Politique de Confidentialité
Politique de Confidentialité de Thetawave AI
Dernière mise à jour : 9 mai 2026
La présente Politique de Confidentialité explique comment Thetawave AI, Inc., une société du Delaware (« Thetawave », « nous » ou « notre »), collecte, utilise, divulgue et protège les informations lorsque vous utilisez notre site web (https://thetawave.ai), nos applications mobiles et les services associés (les « Services »).
En utilisant les Services, vous acceptez les pratiques décrites dans la présente Politique. Si vous n'acceptez pas, veuillez ne pas utiliser les Services. La présente Politique est intégrée à nos Conditions d'Utilisation.
Avis Importants
- Nous n'entraînons aucun modèle d'IA sur votre Contenu Utilisateur. Les notes, documents, fichiers audio, images et autres éléments que vous téléversez ne sont pas utilisés pour entraîner les modèles de Thetawave, et nous exigeons contractuellement de nos prestataires tiers d'IA et de transcription qu'ils n'entraînent pas non plus leurs modèles sur vos données d'entrée. Voir l'Article 5.
- Nous n'affichons aucune publicité tierce sur les Services, et nous ne « vendons » pas vos données à caractère personnel contre une contrepartie monétaire au sens où ce terme est défini par le California Consumer Privacy Act.
- Utilisateurs internationaux. Les Services sont exploités depuis les États-Unis. Nous nous conformons aux lois applicables en matière de protection des données dans l'UE/UK/Suisse (GDPR/RGPD), au Japon (APPI), en Corée du Sud (PIPA), à Hong Kong (PDPO), à Taïwan (PDPA), au Canada (PIPEDA) et aux États-Unis (CCPA/CPRA et lois des États). Voir les Articles 7 et 12 pour les droits propres à chaque région.
Table des Matières
- Informations que Nous Collectons
- Comment Nous Utilisons les Informations
- Bases Légales du Traitement (EEE / UK / Suisse)
- Comment Nous Partageons les Informations
- Traitement par IA du Contenu Utilisateur
- Cookies, Technologies de Suivi et Notifications Push
- Transferts Internationaux de Données
- Conservation des Données
- Sécurité des Données
- Confidentialité des Enfants
- Vos Droits en Matière de Confidentialité — Aperçu Mondial
- Droits et Avis Spécifiques par Région
- 12.1 Espace Économique Européen, Royaume-Uni et Suisse (RGPD)
- 12.2 Californie (CCPA/CPRA)
- 12.3 Autres États des États-Unis
- 12.4 Japon (APPI)
- 12.5 Corée du Sud (PIPA)
- 12.6 Hong Kong (PDPO)
- 12.7 Taïwan (Personal Data Protection Act)
- 12.8 Canada (PIPEDA)
- 12.9 Autres Juridictions
- Comment Exercer Vos Droits
- Signaux Do-Not-Track
- Divulgations sur la Confidentialité des Applications Mobiles (App Store / Google Play)
- Liens et Services Tiers
- Modifications de la Présente Politique
- Nous Contacter
1. Informations que Nous Collectons
Nous collectons trois catégories d'informations :
1.1 Informations que Vous Fournissez
- Informations relatives au compte : nom, adresse e-mail, mot de passe (stocké sous forme de hachage), préférences de profil et — si vous vous connectez via un fournisseur d'identité tiers (par exemple, Google, Apple) — les données de profil de base que ce fournisseur partage avec nous.
- Informations relatives à l'abonnement et au paiement : pour les achats sur le web, les détails de facturation sont gérés par Stripe (nous recevons les confirmations de transaction et les quatre derniers chiffres de votre carte ; nous ne stockons pas les numéros de carte de paiement complets) ; pour les achats intégrés sur mobile, les confirmations de transaction d'Apple ou de Google.
- Communications : messages que vous envoyez au support (par e-mail), retours et réponses aux enquêtes.
- Contenu Utilisateur : notes, documents, enregistrements audio, images, vidéos et autres éléments que vous téléversez, créez ou générez via les Services. Votre Contenu Utilisateur peut être considéré comme « sensible » (par exemple, dossiers scolaires d'étudiants, enregistrements vocaux) et est traité comme tel — voir les Articles 5 et 12.
Données à caractère personnel de tiers au sein du Contenu Utilisateur. Si votre Contenu Utilisateur contient des données à caractère personnel concernant des tiers (par exemple, le nom d'un camarade de classe dans vos notes, ou la voix d'un professeur dans un enregistrement de cours), vous agissez en tant que responsable du traitement de ces informations et vous déclarez disposer de tous les consentements nécessaires ou d'une autre base légale pour les partager avec nous. Nous traitons ces informations relatives à des tiers uniquement pour votre compte afin de vous fournir les Services, conformément à la présente Politique et aux Articles 6.4 et 9 de nos Conditions d'Utilisation.
1.2 Informations Collectées Automatiquement
Lorsque vous utilisez les Services, nous et nos prestataires d'analyse collectons automatiquement :
- Données techniques et de l'appareil : adresse IP, type et version du navigateur, système d'exploitation, identifiants de l'appareil (y compris les identifiants publicitaires mobiles s'ils ne sont pas désactivés au niveau du système d'exploitation), taille de l'écran, langue, fuseau horaire.
- Données d'utilisation : pages visitées, fonctionnalités utilisées, clics, temps passé, URL de provenance, requêtes de recherche au sein des Services et localisation approximative dérivée de l'adresse IP.
- Données de diagnostic : rapports de plantage, journaux d'erreurs, mesures de performance.
1.3 Informations Provenant de Tiers
- Fournisseurs d'identité : si vous utilisez Google Sign-In, Apple Sign-In ou similaire, nous recevons les informations de profil de base que vous autorisez.
- Processeurs de paiement : Stripe, Apple et Google peuvent partager les données de transaction avec nous selon les besoins pour finaliser les achats.
- Prestataires de services : nos outils d'analyse, de suivi des erreurs et de support client partagent des données agrégées et au niveau de l'événement sur la manière dont vous utilisez les Services (voir l'Article 4).
Nous n'achetons pas de données à caractère personnel auprès de courtiers en données, et nous ne recevons pas de données à caractère personnel de réseaux publicitaires.
2. Comment Nous Utilisons les Informations
Nous utilisons les informations décrites ci-dessus pour :
- Fournir, exploiter, maintenir et sécuriser les Services, notamment pour authentifier votre compte, synchroniser votre contenu entre les appareils et traiter vos transactions ;
- Générer des résultats d'IA en réponse à vos données d'entrée (voir l'Article 5) ;
- Communiquer avec vous au sujet de votre compte, des transactions, des modifications importantes des politiques et (avec votre consentement ou lorsque la loi le permet) des mises à jour produit ;
- Fournir un support client et répondre à vos demandes ;
- Détecter, enquêter sur et prévenir la fraude, les abus, les incidents de sécurité et les violations de nos Conditions ;
- Analyser et améliorer les Services, y compris des analyses d'utilisation agrégées ;
- Respecter les obligations légales et faire appliquer nos Conditions ;
- Avec votre consentement, à toute autre fin divulguée au moment de la collecte.
Nous n'utilisons pas vos informations pour des décisions automatisées produisant des effets juridiques ou similairement significatifs sur vous sans intervention humaine.
Communications marketing et désinscription. Lorsque nous envoyons des communications marketing ou promotionnelles (avec votre consentement ou lorsque la loi le permet), vous pouvez vous désinscrire à tout moment en :
- Cliquant sur le lien « se désinscrire » dans tout e-mail marketing ;
- Modifiant les préférences de notification dans les paramètres de votre compte ; ou
- Envoyant un e-mail à contact@thetawave.ai.
Les communications transactionnelles et liées au compte (par exemple, alertes de sécurité, avis de facturation d'abonnement, modifications importantes des politiques) ne peuvent pas faire l'objet d'une désinscription tant que votre compte est actif, car elles sont nécessaires à la fourniture des Services et au respect de nos obligations légales.
3. Bases Légales du Traitement (EEE, UK, Suisse)
Si vous vous trouvez dans l'Espace Économique Européen, au Royaume-Uni ou en Suisse, nous traitons vos données à caractère personnel sur les bases légales suivantes :
| Finalité | Base Légale |
|---|---|
| Fournir les Services, y compris l'inférence IA sur vos données d'entrée | Exécution d'un contrat (Art. 6(1)(b) GDPR) |
| Traitement des paiements et prévention de la fraude | Exécution d'un contrat ; obligation légale ; intérêts légitimes |
| Sécurité des Services et prévention des abus | Intérêts légitimes à protéger les utilisateurs et les Services |
| Analyses produit et amélioration | Intérêts légitimes ; consentement pour les cookies non essentiels |
| Communications marketing | Consentement (que vous pouvez retirer à tout moment) |
| Conformité aux demandes légales | Obligation légale |
| Traitement des données « catégories particulières » au sein du Contenu Utilisateur (le cas échéant) | Votre consentement explicite (Art. 9(2)(a)) |
Vous avez le droit de vous opposer au traitement fondé sur les intérêts légitimes — voir l'Article 12.1.
4. Comment Nous Partageons les Informations
Nous partageons vos informations uniquement avec les catégories de destinataires suivantes, qui sont toutes liées par des obligations contractuelles de confidentialité et de protection des données.
4.1 Prestataires de Services (Sous-traitants)
Nous faisons appel à des prestataires de services tiers pour exploiter les Services pour notre compte. Ils sont autorisés à utiliser vos informations uniquement pour nous fournir leurs services et doivent respecter les obligations appropriées de confidentialité et de sécurité. Les catégories ci-dessous reflètent notre stack actuelle de sous-traitants ; cette liste peut évoluer si nous changeons de prestataires.
| Catégorie | Finalité | Prestataire(s) Principal(aux) Actuel(s) |
|---|---|---|
| Hébergement cloud et base de données | Faire fonctionner notre backend et stocker les données de compte et le Contenu Utilisateur | Supabase (PostgreSQL, authentification, stockage) ; prestataires d'infrastructure cloud |
| Inférence IA (LLM) | Générer des résultats d'IA (notes, résumés, flashcards, quiz, sessions de chat d'étude) à partir de vos données d'entrée | OpenAI, Anthropic, Google (voir l'Article 5) |
| Transcription audio | Convertir le Contenu Utilisateur audio (par exemple, enregistrements de cours) en texte pour le traitement IA en aval | Soniox, Inc., Deepgram, Inc. |
| Traitement des paiements web | Traiter les abonnements achetés via le site web | Stripe, Inc. (https://stripe.com/privacy) |
| Achats intégrés mobiles et gestion des abonnements | Traiter et rapprocher les achats App Store / Google Play | Apple Inc., Google LLC, RevenueCat, Inc. |
| Analyses produit | Comprendre comment les Services sont utilisés | Mixpanel, Inc. |
| Suivi des erreurs et diagnostics | Détecter et déboguer les problèmes | Sentry (Functional Software, Inc.) |
| Support client | Répondre aux demandes par e-mail | Infrastructure e-mail (pas d'outil de ticketing tiers actuellement) |
Notification de changement de sous-traitant. Lorsque nous ajoutons ou remplaçons un sous-traitant important, nous mettrons à jour la présente Politique au moins 14 jours avant la prise d'effet du changement. Pour les utilisateurs disposant d'un abonnement payant actif, nous fournirons en outre un avis par e-mail ou par message intégré à l'application. Si vous vous opposez à un nouveau sous-traitant, vous pouvez résilier votre compte avant la prise d'effet du changement et demander un remboursement au prorata lorsque la loi applicable l'exige.
4.2 Autres Divulgations
- Conformité légale et sécurité. Nous pouvons divulguer des informations lorsque nous estimons de bonne foi que la divulgation est nécessaire pour (a) respecter la loi applicable, une procédure légale ou une demande gouvernementale ; (b) faire appliquer nos Conditions ; (c) protéger les droits, la sécurité ou les biens de Thetawave, de nos utilisateurs ou du public ; ou (d) détecter, prévenir ou traiter la fraude, les problèmes de sécurité ou techniques.
- Transferts d'entreprise. Si Thetawave est impliquée dans une fusion, une acquisition, un financement, une réorganisation ou une vente d'actifs, vos informations peuvent être transférées dans le cadre de cette transaction. Nous vous informerons (par exemple, par e-mail et/ou par un avis bien visible sur les Services) de tout changement de propriété ou d'utilisation de vos données à caractère personnel.
- Avec votre consentement. Nous pouvons partager des informations avec d'autres parties lorsque vous nous le demandez.
4.3 Ce que Nous NE Faisons PAS
- Nous ne vendons pas vos données à caractère personnel contre une contrepartie monétaire.
- Nous ne partageons pas vos données à caractère personnel avec des tiers à des fins de publicité comportementale intercontextuelle (nous n'en diffusons aucune).
- Nous ne permettons pas à nos prestataires d'IA ou de transcription d'entraîner leurs modèles sur votre Contenu Utilisateur (Article 5).
« Vente » / « partage » au sens du CCPA — note défensive. Le CCPA de Californie définit largement les notions de « vente » et de « partage ». Dans la mesure où une divulgation à nos sous-traitants d'analyses, d'IA, de transcription ou de suivi des erreurs pourrait être interprétée comme une « vente » ou un « partage » au sens du CCPA/CPRA, nous traitons cette activité comme pouvant faire l'objet d'une opposition et nous respectons les signaux d'opposition (y compris le Global Privacy Control / GPC) lorsque cela est techniquement faisable. Voir l'Article 12.2 pour les droits supplémentaires applicables en Californie.
5. Traitement par IA du Contenu Utilisateur
Cet article explique comment vos données d'entrée et votre Contenu Utilisateur interagissent avec les modèles d'IA. Cela est essentiel au fonctionnement des Services — veuillez le lire attentivement.
5.1 Comment Fonctionnent l'Inférence IA et la Transcription
Lorsque vous utilisez une fonctionnalité d'IA (par exemple, génération de notes, résumé d'un PDF, création de flashcards), votre saisie — qui peut inclure votre Contenu Utilisateur ou des extraits de celui-ci — est transmise à l'un de nos prestataires d'IA tiers (actuellement OpenAI, Anthropic et Google) pour générer la réponse. Lorsque vous téléversez de l'audio (par exemple, un enregistrement de cours), il est d'abord transmis à l'un de nos prestataires de transcription (Soniox, Deepgram) pour être converti en texte, qui est ensuite traité par un prestataire d'IA comme décrit ci-dessus.
La réponse vous est renvoyée et stockée dans votre compte Thetawave en association avec votre Contenu Utilisateur. Les prestataires d'IA et de transcription peuvent brièvement conserver les données d'entrée et de sortie pendant le traitement, comme décrit à l'Article 5.3, mais l'enregistrement durable de votre Contenu Utilisateur et des résultats générés par l'IA réside dans votre compte Thetawave et non chez les prestataires.
5.2 Pas d'Entraînement sur Votre Contenu
Thetawave n'entraîne aucun modèle d'IA ou de machine learning sur votre Contenu Utilisateur. Nous nous appuyons sur les engagements contractuels de non-entraînement et de conservation limitée pris par chacun de nos prestataires d'IA et de transcription. Plus précisément :
- OpenAI : Nous utilisons l'API OpenAI. Conformément à la politique d'utilisation des données de l'API OpenAI, OpenAI n'utilise pas les données d'entrée ou de sortie de l'API pour entraîner ses modèles.
- Anthropic : Nous utilisons l'API Anthropic. Conformément aux conditions commerciales d'Anthropic, Anthropic n'entraîne pas ses modèles sur les données d'entrée ou de sortie soumises via l'API.
- Google : Nous utilisons l'API Google AI / Gemini sous des conditions qui ne permettent pas à Google d'entraîner ses modèles sur le contenu de notre API payante.
- Soniox : Nous utilisons l'API commerciale de Soniox sous des conditions qui ne permettent pas à Soniox d'entraîner ses modèles sur le contenu audio que nous transmettons.
- Deepgram : Nous utilisons l'API commerciale de Deepgram sous des conditions qui ne permettent pas à Deepgram d'entraîner ses modèles sur le contenu audio que nous transmettons.
Si nous changeons de prestataires d'IA ou de transcription, ou si les conditions régissant ces prestataires changent de manière substantielle, nous mettrons à jour la présente Politique. Vous ne devez pas téléverser dans les Services des informations que vous ne souhaitez pas voir transmises à l'un de ces prestataires pour traitement.
5.3 Pas de Stockage Persistant chez les Prestataires d'IA / de Transcription (Au-delà des Limites Définies par les Prestataires)
Les prestataires d'IA et de transcription peuvent brièvement conserver les données d'entrée et de sortie à des fins de sécurité, de surveillance des abus et opérationnelles, conformément à leurs propres avis de confidentialité. Nous utilisons des configurations de niveau entreprise / API qui minimisent cette conservation lorsque cela est possible (par exemple, modes de zéro-conservation des données ou de conservation courte).
5.4 Données Agrégées et Dé-identifiées
Nous pouvons utiliser des données dé-identifiées ou agrégées (qui ne peuvent raisonnablement pas être reliées à vous) pour les analyses produit, la sécurité et l'amélioration des services. Nous utilisons des techniques de dé-identification conformes aux normes du secteur (par exemple, suppression des identifiants directs, agrégation et autres mesures techniques visant à garantir que les informations ne puissent raisonnablement pas être associées à un individu), et nous interdisons contractuellement à toute partie qui reçoit de notre part des données dé-identifiées de tenter de les ré-identifier.
6. Cookies, Technologies de Suivi et Notifications Push
6.1 Cookies et Technologies Similaires
Nous et nos prestataires de services utilisons des cookies, des pixels, le stockage local, des kits de développement logiciel (SDK) et des technologies similaires pour exploiter les Services. Nous n'utilisons pas les cookies pour la publicité comportementale intersites. Lorsque la loi l'exige (notamment dans l'EEE, au Royaume-Uni, en Suisse, au Japon et en Corée pour les cookies non essentiels), nous demanderons votre consentement via un bandeau de cookies avant de placer des cookies non essentiels. Vous pouvez gérer vos préférences en matière de cookies via le bandeau de cookies ou les paramètres de votre navigateur.
Les principaux cookies et technologies similaires que nous utilisons sont les suivants :
| Nom / Modèle | Type | Finalité | Prestataire | Conservation Approx. |
|---|---|---|---|---|
sb-* (jetons d'authentification) | Strictement nécessaires | Authentifier votre session et vous maintenir connecté | Supabase | Session / jusqu'à 1 an |
| Jetons CSRF / anti-falsification | Strictement nécessaires | Empêcher la falsification de requêtes intersites | Thetawave | Session |
cookie_consent | Strictement nécessaire | Mémoriser vos choix relatifs au bandeau de cookies | Thetawave | 1 an |
theme, locale | Fonctionnels | Mémoriser vos préférences d'interface (par exemple, mode sombre, langue) | Thetawave | 1 an |
mp_* | Analyses (opt-in lorsque requis) | Analyses produit — mesurer l'utilisation des fonctionnalités et améliorer les Services | Mixpanel | Jusqu'à 1 an |
| Balises de session Sentry | Strictement nécessaires | Associer les rapports d'erreur aux sessions pour le débogage | Sentry | Jusqu'à 30 jours |
Si nous ajoutons ou modifions des catégories importantes de cookies, nous mettrons à jour ce tableau.
6.2 Notifications Push
Si vous acceptez de recevoir des notifications push via nos applications mobiles, nous collectons et utilisons un jeton push spécifique à l'appareil (fourni par Apple Push Notification service (« APNs ») pour iOS ou Firebase Cloud Messaging (« FCM ») pour Android) uniquement pour livrer :
- Des notifications liées au service (par exemple, transcription terminée, rappel d'étude défini par vous) ;
- Des notifications liées au compte (par exemple, alertes de sécurité) ;
- Avec votre consentement supplémentaire, des notifications occasionnelles de mises à jour produit.
Vous pouvez désactiver les notifications push à tout moment via les paramètres de notification de votre appareil. La désactivation des notifications push n'affecte pas les autres parties des Services.
7. Transferts Internationaux de Données
Thetawave est basée aux États-Unis, et nos serveurs ainsi que plusieurs de nos prestataires de services sont situés aux États-Unis et dans d'autres pays. Lorsque vous utilisez les Services, vos données à caractère personnel seront transférées, stockées et traitées aux États-Unis et potentiellement dans d'autres pays, qui peuvent avoir des lois en matière de protection des données différentes de celles de votre pays de résidence.
Nous nous appuyons sur les garanties suivantes pour protéger les transferts internationaux :
- EEE / UK / Suisse : Clauses Contractuelles Types (« SCCs ») approuvées par la Commission européenne (et l'Addendum UK / les équivalents suisses) avec nos sous-traitants, complétées par le chiffrement en transit et au repos, des contrôles d'accès et (le cas échéant) des évaluations d'impact sur les transferts. Nous ne sommes pas actuellement certifiés au titre du Cadre de Protection des Données UE-États-Unis (« DPF ») ; nous nous appuyons sur les SCCs comme mécanisme principal de transfert.
- Japon : Lorsque l'APPI l'exige pour un transfert transfrontalier, nous obtenons votre consentement ou nous nous appuyons sur des garanties équivalentes (y compris des clauses contractuelles équivalentes aux SCCs avec le destinataire).
- Corée du Sud : Lorsque la PIPA l'exige pour le transfert de données à caractère personnel à l'étranger, nous fournissons les divulgations requises par l'Article 28-8 de la PIPA et obtenons votre consentement le cas échéant.
- Hong Kong, Taïwan, Canada : Nous veillons à ce que les destinataires soient liés par des obligations contractuelles conformes respectivement à la PDPO, à la PDPA et au PIPEDA.
En utilisant les Services, vous comprenez que vos informations seront transférées à l'international comme décrit ci-dessus.
8. Conservation des Données
Nous conservons les données à caractère personnel aussi longtemps que nécessaire pour fournir les Services et pour les finalités décrites dans la présente Politique, sauf si une période de conservation plus longue est requise par la loi.
| Catégorie de Données | Conservation |
|---|---|
| Informations relatives au compte | Pendant que votre compte est actif ; supprimées dans un délai de 30 jours après la suppression du compte (sauvegardes exclues) |
| Contenu Utilisateur | Pendant que votre compte est actif ; supprimé dans un délai de 30 jours après que vous avez supprimé le contenu ou votre compte |
| Sauvegardes | Conservées jusqu'à 90 jours après la suppression, puis définitivement supprimées |
| Registres de paiement et de facturation | Conservés pendant 7 ans pour respecter les obligations fiscales, comptables et d'audit |
| Communications avec le support client | Jusqu'à 3 ans après la résolution |
| Données de diagnostic / journaux | Jusqu'à 12 mois |
| Données dé-identifiées ou agrégées | Peuvent être conservées indéfiniment (impossible à relier à vous) |
Vous pouvez demander une suppression anticipée à tout moment, comme décrit à l'Article 13, sous réserve d'exceptions limitées (par exemple, lorsque la conservation est requise par la loi).
9. Sécurité des Données
Nous mettons en œuvre des garanties administratives, techniques et physiques conçues pour protéger vos informations, notamment :
- Le chiffrement en transit (TLS) et au repos ;
- Des contrôles d'accès et des principes de moindre privilège pour notre personnel ;
- Des pratiques sécurisées de développement logiciel et de revue de code ;
- Une revue de la sécurité des fournisseurs pour les sous-traitants ;
- La journalisation et la surveillance ; et
- Des procédures de réponse aux incidents.
Aucune mesure de sécurité n'est parfaite et nous ne pouvons pas garantir une sécurité absolue.
Notification de violation. Si nous prenons connaissance d'une violation de données à caractère personnel affectant vos informations, nous vous informerons, ainsi que les autorités de contrôle compétentes, comme l'exige la loi applicable, notamment :
- GDPR / UK GDPR / FADP : notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance (lorsque cela est faisable), et aux personnes concernées sans retard injustifié lorsqu'il existe un risque élevé pour leurs droits et libertés ;
- APPI Japon (Article 26) : notification à la Personal Information Protection Commission (PPC) et aux personnes concernées rapidement, selon les modalités et le calendrier requis par l'APPI ;
- PIPA Corée du Sud (Article 34) : notification aux personnes concernées sans délai et — pour les violations impliquant 1 000 personnes ou plus ou des informations sensibles — notification à la PIPC dans les 24 heures ;
- Lois des États américains : notification dans les délais et selon les procédures requises par chaque loi étatique applicable en matière de notification des violations ;
- Autres juridictions : comme l'exige la loi applicable.
10. Confidentialité des Enfants
Les Services ne sont pas destinés aux enfants de moins de 13 ans, et nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants de moins de 13 ans aux États-Unis ou de l'âge minimum du consentement numérique dans leur pays de résidence (par exemple, 14 ans en Espagne, 15 ans en France, 16 ans en Allemagne).
Si vous avez entre 13 et 17 ans (ou l'âge de la majorité dans votre juridiction), vous pouvez utiliser les Services uniquement avec la participation et le consentement d'un parent ou d'un tuteur légal.
Pour plus de détails sur la manière dont les parents peuvent fournir un consentement parental vérifiable au titre de la COPPA et des lois équivalentes (et comment le révoquer), voir l'Article 2.2 des Conditions d'Utilisation.
Si nous apprenons que nous avons collecté des données à caractère personnel d'un enfant en dessous de l'âge applicable sans consentement parental vérifié, nous les supprimerons dès que possible. Les parents qui pensent qu'un enfant a fourni des données à caractère personnel sans consentement peuvent nous contacter à contact@thetawave.ai.
Pour les écoles et les éducateurs utilisant les Services avec des élèves : vous êtes responsable de l'obtention de tous les consentements requis par la COPPA, le FERPA, le GDPR, l'APPI, la PIPA et les lois équivalentes, et de servir d'autorité compétente au titre de ces lois.
11. Vos Droits en Matière de Confidentialité — Aperçu Mondial
Selon votre lieu de résidence, vous pouvez disposer de droits incluant :
- Accès : le droit de savoir quelles données à caractère personnel nous détenons à votre sujet et d'en recevoir une copie ;
- Rectification : le droit de corriger les informations inexactes ou incomplètes ;
- Suppression (« droit à l'oubli ») : le droit de demander la suppression de vos informations ;
- Portabilité : le droit de recevoir certaines informations dans un format portable ;
- Limitation / opposition : le droit de limiter ou de vous opposer à certains traitements ;
- Retrait du consentement : le droit de retirer tout consentement que vous avez donné ;
- Opposition à la « vente » / « partage » / publicité ciblée : le droit de vous y opposer, le cas échéant ;
- Déposer une plainte auprès d'une autorité de contrôle.
Nous respectons ces droits quel que soit votre lieu de résidence, dans la mesure du raisonnablement possible. Voir l'Article 12 pour les détails spécifiques par région et l'Article 13 pour savoir comment exercer vos droits.
12. Droits et Avis Spécifiques par Région
12.1 Espace Économique Européen, Royaume-Uni et Suisse (RGPD / UK GDPR / FADP)
Si vous vous trouvez dans l'EEE, au Royaume-Uni ou en Suisse, vous disposez des droits décrits à l'Article 11 au titre, respectivement, du Règlement Général sur la Protection des Données (GDPR/RGPD), de l'UK GDPR et de la Loi fédérale suisse sur la protection des données (FADP). Vous avez également le droit de :
- Déposer une plainte auprès de votre autorité locale de contrôle de la protection des données (une liste est disponible sur https://edpb.europa.eu/about-edpb/about-edpb/members_en pour l'EEE ; l'ICO sur https://ico.org.uk/ pour le Royaume-Uni ; et le PFPDT sur https://www.edoeb.admin.ch pour la Suisse).
Les bases légales de notre traitement sont énumérées à l'Article 3.
Représentant UE (Article 27 GDPR). Sur la base de notre évaluation de la nature, du périmètre, du contexte et des finalités de notre traitement — et parce que notre traitement de données à caractère personnel de l'EEE n'est pas effectué « à grande échelle » s'agissant des catégories particulières de données au titre de l'Article 9 GDPR ou des données relatives aux condamnations pénales au titre de l'Article 10 GDPR — nous n'avons pas désigné de représentant UE au titre de l'Article 27 GDPR. Les utilisateurs de l'EEE peuvent contacter directement contact@thetawave.ai pour toute demande relative au GDPR ; nous y répondrons conformément à la loi applicable. Nous réévaluerons cette détermination au fur et à mesure de l'évolution de notre base d'utilisateurs et de nos activités de traitement.
12.2 Californie (CCPA / CPRA)
Si vous résidez en Californie, vous disposez des droits décrits par le California Consumer Privacy Act, tel que modifié par le California Privacy Rights Act (« CCPA/CPRA »).
Catégories de Données à Caractère Personnel que Nous Collectons
Au cours des 12 derniers mois, nous avons collecté les catégories suivantes de données à caractère personnel (telles que définies au Cal. Civ. Code § 1798.140) :
| Catégorie | Exemples | Collectée ? | Vendue ? | Partagée (publicité comportementale intercontextuelle) ? |
|---|---|---|---|---|
| A. Identifiants | Nom, e-mail, adresse IP, ID d'appareil, nom de compte | Oui | Non | Non |
| B. Dossiers clients | Adresse de facturation, informations de paiement | Oui | Non | Non |
| C. Classifications protégées | Âge (lorsque fourni), pays | Limité | Non | Non |
| D. Informations commerciales | Historique d'abonnement, registres de transactions | Oui | Non | Non |
| E. Informations biométriques | (Caractéristiques vocales au sein du Contenu Utilisateur audio, si téléversé) | Si vous téléversez | Non | Non |
| F. Activité Internet | Données d'utilisation, interactions avec les Services | Oui | Non | Non |
| G. Géolocalisation | Localisation approximative à partir de l'adresse IP | Oui | Non | Non |
| H. Données sensorielles | Audio, image, vidéo au sein du Contenu Utilisateur (si vous téléversez) | Si vous téléversez | Non | Non |
| I. Professionnelles/d'emploi | Non collectées | Non | — | — |
| J. Informations relatives à l'éducation | Contenu académique au sein du Contenu Utilisateur (notes, supports d'étude) | Oui | Non | Non |
| K. Inférences | Préférences et schémas d'étude dérivés de l'utilisation | Oui | Non | Non |
| L. Données à caractère personnel sensibles | Identifiants de compte ; contenu précis des communications au sein des Services | Oui | Non | Non |
Vos Droits en tant que Résident Californien
- Droit de savoir quelles données à caractère personnel nous avons collectées et comment nous les utilisons et les partageons ;
- Droit de demander la suppression, sous réserve des exceptions légales ;
- Droit de rectifier les données à caractère personnel inexactes ;
- Droit de s'opposer à la « vente » ou au « partage » — nous ne « vendons » ni ne « partageons » vos données à caractère personnel à des fins de publicité comportementale intercontextuelle au sens où ces termes sont définis par le CCPA/CPRA, mais nous respectons les signaux d'opposition (y compris le Global Privacy Control / GPC) lorsque cela est techniquement faisable ;
- Droit de limiter l'utilisation des données à caractère personnel sensibles à ce qui est nécessaire pour fournir les Services ;
- Droit à la non-discrimination pour avoir exercé vos droits.
« Shine the Light » (Cal. Civ. Code § 1798.83)
Les résidents californiens peuvent demander des informations sur la divulgation de données à caractère personnel à des tiers à des fins de marketing direct. Nous ne procédons pas à ce type de divulgation.
12.3 Autres États des États-Unis
Si vous résidez en Virginie (VCDPA), au Colorado (CPA), au Connecticut (CTDPA), en Utah (UCPA), au Texas (TDPSA), en Oregon (OCPA), au Montana (MTCDPA), en Iowa (ICDPA), au Tennessee (TIPA), au Delaware (DPDPA), au New Jersey (NJDPA), au New Hampshire (NHPA), au Maryland (MODPA), au Minnesota (MCDPA), en Indiana (INCDPA), au Nebraska (NDPA), au Rhode Island (RIDPA) ou au Kentucky (KCDPA), vous disposez de droits similaires à ceux décrits ci-dessus, notamment (selon votre État) les droits d'accès, de rectification, de suppression, de portabilité et d'opposition à la publicité ciblée, à la « vente » et à certains types de profilage. Lorsque cela est requis, vous avez le droit de faire appel de notre refus d'une demande — voir l'Article 13.
Vous pouvez également avoir le droit de désigner un agent autorisé pour formuler une demande en votre nom. Nous exigerons une vérification avant d'honorer les demandes d'agents autorisés.
12.4 Japon (個人情報保護法 / APPI)
Si vous vous trouvez au Japon, nous traitons vos données à caractère personnel conformément à la Loi sur la protection des informations personnelles (APPI).
- La finalité d'utilisation est décrite à l'Article 2. Nous n'utiliserons pas vos données à caractère personnel à des fins autres que celles-ci sans votre consentement, sauf dans les cas autorisés par l'APPI.
- Transfert transfrontalier : Comme décrit à l'Article 7, vos informations seront transférées vers les États-Unis et d'autres pays. En utilisant les Services, vous consentez à ce transfert conformément à l'Article 28 de l'APPI. Nous mettons à disposition, sur demande, des informations sur les systèmes de protection des données des pays destinataires et les garanties que nous avons mises en place.
- Vos droits : Vous avez le droit de demander la divulgation, la rectification, l'ajout, la suppression, la suspension de l'utilisation, la suspension de la fourniture à des tiers et de recevoir une copie de vos données à caractère personnel détenues par nous.
- Opérateur Économique Traitant des Informations Personnelles : Thetawave AI, Inc. est l'opérateur économique traitant vos données à caractère personnel. Contact : contact@thetawave.ai.
- Notification de violation : Comme l'exige l'Article 26 de l'APPI, nous informerons la Personal Information Protection Commission (PPC) et les personnes concernées des violations qualifiantes.
- Plaintes : Si nous ne pouvons pas résoudre votre préoccupation, vous pouvez consulter la Personal Information Protection Commission (PPC) du Japon.
12.5 Corée du Sud (개인정보 보호법 / PIPA)
Si vous vous trouvez en Corée du Sud, nous traitons vos données à caractère personnel conformément à la Personal Information Protection Act (PIPA) et aux lois connexes.
- Finalité de la collecte et de l'utilisation : comme décrit à l'Article 2.
- Éléments collectés : comme décrit à l'Article 1.
- Période de conservation : comme décrit à l'Article 8.
- Transfert transfrontalier (PIPA Art. 28-8) : Vos données à caractère personnel peuvent être transférées vers les États-Unis et d'autres pays aux prestataires d'IA, prestataires de transcription, prestataires d'hébergement et autres sous-traitants énumérés à l'Article 4. Nous obtenons votre consentement pour ce transfert lorsque cela est requis et fournissons les divulgations exigées par la PIPA.
- Vos droits : accès, rectification, suppression, suspension du traitement et retrait du consentement. Au titre de l'Article 35 de la PIPA, nous répondrons aux demandes d'accès et de rectification dans les 10 jours (prorogeables de 10 jours supplémentaires lorsque cela est raisonnablement nécessaire).
- Délégué à la protection des données / 개인정보 보호책임자 : Contact contact@thetawave.ai.
- Notification de violation (PIPA Art. 34) : Nous informerons les personnes concernées sans délai et — pour les violations impliquant 1 000 personnes ou plus ou des informations sensibles — informerons la PIPC dans les 24 heures.
- Plaintes : Vous pouvez déposer une plainte auprès de la Personal Information Protection Commission (PIPC, 개인정보보호위원회) ou de la Korea Internet & Security Agency (KISA), y compris auprès du Privacy Complaint Center (privacy.go.kr / 118).
12.6 Hong Kong (個人資料(私隱)條例 / PDPO)
Si vous vous trouvez à Hong Kong, nous traitons vos données à caractère personnel conformément à la Personal Data (Privacy) Ordinance (PDPO) et aux Six Principes de Protection des Données. Vous avez le droit de demander l'accès à vos données à caractère personnel et leur rectification. Les demandes peuvent être adressées à contact@thetawave.ai. Les plaintes peuvent être adressées à l'Office of the Privacy Commissioner for Personal Data (PCPD).
12.7 Taïwan (個人資料保護法 / PDPA)
Si vous vous trouvez à Taïwan, nous traitons vos données à caractère personnel conformément à la Personal Data Protection Act (PDPA). Vous avez le droit de vous renseigner, de demander une copie, de compléter ou de corriger, de demander que nous cessions la collecte/le traitement/l'utilisation et de demander la suppression de vos données à caractère personnel. Les demandes peuvent être adressées à contact@thetawave.ai. Lorsque cela est requis, nous obtenons votre consentement avant tout transfert international de vos données à caractère personnel.
12.8 Canada (PIPEDA)
Si vous vous trouvez au Canada, nous traitons vos données à caractère personnel conformément à la Personal Information Protection and Electronic Documents Act (PIPEDA) et aux lois provinciales applicables (par exemple, la Loi 25 du Québec). Vous disposez des droits d'accès, de rectification et de retrait du consentement. Les plaintes peuvent être déposées auprès du Commissariat à la protection de la vie privée du Canada sur https://www.priv.gc.ca/.
12.9 Autres Juridictions
Nous respectons les lois en matière de protection des données applicables à votre lieu de résidence même si elles ne sont pas spécifiquement énumérées ci-dessus. Si vous résidez dans une juridiction dont les lois sont applicables (par exemple, la LGPD du Brésil, la Privacy Act de l'Australie, la DPDP Act de l'Inde, la PDPL des Émirats Arabes Unis ou autres), veuillez contacter contact@thetawave.ai pour toute demande de droits ; nous y répondrons conformément à la loi applicable.
13. Comment Exercer Vos Droits
Pour exercer tout droit décrit ci-dessus :
- Envoyez un e-mail à contact@thetawave.ai avec pour objet « Privacy Request » ; ou
- Utilisez tout contrôle de confidentialité intégré à l'application que nous fournissons.
Pour protéger vos informations, il se peut que nous devions vérifier votre identité (généralement en confirmant le contrôle de l'adresse e-mail associée à votre compte). Si vous utilisez un agent autorisé, nous pouvons exiger une preuve d'autorisation.
Nous répondrons aux demandes vérifiables dans le délai requis par la loi applicable, notamment :
| Loi | Délai de Réponse |
|---|---|
| GDPR / UK GDPR | Un mois, prorogeable de deux mois supplémentaires pour les demandes complexes ou nombreuses |
| CCPA / CPRA | 45 jours, prorogeables de 45 jours supplémentaires lorsque cela est raisonnablement nécessaire |
| Autres lois étatiques américaines sur la confidentialité | Comme l'exige chaque loi (généralement 45 ou 60 jours) |
| PIPA Corée | 10 jours, prorogeables de 10 jours supplémentaires |
| APPI Japon | Sans retard injustifié ; nous visons à répondre sous 30 jours |
| Autres juridictions | Comme l'exige la loi applicable |
Nous ne vous discriminerons pas pour avoir exercé vos droits.
Si nous refusons une demande, nous expliquerons pourquoi et — le cas échéant — vous avez le droit de faire appel de notre décision. Pour faire appel, répondez à notre e-mail de réponse dans les 60 jours. Si votre appel est rejeté, vous pouvez vous plaindre auprès de votre autorité de contrôle de la protection des données ou du procureur général.
14. Signaux Do-Not-Track
La plupart des navigateurs proposent un signal « Do Not Track » (DNT). Comme il n'existe pas d'interprétation standardisée des signaux DNT dans le secteur, les Services ne répondent actuellement pas aux signaux DNT. Nous respectons toutefois les signaux d'opposition requis par la loi (par exemple, le Global Privacy Control / GPC lorsque cela est applicable).
15. Divulgations sur la Confidentialité des Applications Mobiles (App Store / Google Play)
En complément de la présente Politique, nous fournissons des divulgations sur la confidentialité via les mécanismes de plateforme requis par Apple et Google :
- Les étiquettes nutritionnelles de confidentialité de l'Apple App Store et le Privacy Manifest iOS (
PrivacyInfo.xcprivacy) décrivent les catégories de données que l'application iOS collecte et la manière dont elle les utilise, dans le format requis par Apple. - Le formulaire Data Safety de Google Play décrit les catégories de données que l'application Android collecte, partage, ainsi que les pratiques de sécurité que nous suivons, dans le format requis par Google.
Les divulgations contenues dans ces formulaires sont destinées à être conformes à la présente Politique. En cas de divergence involontaire entre les divulgations de plateforme et la présente Politique, la présente Politique prévaut, et nous nous efforcerons de mettre à jour les divulgations de plateforme pour les aligner.
16. Liens et Services Tiers
Les Services peuvent contenir des liens vers des sites web tiers ou des intégrations (par exemple, fournisseurs d'identité, processeurs de paiement, prestataires d'IA). La présente Politique ne s'applique pas à ces tiers. Nous vous encourageons à consulter leurs politiques de confidentialité avant de leur fournir vos informations.
17. Modifications de la Présente Politique
Nous pouvons mettre à jour la présente Politique de Confidentialité de temps à autre. La date « Dernière mise à jour » en haut reflète la version la plus récente. Si nous apportons des modifications substantielles, nous vous informerons par e-mail ou par un avis bien visible sur les Services au moins 14 jours avant la prise d'effet des modifications (ou plus tôt si la loi applicable l'exige). Les modifications substantielles affectant un sous-traitant sont également soumises aux exigences de notification de l'Article 4.1. Votre utilisation continue des Services après la date d'effet vaut acceptation.
18. Nous Contacter
Pour les questions, demandes ou plaintes en matière de confidentialité :
Thetawave AI, Inc. Attn: Privacy E-mail : contact@thetawave.ai Site web : https://thetawave.ai
Thetawave AI s'engage à protéger votre vie privée et à être transparente sur la manière dont nous traitons vos données. Si quoi que ce soit dans la présente Politique n'est pas clair, n'hésitez pas à nous contacter — nous serons heureux de vous aider.