Politique de Confidentialité
Dernière mise à jour : 2026-02-16
Politique de Confidentialité
Dernière mise à jour : 2026-02-16 Date d'effet : 2026-02-16
1. Responsable du traitement
Bloomoo (« nous », « notre », « nos ») est le responsable du traitement des données à caractère personnel traitées via cette plateforme.
- Email de contact : privacy@bloomoo.eu
- Adresse du siège : À compléter
- Délégué à la protection des données (le cas échéant) : À compléter
La présente Politique de Confidentialité est fournie conformément aux articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD) de l'Union européenne.
2. Données que nous collectons
2.1 Données de compte
- Adresse email
- Nom (si fourni)
- Dates de création du compte et de dernière connexion
2.2 Données d'évaluation
- Réponses aux questionnaires psychométriques
- Scores calculés et rapports
- Réponses aux questions ouvertes (saisies ou transcrites à partir de l'entrée vocale)
Données de catégorie spéciale (RGPD art. 9) : Selon la nature des instruments psychométriques utilisés, certaines données d'évaluation peuvent constituer des données révélant des caractéristiques psychologiques. Lorsque tel est le cas, le traitement est fondé sur votre consentement explicite (art. 9(2)(a)).
2.3 Contenu généré par l'IA
- Synthèses de personnalité générées par des modèles d'IA
- Interprétations des résultats
- Recommandations
2.4 Données démographiques (facultatives)
- Tranche d'âge, genre, niveau d'études, secteur d'activité
- Fournies volontairement ; jamais obligatoires
2.5 Registres de consentement
- Registres des consentements que vous avez accordés ou révoqués
- Horodatages, type de consentement et version du texte de consentement
2.6 Données techniques
- Adresse IP (conservée pendant 90 jours)
- Chaîne user agent (conservée pendant 90 jours)
- Données de session d'authentification (cookies)
2.7 Données de paiement
- Les transactions de paiement sont traitées par Stripe. Nous conservons les références de transaction, pas les détails de carte bancaire.
2.8 Minimisation des données
Bloomoo applique le principe de minimisation des données (RGPD art. 5(1)(c)). Nous ne collectons que les données nécessaires aux finalités décrites dans la présente politique. En particulier, Bloomoo ne demande ni ne collecte de diagnostics cliniques, d'antécédents médicaux, de dossiers médicaux ou toute information relative à la santé au-delà du cadre des questionnaires psychométriques d'auto-évaluation.
3. Bases juridiques du traitement
Nous traitons vos données à caractère personnel sur les bases juridiques suivantes (RGPD article 6) :
| Activité de traitement | Base juridique | Article du RGPD |
|---|---|---|
| Création et gestion de compte | Exécution du contrat | Art. 6(1)(b) |
| Complétion et notation des évaluations | Consentement | Art. 6(1)(a) |
| Synthèses et interprétations générées par l'IA | Consentement | Art. 6(1)(a) |
| Partage des résultats avec une entreprise (B2B) | Consentement | Art. 6(1)(a) |
| Analyses agrégées (anonymisées) | Consentement | Art. 6(1)(a) |
| Journalisation de sécurité et prévention des abus | Intérêt légitime | Art. 6(1)(f) |
| Traitement des paiements | Exécution du contrat | Art. 6(1)(b) |
| Conformité légale (journaux d'audit, registres de consentement) | Obligation légale | Art. 6(1)(c) |
Évaluation de l'intérêt légitime : Lorsque le traitement est fondé sur l'intérêt légitime (art. 6(1)(f)), une évaluation de l'intérêt légitime a été réalisée afin de s'assurer que ce traitement ne porte pas atteinte à vos droits et libertés fondamentaux. La journalisation de sécurité est limitée aux données strictement nécessaires (adresse IP et user agent, conservées pendant 90 jours) et est essentielle pour détecter les accès non autorisés et prévenir les abus.
4. Modèle de consentement
Bloomoo utilise cinq types de consentement indépendants et granulaires. Chacun est demandé séparément et peut être révoqué à tout moment sans affecter les autres :
- Consentement à l'évaluation — Requis pour compléter les évaluations et recevoir les résultats.
- Consentement d'accès entreprise — Autorise une entreprise spécifique à accéder à vos résultats. Accordé par entreprise, révocable à tout moment.
- Consentement à l'agrégation — Autorise l'inclusion de vos données anonymisées dans des agrégations statistiques (sous réserve du seuil de k-anonymat de k=20).
- Consentement à l'utilisation de l'IA — Autorise les modèles d'IA à générer des synthèses et recommandations personnalisées à partir de vos données.
- Consentement aux analyses — Autorise les analyses d'utilisation anonymisées (PostHog) pour nous aider à améliorer la plateforme. Géré via la bannière de consentement aux cookies.
Les consentements ne sont jamais regroupés. La révocation d'un consentement n'affecte pas les autres. La révocation d'un consentement entraîne la suppression des données associées (par exemple, la révocation du consentement à l'utilisation de l'IA supprime les synthèses générées par l'IA).
5. Sous-traitants
Nous faisons appel aux sous-traitants tiers suivants :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Vercel | Hébergement de l'application et CDN | US/UE | Clauses contractuelles types |
| Supabase / Neon | Hébergement de la base de données PostgreSQL | UE de préférence | Clauses contractuelles types |
| Resend | Envoi d'emails transactionnels | US | Clauses contractuelles types |
| Stripe | Traitement des paiements | US/UE | Clauses contractuelles types, PCI DSS |
| PostHog | Analyses en mode respect de la vie privée | UE | Aucune DCP collectée, pas de capture automatique, pas d'enregistrement de session |
5b. Absence de vente de données personnelles
Bloomoo ne vend pas, ne loue pas et n'échange pas vos données personnelles à des tiers. Vos données sont traitées uniquement aux fins décrites dans la présente Politique de Confidentialité.
6. Transferts internationaux
Lorsque des données à caractère personnel sont transférées en dehors de l'Espace économique européen (EEE), nous veillons à ce que des garanties appropriées soient en place, notamment :
- Les clauses contractuelles types (CCT) approuvées par la Commission européenne
- Les décisions d'adéquation le cas échéant
- Des mesures techniques incluant le chiffrement en transit et au repos
7. Conservation des données
Nous conservons les données à caractère personnel uniquement aussi longtemps que nécessaire. Consultez notre Politique de conservation des données pour les durées de conservation détaillées par catégorie de données. Durées principales :
- Données de compte : Jusqu'à votre demande de suppression
- Réponses aux évaluations : Jusqu'à votre demande de suppression ou révocation du consentement
- Synthèses IA : Jusqu'à votre demande de suppression ou révocation du consentement à l'utilisation de l'IA
- Registres de consentement : 5 ans après la révocation (obligation légale)
- Journaux techniques : 90 jours
- Documents de paiement : 7 ans (obligation fiscale/légale)
8. Vos droits
En vertu du RGPD, vous disposez des droits suivants :
8.1 Droit d'accès (art. 15)
Vous pouvez demander une copie de toutes les données à caractère personnel que nous détenons à votre sujet. Utilisez la fonctionnalité d'export de données dans les paramètres de votre compte ou contactez-nous directement.
8.2 Droit de rectification (art. 16)
Vous pouvez mettre à jour vos données personnelles via les paramètres de votre profil à tout moment.
8.3 Droit à l'effacement (art. 17)
Vous pouvez demander la suppression de votre compte et de toutes les données associées. Les demandes de suppression sont traitées dans un délai de 30 jours. Certaines données peuvent être conservées lorsque la loi l'exige (voir la Politique de conservation des données).
8.4 Droit à la portabilité des données (art. 20)
Vous pouvez exporter vos données dans un format lisible par machine (JSON) via les paramètres de votre compte.
8.5 Droit à la limitation du traitement (art. 18)
Vous pouvez demander que nous limitions le traitement de vos données pendant la résolution d'une réclamation ou d'un litige.
8.6 Droit d'opposition (art. 21)
Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime. Nous cesserons le traitement sauf si nous démontrons des motifs légitimes impérieux.
8.7 Droit de retrait du consentement (art. 7)
Vous pouvez retirer tout consentement à tout moment via les paramètres de votre compte. Le retrait n'affecte pas la licéité du traitement effectué avant le retrait.
8.8 Droit d'introduire une réclamation
Vous avez le droit d'introduire une réclamation auprès de votre autorité nationale de protection des données si vous estimez que vos droits ont été violés. En France, l'autorité de contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr.
9. Enfants
Bloomoo n'est pas destiné aux utilisateurs de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants de moins de 16 ans. Si nous apprenons que nous avons collecté des données auprès d'un enfant de moins de 16 ans, nous les supprimerons dans les meilleurs délais.
10. Avertissement non clinique
Bloomoo n'est pas un outil clinique, diagnostique ou thérapeutique. Les résultats des évaluations décrivent des traits de personnalité et des tendances sur la base d'instruments académiques validés. Les résultats sont fournis à titre informatif et éducatif uniquement. Ils ne se substituent pas à un avis psychologique ou médical professionnel.
Consultez notre Avertissement non clinique pour plus de détails.
11. Profilage et prise de décision automatisée
11.1 Profilage
Bloomoo effectue un profilage au sens de l'article 4(4) du RGPD en évaluant des aspects personnels relatifs aux traits de personnalité, aux tendances comportementales et aux préférences sur la base de vos réponses aux évaluations. Ce profilage est réalisé uniquement à des fins informatives et de développement personnel et est fondé sur votre consentement explicite.
11.2 Contenu généré par l'IA
Bloomoo utilise l'IA pour générer des synthèses de personnalité et des recommandations. Ces productions sont :
- À titre informatif uniquement — elles ne produisent pas d'effets juridiques ou d'effets similaires significatifs
- Fondées sur votre consentement explicite (Consentement à l'utilisation de l'IA)
- Supprimables à tout moment en révoquant le consentement
- De nature probabiliste — les productions générées par l'IA peuvent contenir des inexactitudes, des simplifications excessives ou des généralisations
Vous avez le droit de demander un examen humain de toute production générée par l'IA.
11.4 Flux de données IA
Lorsqu'un contenu généré par l'IA est produit, les données d'évaluation sont traitées comme suit :
- Les données sont pseudonymisées avant transmission au modèle d'IA — aucune adresse email, nom ou identifiant direct n'est inclus dans les prompts IA
- Le traitement par l'IA est effectué par un serveur LLM auto-hébergé ou, lorsqu'un fournisseur tiers est utilisé (par exemple, OpenAI, Anthropic), les données sont transmises dans le cadre d'accords de traitement des données avec des garanties appropriées
- Les réponses brutes aux évaluations sont synthétisées en scores dimensionnels avant le traitement par l'IA ; les réponses individuelles au niveau des items ne sont pas transmises
- Aucune donnée à caractère personnel n'est conservée par le fournisseur d'IA au-delà de la durée de la requête
11.3 Absence de décisions automatisées produisant des effets juridiques
Aucune prise de décision automatisée sur la plateforme ne produit d'effets juridiques ou ne vous affecte de manière significative similaire. Toutes les productions de l'IA sont des interprétations supplémentaires fournies à titre informatif uniquement.
12. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données, notamment :
- Chiffrement en transit (TLS) et au repos
- Sécurité au niveau des lignes (RLS) au niveau de la base de données pour l'isolation des données
- Contrôle d'accès basé sur les rôles (RBAC)
- Journalisation d'audit de tous les accès aux données
- Revues de sécurité régulières
13. Modifications de la présente politique
Nous pouvons mettre à jour la présente Politique de Confidentialité de temps à autre. Nous vous informerons de tout changement substantiel par email. La poursuite de l'utilisation de la plateforme après les modifications vaut acceptation de la politique mise à jour.
14. Contact
Pour toute question relative à la vie privée, demande d'exercice de droits ou réclamation :
- Email : privacy@bloomoo.eu
- Adresse postale : À compléter