Politique de Confidentialité

Le responsable du traitement de vos données personnelles est Woonix LTD, société enregistrée en Angleterre et au Pays de Galles.

Woonix LTD
71-75 Shelton Street, Covent Garden
London, WC2H 9JQ, United Kingdom
E-mail (DPO) : contact@call-ava.com

Lors de l'utilisation d'Ava, nous collectons les données suivantes :

• Identifiant unique et code PIN hashé pour l'authentification
• Adresse e-mail (pour la création de compte et les communications)
• Numéro de téléphone (si fourni)
• Historique des conversations et mémoire conversationnelle résumée
• Solde et historique de crédits
• Données audio transmises en temps réel lors des appels vocaux (non stockées de manière permanente par Woonix LTD — voir section Services Tiers)
• Tokens de notification push (pour les rappels programmés)
• Préférences utilisateur : langue, paramètres d'application
• Informations techniques : type d'appareil, version d'application, système d'exploitation
• Données de parrainage (code referral, parrains/filleuls)
• Clé API Gemini personnelle (Plan Custom) — chiffrée AES-256-GCM avec votre PIN, indéchiffrable sans ce dernier

Nous ne collectons pas de données de localisation, de données biométriques ni de données sensibles au sens du RGPD.

Nous traitons vos données personnelles sur les bases légales suivantes :

• Exécution du contrat (Art. 6.1.b) : authentification, fourniture du service Ava, gestion des crédits et abonnements, rappels programmés, fonctionnalités de conversation
• Intérêts légitimes (Art. 6.1.f) : sécurité du service, prévention de la fraude, amélioration du service, communications techniques essentielles
• Obligation légale (Art. 6.1.c) : conservation des données de transaction pour les obligations comptables et fiscales
• Consentement (Art. 6.1.a) : communications marketing, si vous y avez expressément consenti

Vos données sont utilisées pour :

• Fournir, personnaliser et améliorer le service Ava
• Authentifier et sécuriser votre accès au compte
• Gérer votre compte, vos crédits, votre abonnement et votre parrainage
• Envoyer des rappels push programmés (avec votre consentement)
• Vous contacter pour des communications importantes relatives au service
• Détecter et prévenir les abus, fraudes ou violations des CGU
• Respecter nos obligations légales

Nous ne pratiquons aucune prise de décision entièrement automatisée produisant des effets juridiques significatifs sans intervention humaine.

Vos données sont stockées sur des serveurs sécurisés hébergés par Supabase (infrastructure cloud, certifiée SOC 2 Type II). Les mesures de sécurité mises en œuvre comprennent notamment :

• Chiffrement des données en transit (TLS 1.3)
• Chiffrement des données au repos
• Clé API Gemini (Plan Custom): chiffrée localement avec AES-256-GCM avant transmission — votre PIN n'est jamais envoyé à nos serveurs. La clé est indéchiffrable sans votre PIN, y compris pour nos équipes
• Contrôle d'accès strict aux bases de données
• Journalisation des accès critiques

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Woonix LTD s'engage à vous en informer dans les 72 heures suivant la prise de connaissance de l'incident, conformément au RGPD.

Nous ne vendons jamais vos données personnelles. Vos données peuvent être partagées avec les sous-traitants suivants, uniquement pour les finalités décrites dans cette politique :

• Google (Gemini Live API): traitement de l'audio en temps réel et génération de réponses IA — données non conservées de manière permanente. Politique Google
• Supabase : hébergement de la base de données et authentification — infrastructure certifiée SOC 2 Type II, données hébergées aux États-Unis avec garanties contractuelles adéquates (SCCs)
• RevenueCat: gestion des abonnements mobiles (iOS/Android) — traite les données d'abonnement, non les données de paiement directes
• Prestataires de paiement web : traitement des paiements web (abonnements Pro/Custom via le site). Ces prestataires sont des sous-traitants indépendants soumis à leurs propres politiques de confidentialité et certifiés PCI-DSS. Nous ne stockons pas vos données de carte bancaire.
• Apple / Google: distribution de l'application et achats intégrés (App Store / Play Store)
• Resend: envoi d'emails transactionnels (vérification de compte, notifications importantes)
• Expo (notifications push) : acheminement des notifications push via Expo Push Service, Apple APNs et Firebase FCM

Vos données peuvent également être communiquées aux autorités légales compétentes sur demande formelle conforme au droit applicable.

L'application Ava permet de connecter votre compte Google (Gmail et Google Agenda) afin que votre assistant vocal IA puisse consulter vos e-mails, rechercher des messages, rédiger des réponses et organiser votre emploi du temps sur simple commande vocale.

• Accès, utilisation et transfert :Ava n'accède à vos données (e-mails, événements) que pour répondre à vos requêtes explicites. Le contenu de vos e-mails et agendas n'est transmis de manière sécurisée et éphémère qu'au modèle d'intelligence artificielle (Google Gemini) servant de moteur à l'application, et ce, uniquement pour fournir directement la fonctionnalité associée.
• Aucune publicité ni revente :Vos données issues des API Google ne sont jamais utilisées pour diffuser des annonces publicitaires, y compris pour le reciblage (retargeting) ou la publicité personnalisée/basée sur les centres d'intérêt. Elles ne sont jamais revendues, louées ou partagées à l'insu de leur utilité stricte d'assistance IA.
• Protection et stockage : Woonix LTD ne stocke pas le contenu de vos e-mails sur ses bases de données de manière permanente. Les données sont analysées en temps réel en mémoire vive (RAM) durant la session vocale.

L'utilisation par Ava des informations reçues depuis les API Google et le transfert de ces informations vers toute autre application (y compris ses modèles d'IA) se conforment strictement à la Politique d'utilisation des données utilisateur des services API Google (Google API Services User Data Policy), y compris aux exigences d'utilisation limitée (Limited Use requirements).

Certains de nos sous-traitants sont établis hors de l'Espace Économique Européen (notamment aux États-Unis). Ces transferts sont encadrés par :

• Des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne
• Des mécanismes de certification adéquats (ex. Data Privacy Framework UE-États-Unis) lorsqu'applicables

Pour obtenir des informations sur les garanties mises en place pour ces transferts, contactez-nous à contact@call-ava.com.

Woonix LTD ne stocke directement aucune donnée de carte bancaire ou de paiement. Toutes les transactions financières sont traitées exclusivement par nos prestataires de paiement certifiés PCI-DSS :

• Apple (App Store — iOS)
• Google (Play Store — Android)
• Prestataires de paiement web agréés (paiements via call-ava.com)

Nous conservons uniquement les métadonnées de transaction nécessaires (montant, devise, date, référence d'abonnement) à des fins comptables et de gestion des accès.

Ava est destinée exclusivement aux personnes âgées de 18 ans et plus. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous avez connaissance qu'un mineur a créé un compte sur Ava, veuillez nous le signaler à contact@call-ava.com afin que nous puissions prendre les mesures appropriées (suppression du compte et des données associées).

Si vous activez les notifications push (disponibles sur les plans Pro et Custom), nous collectons et stockons votre token de notification push dans la colonne sécurisée de votre compte. Ce token est utilisé exclusivement pour l'envoi de rappels programmés que vous avez vous-même configurés.

Vous pouvez désactiver les notifications push à tout moment depuis les paramètres de votre appareil. La désactivation n'entraîne pas la suppression de votre compte.

Ava utilise le stockage local (localStorage) de votre navigateur pour conserver :

• Votre session de connexion
• Vos préférences de langue (clé ava_language)
• Vos paramètres d'application (recherche web, etc.)

Aucun cookie de tracking publicitaire, de profilage ou de mesure d'audience tiers n'est utilisé. Vous pouvez effacer ces données via les paramètres de votre navigateur à tout moment.

Vos données sont conservées pendant toute la durée d'activité de votre compte. Différentes durées s'appliquent selon le type de données :

• Données de compte: durée d'activité du compte + suppression sous 48h après demande
• Données de transaction : 7 ans (obligation légale comptable)
• Audio des conversations : non stocké de manière permanente (traitement en temps réel uniquement)
• Mémoire conversationnelle: durée d'activité du compte, supprimée sur demande

Conformément au RGPD et aux lois britanniques équivalentes (UK GDPR), vous disposez des droits suivants :

• Accès : obtenir une copie de vos données personnelles
• Rectification : corriger des données inexactes ou incomplètes
• Effacement : demander la suppression de vos données ("droit à l'oubli")
• Portabilité : recevoir vos données dans un format structuré et lisible
• Opposition : vous opposer au traitement basé sur nos intérêts légitimes
• Limitation : demander la restriction du traitement dans certains cas
• Retrait du consentement : retirer à tout moment votre consentement aux traitements basés sur celui-ci, sans affecter la licéité des traitements antérieurs

Pour exercer ces droits, contactez-nous à contact@call-ava.com. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande.

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous disposez du droit d'introduire une réclamation auprès d'une autorité de contrôle compétente :

• France: Commission Nationale de l'Informatique et des Libertés (CNIL) — cnil.fr
• Royaume-Uni: Information Commissioner's Office (ICO) — ico.org.uk
• UE : autorité de contrôle de votre pays de résidence (liste disponible sur edpb.europa.eu)

Nous vous encourageons à nous contacter en premier lieu afin de résoudre tout différend à l'amiable.

Vous pouvez demander la suppression de votre compte à tout moment via call-ava.com/supprimer-compte ou depuis l'application mobile (Paramètres > Supprimer mon compte). La suppression entraîne l'effacement définitif et irréversible de l'ensemble de vos données : compte, historique de conversations, mémoire conversationnelle, crédits, données de parrainage et clé API chiffrée. Le traitement est effectué sous 48 heures. Les données de transaction sont conservées 7 ans pour raisons légales comptables.

Woonix LTD se réserve le droit de modifier cette politique à tout moment. En cas de modification substantielle, nous vous en informerons par e-mail ou notification dans l'application au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La version en vigueur est toujours accessible à call-ava.com/confidentialite.

Pour toute question relative à cette politique ou pour exercer vos droits :

Woonix LTD
71-75 Shelton Street, Covent Garden
London, WC2H 9JQ, United Kingdom
E-mail : contact@call-ava.com — call-ava.com/support