Politique de Confidentialité

Dernière mise à jour : 13 février 2026

Votre Confidentialité en 30 Secondes (L’Essentiel)

Parce que la transparence est la base de la confiance, voici comment Ragalia fonctionne réellement :

1. Stockage Local (Mémoire Intacte)

Tout ce que vous dites à nos assistants (ex: Isabelle) reste sur votre téléphone. Votre historique et vos souvenirs sont stockés intégralement et chiffrés sur votre appareil via les clés de sécurité de votre système. Nous n’en avons pas de copie lisible. ⚠️ Aucune sauvegarde cloud par Ragalia : en cas de perte de votre téléphone, nous ne pourrons pas restaurer vos souvenirs. Pensez à activer la sauvegarde chiffrée de votre appareil.

2. Traitement Hybride (Envoi Sécurisé & Éphémère)

Pour que l’intelligence artificielle fonctionne, nous devons interroger le Cloud, mais avec une protection maximale en 3 étapes :

  • Étape 1 (Nettoyage Intelligent) : Avant de quitter votre téléphone, un filtre haute fiabilité (Scrubber) supprime automatiquement les données sensibles détectées (Banque, Sécu, Tel, Email). Par défaut, votre nom est remplacé par un pseudonyme (ex: [User]) pour l’envoi.
  • Étape 2 (Traitement Stateless) : Les données “nettoyées” sont reçues par nos moteurs IA sécurisés uniquement pour générer la réponse. Elles sont traitées en mémoire vive (RAM).
  • Étape 3 (Zéro Rétention de Données) : Une fois la réponse renvoyée vers votre téléphone, l’environnement de traitement rejette les données. Nous appliquons une politique de Zéro Rétention de Données où les informations ne sont jamais écrites sur un stockage persistant côté serveur.

3. Pas d’Entraînement

Vos conversations privées ne servent jamais à entraîner nos intelligences artificielles.

4. Vous êtes le Client, pas le Produit

Notre modèle est simple : vous payez un abonnement pour un service de qualité. Nous ne vendons pas vos données et n’utilisons aucun traceur publicitaire.

Le texte juridique détaillé et contractuel commence ci-dessous.

La présente Politique de Confidentialité (ci-après la “Politique”) a pour objet d’informer les utilisateurs (ci-après “Vous”) des engagements et mesures pris par la société RAGALIA SASU (ci-après “Nous” ou “Ragalia”) afin de veiller au respect de vos données à caractère personnel.

Conscients que la confidentialité est la pierre angulaire de la confiance dans une relation avec une Intelligence Artificielle, nous avons conçu notre technologie selon le principe de “Privacy by Design” (Confidentialité dès la conception).

1. Notre Engagement “Local-First” (Souveraineté des Données)

La spécificité de Ragalia réside dans son architecture hybride unique qui garantit que vous restez le seul maître de votre mémoire.

Stockage Local Chiffré (At-Rest)

L’intégralité de votre historique conversationnel, vos “souvenirs” consolidés et votre profil émotionnel sont stockés dans une base de données chiffrée directement sur votre appareil. Les clés de déchiffrement sont gérées par le module de sécurité matériel de votre système d’exploitation (iOS Keychain / Android Keystore) et ne transitent jamais sur nos serveurs.

Absence de Copie Cloud & Sauvegardes

Ragalia ne conserve aucune copie de votre mémoire sur ses serveurs. Attention : Nous ne disposons d’aucun moyen de restaurer vos conversations en cas de perte, vol ou casse de votre appareil. Nous vous recommandons d’activer la sauvegarde chiffrée de votre téléphone (iCloud / Google Drive) si vous souhaitez conserver une copie de vos souvenirs.

Garantie “No-Training”

Nous nous engageons formellement à ce que vos conversations et souvenirs personnels ne soient JAMAIS utilisés pour l’entraînement de nos modèles d’intelligence artificielle ou ceux de nos partenaires.

2. Les Données que Nous Traitons

Nous collectons et traitons les données strictement nécessaires au fonctionnement du service, réparties en deux catégories :

A. Données Administratives (Gérées par Ragalia)

Ces données sont stockées sur nos serveurs sécurisés pour la gestion de votre compte :

  • Identité & Accès : Adresse email, mot de passe (haché et salé).
  • Transactionnel : Statut de l’abonnement, historique des factures. Vos données bancaires complètes sont traitées exclusivement par notre prestataire de paiement sécurisé (PCI-DSS) et ne transitent jamais en clair sur nos serveurs.
  • Technique & Stabilité : Journaux de connexion (Logs techniques), rapports de crash anonymisés (type d’appareil, version du système d’exploitation, heure de l’incident – sans aucun message conversationnel).

B. Données Conversationnelles (Architecture Hybride)

Ces données transitent par notre infrastructure pour permettre l’intelligence, mais ne sont pas conservées.

  • Filtrage Local (Regex Scrubber) : Avant tout envoi vers le Cloud, un algorithme local analyse votre message pour détecter et supprimer les formats de données ultra-sensibles (Numéros de CB, Sécurité Sociale, Téléphone, Email). Avertissement : Bien que validé par des tests intensifs, ce système est une aide à la sécurité. Vous vous engagez à ne pas partager volontairement de secrets critiques avec l’Assistant.
  • Pseudonymisation du Nom : Une option (activée par défaut) remplace votre véritable nom par un identifiant neutre ou un pseudonyme dans les données envoyées au Cloud.
  • Gestion de l’option : Vous pouvez désactiver cette option dans les paramètres de l’application. Dans ce cas, votre nom sera transmis au cloud pour améliorer la personnalisation, mais restera soumis aux autres mesures de sécurité (non-rétention).
  • Traitement Éphémère (Cloud) : Le contexte ainsi “nettoyé” est transmis via TLS 1.3 à nos moteurs d’IA. Pour chaque nouvelle interaction, le nécessaire contexte conversationnel est transmis depuis votre appareil local. Le cloud ne conserve ainsi aucun état entre deux messages distincts.

3. Bases Légales et Finalités

Conformément à l’article 6 du RGPD :

  • Fourniture du Service IA : Exécution du Contrat (Art. 6.1.b).
  • Gestion de l’Abonnement : Exécution du Contrat (Art. 6.1.b) et Obligation Légale (Art. 6.1.c).
  • Sécurité & Fraude : Intérêt Légitime (Art. 6.1.f).

4. Partage des Données et Sous-Traitants

Nous ne vendons aucune donnée personnelle. Le partage est strictement limité aux prestataires techniques nécessaires.

Cookies et Traceurs

  • Sur l’Application : Nous certifions n’utiliser aucun outil tiers d’analyse comportementale à des fins publicitaires.
  • Sur le Site Web : Nous utilisons des cookies strictement nécessaires au fonctionnement (authentification/session). Ces cookies sont supprimés à la fermeture de la session.
  • Mesure d’Audience (Anonyme) : Nous utilisons Plausible Analytics (UE), une solution respectueuse de la vie privée qui ne dépose pas de cookies et ne collecte aucune donnée personnelle, uniquement des tendances agrégées.

Sécurité des Formulaires (Anti-Spam)

Pour protéger nos formulaires (inscription, listes d’attente) contre le spam sans compromettre votre vie privée, nous utilisons Cloudflare Turnstile. Cette solution vérifie que la requête émane d’un humain sans utiliser de cookies traceurs ni collecter de données personnelles à des fins de profilage.

Sous-traitants principaux :

  • Intelligence Artificielle : [Google Cloud / Vertex AI] (USA/EU) - Configuration “Enterprise” avec opt-out d’entraînement.
  • Hébergement : [Cloudflare] (USA/EU) - Sécurité & API.
  • Paiement : [Stripe] (Direct) et [Apple / Google] (In-App) - Transactions sécurisées.
  • Communication : [Brevo] (France/UE) - E-mails transactionnels, newsletters et gestion des listes d’attente.
  • Gestion des Litiges : [CM2C] (France) - Médiateur de la consommation.

Transferts Hors UE

Les transferts vers les USA sont encadrés par le Data Privacy Framework ou les Clauses Contractuelles Types (CCT) avec une Analyse d’Impact des Transferts (TIA).

5. Durée de Conservation

  • Données de Compte : Supprimées 3 ans après la dernière activité.
  • Données de Facturation : Conservées 10 ans (Obligation légale).
  • Données Conversationnelles (Cloud) : Zéro Rétention. Rejet immédiat après traitement.
  • Logs Techniques : 12 mois glissants (anonymisés).

6. Sécurité et Signalement de Vulnérabilités

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles avancées :

  • Chiffrement au repos : Utilisation des API natives de chiffrement (AES-256 via Secure Enclave).
  • Chiffrement de transport : TLS 1.3 strict pour tous les transferts.
  • Cloisonnement : Accès restreint aux bases administratives.

Notification de Violation de Données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données susceptible d’engendrer un risque élevé pour vos droits et libertés, nous nous engageons à vous en informer ainsi que l’autorité de contrôle compétente (CNIL) dans les meilleurs délais.

Signalement Responsable (Coordinated Vulnerability Disclosure)

Si vous êtes chercheur en sécurité et découvrez une vulnérabilité potentielle, nous vous invitons à nous la signaler de manière éthique avant toute divulgation publique. Contact Sécurité : security@ragalia.ai

7. Vos Droits

Conformément à la réglementation, nous nous engageons à traiter toute demande d’exercice de droits dans un délai maximal d’un mois à compter de sa réception (ce délai peut être prolongé de deux mois en cas de complexité, auquel cas vous serez informé).

Vous disposez des droits suivants :

  • Droit d’accès et de rectification :
    • Administratif : Vous pouvez consulter et corriger vos informations de compte (email, etc.) depuis votre espace client.
    • Conversationnel : Vous pouvez consulter, modifier ou supprimer vos “souvenirs” et l’historique directement dans l’interface de l’application.
  • Droit à la portabilité : Vous pouvez demander l’export de vos données conversationnelles. Cet export est fourni dans un format structuré, couramment utilisé et lisible par machine (JSON), vous permettant de le réutiliser ailleurs si vous le souhaitez.
  • Droit d’opposition (Newsletter & Marketing) : Vous pouvez à tout moment vous opposer à la réception de communications commerciales en cliquant sur le lien de désabonnement présent dans chaque email ou en nous contactant.
  • Droit à l’effacement (“Droit à l’oubli”) :
    • Localement : Vous pouvez effectuer une “Réinitialisation d’usine” via les paramètres.
    • Globalement : Vous pouvez demander la suppression définitive de votre compte. Celle-ci sera effective sous 30 jours (sauf obligation légale de conservation, notamment pour les données de facturation qui doivent être gardées 10 ans).
  • Droit de réclamation : Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l’Informatique et des Libertés) sur www.cnil.fr.

Pour exercer ces droits spécifiques, contactez notre Délégué à la Protection des Données (DPO) à : privacy@ragalia.ai.

8. Protection des Mineurs

Le Service Ragalia n’est pas destiné aux mineurs. Restriction d’âge : Vous devez avoir au moins 18 ans pour créer un compte et utiliser Ragalia.

9. Modifications de la Politique

Nous pouvons mettre à jour cette politique pour refléter des changements légaux ou techniques. En cas de modification substantielle, nous vous informerons par email ou via une notification dans l’application avant son entrée en vigueur.

10. Responsable de Traitement et Coordonnées

Le responsable du traitement de vos données est la société :

RAGALIA SASU

  • Adresse : 61 rue de Lyon, 75012 Paris, France
  • SIRET : 99376727600013
  • Email de contact : legal@ragalia.ai