Politique de Confidentialité
Nous avons conçu xwish.ai en plaçant la confidentialité au cœur de nos priorités : les destinataires n'ont jamais besoin de créer un compte, la création de cartes anonyme est prise en charge et nous ne collectons que ce qui est nécessaire au fonctionnement du service. Cette politique explique ce que nous collectons, pourquoi et vos droits.
1. Responsable du Traitement des Données
xwish.ai exploite la plateforme de cartes de vœux disponible à l'adresse https://xwish.ai. Aux fins de la législation applicable en matière de protection des données, xwish.ai est le responsable du traitement de vos informations personnelles.
Pour toute demande relative à la confidentialité, question ou réclamation, veuillez utiliser les coordonnées ci-dessus. Nous nous efforçons de répondre dans un délai de 30 jours.
2. Informations que Nous Collectons
2.1 Informations que Vous Fournissez Directement
| Données | Quand collectées | Obligatoire ? |
|---|---|---|
| Nom / nom d'affichage | Création de compte (via Google OAuth) | Oui, pour les comptes |
| Adresse e-mail | Création de compte ; envoi de cartes par e-mail | Oui, pour les comptes |
| URL de photo de profil | Création de compte (via Google OAuth) | Non (peut être vide) |
| Nom de l'expéditeur | Création de carte (anonyme ou connecté) | Oui, pour toutes les cartes |
| Nom du destinataire | Création de carte | Oui, pour toutes les cartes |
| Contenu du message | Création de carte (généré par IA à partir de vos données) | Oui |
| E-mail du destinataire | Fonction d'envoi par e-mail (optionnelle) | Non |
| Détail personnel / contexte | Entrée optionnelle pour personnaliser la carte avec l'IA | Non |
2.2 Informations Collectées Automatiquement
- Jeton anonyme — un UUID aléatoire stocké dans un cookie du navigateur
(
anon_token) pour les utilisateurs créant des cartes sans compte. Utilisé uniquement pour vous permettre d'accéder aux cartes créées sans connexion. Expire après 1 an. - Préférence de langue — un cookie (
xwish_lang_pref) enregistrant votre langue choisie. Expire après 1 an. - Jeton de session — un cookie HttpOnly, SameSite=Lax stocké après connexion. Expire après 7 jours.
- Données d'utilisation — comprenant les cartes créées, les crédits gagnés et consommés, les enregistrements de connexion quotidiens et les interactions avec les fonctionnalités. Stockés dans notre base de données.
- Adresse IP et métadonnées de requête — traitées par Cloudflare dans le cadre du fonctionnement de l'infrastructure. Non stockées dans notre base de données d'application.
2.3 Informations de Paiement
Si vous achetez des crédits, les données de votre carte de paiement sont saisies directement dans l'interface sécurisée de Stripe et ne sont jamais transmises ni stockées sur nos serveurs. Nous recevons uniquement la confirmation du paiement, le forfait acheté et la référence de transaction Stripe.
2.4 Informations sur les Destinataires des Cartes
Si vous fournissez l'adresse e-mail d'un destinataire pour livrer une carte, nous stockons cette adresse afin d'envoyer l'e-mail de livraison via Resend. Les destinataires ne sont pas tenus de créer un compte et nous ne les contactons pas de manière proactive à d'autres fins que la livraison de la carte que vous leur avez adressée.
3. Comment Nous Utilisons Vos Informations
| Finalité | Informations utilisées |
|---|---|
| Fourniture et exploitation du Service | Données du compte, contenu de la carte, jeton de session, jeton anonyme |
| Génération de contenu de carte par IA | Occasion, noms de l'expéditeur/destinataire, ton, détail personnel (transmis au modèle IA ; non conservés après génération) |
| Livraison de cartes par e-mail | E-mail du destinataire, nom de l'expéditeur, lien de la carte |
| Traitement des paiements et gestion des crédits | E-mail, confirmation de paiement, journaux de crédits |
| Envoi de notifications transactionnelles | E-mail (alertes d'expiration de crédits, confirmations de commande) |
| Prévention de la fraude et sécurité | Modèles d'utilisation, données de session, IP (via Cloudflare) |
| Analyse et amélioration du Service | Données d'utilisation agrégées et anonymisées ; Google Analytics (si activé) |
| Conformité légale | Enregistrements de paiement, données du compte (selon les exigences légales) |
Nous ne vendons pas vos informations personnelles à des tiers. Nous n'utilisons pas vos informations personnelles à des fins de publicité ciblée ni pour créer des profils publicitaires.
Si Google Analytics est activé sur notre site, Google peut collecter des données d'utilisation comme décrit dans la Politique de confidentialité de Google. Vous pouvez vous désinscrire via Google Analytics Opt-out.
4. Base Juridique du Traitement (RGPD)
Pour les utilisateurs de l'Espace économique européen (EEE) et du Royaume-Uni, nous traitons vos données personnelles sur les bases légales suivantes :
| Activité de traitement | Base légale |
|---|---|
| Création et gestion de comptes | Contrat (Art. 6(1)(b) RGPD) |
| Fourniture de services de création et livraison de cartes | Contrat (Art. 6(1)(b) RGPD) |
| Traitement des paiements | Contrat (Art. 6(1)(b) RGPD) |
| E-mails transactionnels (confirmations de commande, expiration de crédits) | Contrat / Intérêts légitimes (Art. 6(1)(f) RGPD) |
| Sécurité, prévention de la fraude et détection des abus | Intérêts légitimes (Art. 6(1)(f) RGPD) |
| Analyse et amélioration du Service | Intérêts légitimes (Art. 6(1)(f) RGPD) |
| Conformité légale (registres fiscaux, obligations financières) | Obligation légale (Art. 6(1)(c) RGPD) |
| Consentement aux cookies (non essentiels) | Consentement (Art. 6(1)(a) RGPD) |
Lorsque nous nous appuyons sur des intérêts légitimes, nous les avons mis en balance avec vos droits et intérêts. Vous pouvez vous opposer au traitement fondé sur des intérêts légitimes à tout moment (voir Section 9).
6. Transferts Internationaux de Données
Notre infrastructure est fournie par Cloudflare, qui exploite un réseau mondial comprenant des centres de données au sein de l'Espace économique européen. Cependant, certains de nos prestataires (Google, Stripe, Resend) sont basés aux États-Unis ou opèrent à l'échelle mondiale.
Pour les transferts de données personnelles EEE/Royaume-Uni vers des pays ne disposant pas d'une décision d'adéquation de la Commission européenne, nous nous appuyons sur les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ou sur des mécanismes de transfert équivalents au titre du RGPD britannique.
En utilisant le Service depuis l'extérieur des États-Unis, vous reconnaissez que vos informations peuvent être transférées, stockées et traitées aux États-Unis et dans d'autres pays où nos prestataires disposent d'installations.
8. Conservation des Données
| Données | Durée de conservation | Raison |
|---|---|---|
| Données du profil de compte | Jusqu'à la suppression du compte + 30 jours | Fonctionnement du service |
| Cartes (contenu, métadonnées) | Jusqu'à suppression par le créateur, ou 2 ans après la dernière consultation | Fonctionnement du service |
| Journaux de crédits et points | 3 ans à compter de la transaction | Conformité d'audit financier |
| Enregistrements de commandes de paiement | 7 ans à compter de la transaction | Obligation fiscale et légale |
| E-mails livrés (adresse du destinataire) | 90 jours après livraison | Confirmation de livraison |
| Jetons anonymes (cookies) | 1 an à compter de la dernière utilisation | Fonctionnel (accès aux cartes) |
À l'expiration de la durée de conservation, nous supprimons ou anonymisons les données. Vous pouvez demander la suppression anticipée de votre compte et des données associées (voir Section 9).
9. Vos Droits en Matière de Confidentialité
Selon votre localisation, vous disposez des droits suivants concernant vos informations personnelles. Pour exercer l'un de ces droits, contactez-nous à support@xwish.ai. Nous répondrons dans un délai de 30 jours (ou le délai légal applicable).
Tous les Utilisateurs
- Accès — demandez une copie des informations personnelles que nous détenons sur vous.
- Rectification — demandez la correction d'informations inexactes ou incomplètes.
- Suppression — demandez la suppression de vos informations personnelles, sous réserve des obligations légales de conservation.
- Réclamation — déposez une plainte auprès de votre autorité locale de protection des données.
Utilisateurs de l'EEE / Royaume-Uni (RGPD / UK GDPR)
- Droit à la limitation — demandez que nous limitions le traitement de vos données dans certaines circonstances.
- Droit à la portabilité — recevez vos données personnelles dans un format structuré et lisible par machine.
- Droit d'opposition — opposez-vous au traitement fondé sur des intérêts légitimes ou à des fins de marketing direct.
- Droit de retirer le consentement — lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter le traitement antérieur.
- Vous avez le droit de déposer une plainte auprès de votre autorité de contrôle nationale. Dans l'UE, trouvez votre autorité sur edpb.europa.eu. Au Royaume-Uni, contactez l'ICO.
Résidents de Californie (CCPA / CPRA)
- Droit de savoir — demandez la divulgation des catégories et pièces spécifiques d'informations personnelles que nous collectons, utilisons et partageons.
- Droit de suppression — demandez la suppression des informations personnelles que nous avons collectées (sous réserve de certaines exceptions).
- Droit de correction — demandez la correction d'informations personnelles inexactes.
- Droit d'opposition à la vente / au partage — xwish.ai ne vend pas vos informations personnelles ni ne les partage pour de la publicité comportementale cross-contexte. Aucune désinscription n'est nécessaire.
- Droit à la non-discrimination — nous ne vous discriminerons pas pour avoir exercé des droits au titre de la CCPA.
Les résidents de Californie peuvent soumettre des demandes par e-mail à support@xwish.ai avec « California Privacy Request » en objet.
Résidents Canadiens (LPRPDE)
Aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada, vous avez le droit d'accéder à vos renseignements personnels et de contester leur exactitude. Pour effectuer une demande, contactez-nous à support@xwish.ai.
Résidents Australiens
En vertu de la loi sur la protection de la vie privée de 1988 (Cth) et des Principes australiens sur la vie privée, vous avez le droit d'accéder à vos informations personnelles et de les corriger. Vous pouvez également déposer une plainte auprès du Bureau du Commissaire à l'information d'Australie (OAIC) si vous estimez que vos droits en matière de confidentialité ont été violés.
Résidents Brésiliens (LGPD)
En vertu de la Lei Geral de Proteção de Dados du Brésil (LGPD), vous disposez de droits incluant l'accès, la rectification, l'anonymisation, la portabilité, la suppression et des informations sur le partage. Vous pouvez également déposer des plaintes auprès de l'Autoridade Nacional de Proteção de Dados (ANPD).
Moyen-Orient et Autres Régions
Nous respectons les lois applicables en matière de protection des données dans toutes les juridictions où nous opérons, notamment la loi des Émirats arabes unis sur la protection des données personnelles (Décret-loi fédéral n° 45 de 2021) et la loi saoudienne sur la protection des données personnelles (PDPL). Les résidents de ces régions peuvent exercer leurs droits d'accès et de rectification en nous contactant à support@xwish.ai.
10. Confidentialité des Enfants
Le Service ne s'adresse pas aux enfants de moins de 13 ans. Nous ne collectons pas sciemment d'informations personnelles d'enfants de moins de 13 ans. Si vous êtes situé dans l'Espace économique européen, les utilisateurs de moins de 16 ans doivent avoir le consentement parental vérifiable avant de créer un compte ou de soumettre des informations personnelles.
Si vous pensez qu'un enfant n'ayant pas atteint l'âge minimum applicable nous a fourni des informations personnelles sans consentement approprié, contactez-nous immédiatement à support@xwish.ai. Nous prendrons des mesures immédiates pour supprimer ces informations.
11. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos informations personnelles contre tout accès non autorisé, altération, divulgation ou destruction. Celles-ci comprennent :
- Chiffrement HTTPS pour toutes les données en transit ;
- Cookies de session HttpOnly, SameSite ;
- Infrastructure Cloudflare avec protection DDoS intégrée et WAF ;
- Contrôles d'accès limitant l'accès à la base de données à la couche applicative ;
- Données de paiement traitées exclusivement via l'environnement PCI-DSS de Stripe.
Aucune méthode de transmission sur internet ou de stockage électronique n'est sécurisée à 100 %. Bien que nous nous efforcions d'utiliser des moyens commercialement acceptables pour protéger vos informations personnelles, nous ne pouvons pas garantir leur sécurité absolue.
Si vous découvrez ou suspectez une vulnérabilité de sécurité, contactez-nous immédiatement à support@xwish.ai.
12. Modifications de cette Politique
Nous pouvons mettre à jour cette Politique de confidentialité périodiquement. Lors de modifications substantielles, nous mettrons à jour la date de « Dernière mise à jour » en haut de cette page et, dans la mesure du possible, notifierons les utilisateurs inscrits par e-mail ou avis in-app au moins 14 jours avant l'entrée en vigueur des modifications.
Votre utilisation continue du Service après la date d'entrée en vigueur d'une Politique révisée constitue votre acceptation des modifications. Nous vous encourageons à consulter cette Politique régulièrement.
Les versions précédentes de cette Politique sont disponibles sur demande.
13. Nous Contacter
Pour toute question, demande ou préoccupation concernant cette Politique de confidentialité ou nos pratiques en matière de données, contactez-nous :
Nous nous efforçons de répondre à toutes les demandes de confidentialité dans un délai de 30 jours. Pour les demandes complexes, ou lorsque la loi applicable l'exige, nous pouvons prolonger ce délai de 30 jours supplémentaires, avec préavis.
Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une plainte auprès de votre autorité de contrôle locale en matière de protection des données.