Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement des données collectées via MyGeno est :

• BetterAtHome SRL
• Numéro d'entreprise (BCE) : BE 1008.334.596
• Siège social : Boulevard Bischoffsheim 39 b04, 1000 Bruxelles, Belgique
• Contact : support@mygeno.app

Voir également les mentions légales.

2. Données collectées

Nous collectons les catégories de données suivantes :

• Données de compte : adresse email, nom, prénom (lors de l'inscription)
• Données de génogramme : informations sur les membres familiaux (noms, dates, liens de parenté, événements de vie)
• Données de santé : informations médicales et psychologiques saisies dans les profils (voir notre politique relative aux données de santé)
• Données techniques : adresse IP (anonymisée), navigateur, pages visitées
• Données de paiement : traitées exclusivement par Stripe (nous ne stockons aucune donnée bancaire)

3. Base légale du traitement

• Exécution du contrat : traitement nécessaire à la fourniture du service (création de compte, génogrammes, analyses)
• Consentement explicite : pour les données de santé et les cookies non essentiels
• Intérêt légitime : pour l'amélioration du service et la sécurité

4. Durée de conservation

• Données de compte : conservées pendant toute la durée d'utilisation du service, puis supprimées dans les 30 jours suivant la suppression du compte
• Données de génogramme : conservées tant que le compte est actif
• Journaux d'audit : conservés 12 mois
• Données de paiement : conservées par Stripe selon leur propre politique

5. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger vos données inexactes
• Droit à l'effacement : demander la suppression de vos données
• Droit à la portabilité : recevoir vos données dans un format structuré (JSON)
• Droit d'opposition : vous opposer au traitement de vos données
• Droit à la limitation : limiter le traitement de vos données
• Droit de retrait du consentement : retirer votre consentement à tout moment

Vous pouvez exercer ces droits directement depuis la page Paramètres de votre compte (export de données, suppression de compte) ou en nous contactant à support@mygeno.app.

6. Cookies

MyGeno utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, session). Aucun cookie de tracking ou publicitaire n'est utilisé.

7. Sous-traitants

• Supabase (UE) : hébergement des données et authentification (région eu-north-1, Stockholm)
• Stripe (UE/US) : traitement des paiements
• Anthropic (États-Unis) : fournisseur du modèle d'intelligence artificielle (Claude) utilisé pour l'assistant conversationnel. Les contenus que vous lui soumettez, qui peuvent inclure des données de santé, lui sont transmis pour générer une réponse.
• Voyage AI (États-Unis) : calcul des représentations vectorielles (embeddings) et reclassement des extraits documentaires servant à la recherche de connaissances de l'assistant.
• Resend (UE/US) : envoi des emails transactionnels
• Upstash (UE, Irlande) : limitation de débit (rate limiting)
• Vercel (US, données servies depuis l'UE) : hébergement de l'application web

8. Transferts internationaux

Certains sous-traitants, en particulier nos fournisseurs d'intelligence artificielle Anthropic et Voyage AI, sont établis aux États-Unis et peuvent y traiter des données. Ces transferts hors de l'Union européenne sont encadrés par les mécanismes prévus par le RGPD (chapitre V) : clauses contractuelles types de la Commission européenne et, le cas échéant, certification au titre du Data Privacy Framework UE-États-Unis. Nous veillons à mettre en place les garanties appropriées avec chacun de ces sous-traitants. Vous pouvez nous contacter pour obtenir des précisions sur ces garanties.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (TLS 1.3), chiffrement au repos (AES-256 côté Supabase), contrôle d'accès au niveau ligne (Row Level Security Postgres), authentification sécurisée (JWT court + refresh token), rate limiting des endpoints sensibles, journalisation des connexions, hachage Bcrypt des mots de passe. Les jetons Stripe sont traités exclusivement côté Stripe (aucune donnée bancaire ne transite par nos serveurs).

10. Journaux techniques et durée de conservation

• Logs d'accès applicatifs (Vercel) : 24 h pour les requêtes standard, 30 jours pour les erreurs.
• Logs d'authentification (Supabase Auth) : 7 jours.
• Logs d'événements métier (base Postgres) : 12 mois.

11. Contact et réclamation

Pour toute question relative à la protection de vos données : support@mygeno.app

Vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

• Belgique — Autorité de protection des données (APD) : autoriteprotectiondonnees.be
• France — Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr
• Autres États membres de l'UE : coordonnées des autorités sur edpb.europa.eu