :
- Cartes tirées (identifiants, orientation endroit/envers).
- Interprétation générée (corpus local et/ou LLM).
- Éventuelles questions posées en suivi de lecture (follow-ups).
- Cartes complémentaires demandées.
- Nom du tirage (généré automatiquement ou saisi manuellement).
- Date et heure du tirage.
Ces données sont stockées localement sur votre appareil ou navigateur et, si vous êtes connecté, dans notre base de données (Supabase, Irlande).
2.3 Fiche personne (optionnelle)
Si vous complétez votre profil de lecture, les informations suivantes peuvent être renseignées :
- Prénom ou pseudonyme.
- Situation familiale (compagne, enfants — mentions libres).
- Profession.
- Note libre.
- Dossiers de lecture, mémoire associée, index des cartes récurrentes et thèmes suivis.
Ces données sont strictement facultatives. Elles servent uniquement à contextualiser les interprétations de l'IA lors de vos lectures.
2.4 Données d'achat
Les achats web sont traités par Stripe. Les achats mobiles Android sont traités par Google Play et synchronisés par RevenueCat. Si l'application iOS est ouverte ultérieurement, les achats iOS seront traités par Apple. Nous ne stockons jamais vos coordonnées bancaires complètes. Stripe, Google, Apple et RevenueCat collectent les données nécessaires au paiement, à la facturation, à la prévention de la fraude et à la gestion des abonnements selon leurs propres politiques.
2.5 Données publicitaires
Si vous utilisez la version gratuite (avec publicités), Google AdMob collecte des identifiants publicitaires conformément au Règlement européen sur la protection des données (RGPD) et au cadre de transparence et de consentement (TCF/UMP). Votre consentement est recueilli au premier lancement de l'application via le module de gestion du consentement (UMP SDK de Google).
2.6 Données techniques
À des fins de bon fonctionnement de l'application, nous pouvons collecter :
- Identifiant d'installation anonyme.
- Logs d'erreurs techniques (sans contenu de tirage ni données personnelles identifiantes).
3. Finalités et bases légales
| Traitement | Base légale | Finalité |
|---|---|---|
| Authentification par email | Exécution du contrat (art. 6.1.b RGPD) | Permettre la connexion et synchroniser vos données entre appareils |
| Sauvegarde des tirages | Exécution du contrat (art. 6.1.b RGPD) | Conserver l'historique de vos lectures |
| Fiche personne | Consentement (art. 6.1.a RGPD) | Contextualiser les interprétations de l'IA |
| Transmission au LLM (xAI) | Exécution du contrat (art. 6.1.b RGPD) | Générer une interprétation personnalisée de votre tirage |
| Publicités (AdMob) | Consentement (art. 6.1.a RGPD) | Afficher des publicités pertinentes aux utilisateurs non abonnés |
| Paiements et abonnements (Stripe, Google Play, RevenueCat, Apple le cas échéant) | Exécution du contrat (art. 6.1.b RGPD) et obligations légales comptables | Gérer les crédits, abonnements, factures, remboursements et litiges |
4. Sous-traitants et transferts de données
Nous faisons appel aux sous-traitants suivants :
4.1 Supabase (authentification et base de données)
- Société : Supabase Inc.
- Localisation du traitement : Union européenne (Irlande, région AWS eu-west-1).
- Données transmises : email, tirages sauvegardés, fiche personne.
- Garanties : Clauses Contractuelles Types (CCT) de la Commission européenne.
4.2 xAI (interprétation par intelligence artificielle)
- Société : xAI Corp.
- Modèle utilisé : Grok 4.
- Localisation du traitement : États-Unis et/ou Singapour selon les endpoints disponibles.
- Données transmises : contenu du tirage (cartes, positions), éléments contextuels issus de votre fiche personne si renseignée. Votre email n'est jamais transmis à xAI.
- Garanties : Clauses Contractuelles Types (CCT). Ce transfert vers un pays tiers est fondé sur l'art. 46 RGPD.
Point d'attention important : les interprétations sont générées par une IA. Elles ne constituent pas un conseil psychologique, médical, juridique ou financier.
4.3 RevenueCat (gestion des achats)
- Société : RevenueCat Inc.
- Localisation : États-Unis.
- Données transmises : identifiant d'installation, produits achetés, statut d'abonnement.
- Garanties : Clauses Contractuelles Types (CCT).
4.4 Stripe (paiements web)
- Société : Stripe Payments Europe, Ltd. / Stripe Technology Europe, Ltd.
- Rôle : paiement sécurisé, gestion des abonnements web, prévention de la fraude.
- Données transmises : email de compte, identifiant client, achat réalisé, données de paiement traitées directement par Stripe.
- Garanties : traitement contractuel Stripe et mesures de conformité applicables aux paiements.
4.5 Google AdMob (publicités)
- Société : Google LLC.
- Localisation : États-Unis (avec traitement partiel en UE).
- Données transmises : identifiants publicitaires, données de consentement UMP.
- Garanties : Clauses Contractuelles Types (CCT), programme Privacy Shield successeur (DPF).
4.6 Vercel (infrastructure Edge Functions)
- Société : Vercel Inc.
- Rôle : hébergement des fonctions API (proxy LLM, gestion des crédits, webhooks d'achat).
- Localisation : région CDG1 (Paris, France) pour les fonctions en production.
- Données transmises : requêtes API signées (sans stockage persistant côté Vercel).
5. Durée de conservation
| Données | Durée |
|---|---|
| Email et compte utilisateur | Jusqu'à suppression du compte par l'utilisateur ou 3 ans d'inactivité |
| Tirages sauvegardés | Jusqu'à suppression manuelle ou suppression du compte |
| Fiche personne | Jusqu'à suppression manuelle ou suppression du compte |
| Données d'achat et facturation | Durée légale de conservation comptable applicable |
| Logs techniques | 90 jours glissants |
| Données AdMob | Selon la politique de Google AdMob (généralement 13 mois) |
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles.
- Droit de rectification (art. 16) : corriger des données inexactes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données ("droit à l'oubli").
- Droit à la limitation (art. 18) : restreindre temporairement un traitement.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré.
- Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit de retrait du consentement : retirer à tout moment un consentement précédemment donné (cela ne remet pas en cause la licéité du traitement antérieur).
Pour exercer ces droits, adressez votre demande à : privacy@galaadmf.fr
Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande (art. 12 RGPD).
Vous avez également le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr, 3 Place de Fontenoy, 75007 Paris.
7. Sécurité
Nous mettons en oeuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :
- Connexions chiffrées (TLS 1.3) entre l'application et nos serveurs.
- Isolation des données par utilisateur via Row Level Security (RLS) dans Supabase.
- Clés API LLM stockées uniquement côté serveur (variables d'environnement Vercel), jamais embarquées dans l'application.
- Authentification sans mot de passe (magic link) pour réduire le risque de compromission.
8. Mineurs
Cette application est destinée à un public adulte (18 ans et plus). Nous ne collectons pas sciemment de données relatives à des personnes de moins de 18 ans.
9. Modifications de la politique
Nous pouvons modifier cette politique de confidentialité. En cas de modification substantielle, vous en serez informé via l'application ou par email. La date de dernière mise à jour figurant en tête de ce document fait foi.
10. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
GALAAD — Alexandre Ferran privacy@galaadmf.fr Le Parédé, 1309 chemin de Sarraméa, 65200 Bagnères-de-Bigorre
*URL de publication : galaadmf.fr/tarot/privacy* *Conforme RGPD (Règlement UE 2016/679) et loi Informatique et Libertés n° 78-17 du 6 janvier 1978.*