Politique de confidentialité

Cette politique décrit comment Fabulio collecte, utilise et protège vos données personnelles. Elle s’applique à l’ensemble du service accessible via l’application web et progressive (PWA).

1. Responsable du traitement

Le responsable du traitement est Anthony ZINK, dont le siège social est situé : Metz.

Pour toute question concernant cette politique ou l’exercice de vos droits, contactez : privacy@fabulio.app.

2. Données que nous collectons

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service :

Données de compte

• Votre adresse email (authentification via lien magique, sans mot de passe).
• La langue préférée (FR, EN, ES, DE).
• La date de création du compte et la date de dernière connexion.

Profils d’enfants

• Le prénom de l’enfant.
• Son année de naissance (et non sa date de naissance complète).
• Une liste de passions choisies parmi des catégories prédéfinies (dinosaures, princesses, etc.).
• Un emoji d’avatar optionnel.

Histoires

• Le contenu textuel et l’illustration des histoires générées.
• L’idée fournie par le parent (« prompt »), si renseignée.
• L’horodatage de création et de dernière lecture.

Paiement

• Les informations de paiement sont collectées et traitées directement par Stripe. Nous ne stockons jamais les numéros de carte bancaire.
• Nous conservons un identifiant Stripe permettant de retrouver vos factures et votre abonnement.

Données techniques

• Adresse IP et type d’appareil (limités à la sécurité et à la détection d’abus).

3. Finalités et bases légales

• Fournir le service (génération d’histoires, sauvegarde, lecture hors-ligne) — base légale : exécution du contrat (art. 6.1.b RGPD).
• Gérer votre abonnement et la facturation — base légale : exécution du contrat et obligation légale (conservation des factures).
• Sécurité, prévention de la fraude et modération des contenus générés — base légale : intérêt légitime à protéger les utilisateurs et le service.
• Communication transactionnelle (lien magique, confirmation d’abonnement, factures) — base légale : exécution du contrat.

4. Données concernant les enfants

Fabulio est conçu pour être utilisé par les parents, pas par les enfants eux-mêmes. Les comptes sont ouverts au nom du parent (utilisateur majeur).

Nous appliquons le principe de minimisation (art. 5.1.c RGPD) :

• Aucune donnée de l’enfant ne sort de votre compte sans votre action.
• Nous demandons uniquement le prénom, l’année de naissance et des passions catégorisées — jamais la date de naissance complète, le nom de famille, l’adresse ou des données médicales.
• Les passions sont des étiquettes prédéfinies (espace, princesses, dragons…), sans saisie libre.
• Les histoires générées intègrent le prénom et les passions mais ne sont jamais partagées avec des tiers à des fins publicitaires.

5. Sous-traitants et destinataires

Fabulio fait appel aux sous-traitants suivants, sélectionnés pour leurs garanties techniques et leur conformité RGPD :

• Supabase (base de données et stockage des images de couverture) — hébergement en Union européenne (région Paris, eu-west-3).
• OVH (hébergement de l’application) — serveur situé en France.
• OpenAI (génération du texte et de l’image) — l’idée du soir et les profils d’enfants sont transmis à OpenAI pour produire l’histoire. OpenAI s’engage à ne pas utiliser nos données pour entraîner ses modèles (politique API).
• Stripe (paiement et facturation) — traite directement les données bancaires.

Aucune donnée n’est revendue ni transmise à des tiers à des fins commerciales ou publicitaires.

6. Durée de conservation

• Compte et profils d’enfants : tant que votre compte est actif. Suppression sous 30 jours après votre demande de suppression.
• Histoires : conservées tant que vous ne les supprimez pas, ou jusqu’à la suppression de votre compte.
• Logs des prompts envoyés à OpenAI : 90 jours maximum (purge automatique).
• Données de facturation : 10 ans après la fin du contrat (obligation comptable).
• Logs techniques et de sécurité : 12 mois maximum.

7. Transferts hors Union européenne

Certains sous-traitants (OpenAI, Stripe) sont basés aux États-Unis. Les transferts sont encadrés par les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne, ainsi que par le Data Privacy Framework lorsque le sous-traitant y est certifié.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès : obtenir une copie de vos données.
• Rectification : corriger des données inexactes.
• Effacement (« droit à l’oubli ») : supprimer votre compte et vos données.
• Limitation du traitement.
• Portabilité : récupérer vos histoires dans un format structuré.
• Opposition au traitement fondé sur l’intérêt légitime.

Pour exercer ces droits, écrivez à privacy@fabulio.app. Réponse sous 5 jours ouvrés, et au maximum sous 30 jours.

Vous disposez également d’un droit de réclamation auprès de la CNIL : www.cnil.fr.

9. Cookies et traceurs

Fabulio utilise un nombre limité de cookies, classés ainsi :

• Cookies strictement nécessaires (authentification, session) : déposés sans consentement.

Aucun cookie de mesure d’audience ou de traçage publicitaire n’est déposé.

10. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour refléter des changements légaux ou fonctionnels. La date de dernière mise à jour est affichée en haut de la page. En cas de changement substantiel, nous vous en informerons par email.