Politique de Confidentialité

Article 1 — Responsable du traitement

Le responsable du traitement des données personnelles est :

• Raison sociale : COHESIUM AI (SASU, RCS Thonon-les-Bains, SIREN 992 658 401)
• Adresse : 888 Route de la Caille, 74350 Allonzier-la-Caille
• Site web : anniversaireenchanson.fr
• Représentant légal : M. Rénald Gesnot, Président
• TVA intracommunautaire : FR40992658401
• Contact : contact@cohesium.ai
• Hébergeur : OVH SAS, 2 rue Kellermann, 59100 Roubaix (RCS Lille Métropole 424 761 419 00045)

Article 2 — Données collectées

Dans le cadre du fonctionnement du service Anniversaire en Chanson, nous collectons les catégories de données personnelles suivantes :

• Données de compte : adresse e-mail, mot de passe (stocké sous forme hachée, jamais en clair)
• Données relatives au destinataire : prénom du destinataire de la chanson, âge, anecdotes et souvenirs partagés, thème musical choisi
• Données de commande : historique des commandes, chansons créées et achetées
• Données techniques : adresse IP, données de navigation (pages visitées, durée), type de navigateur et d'appareil

Article 3 — Finalités du traitement

Vos données personnelles sont traitées pour les finalités suivantes :

• Création de chanson personnalisée : les informations sur le destinataire (prénom, âge, anecdotes, thème musical) sont utilisées pour générer des paroles et une chanson adaptée
• Traitement du paiement : les données nécessaires au paiement sont transmises à notre prestataire Stripe pour permettre la transaction
• Envoi d'e-mails transactionnels : confirmation de commande, mise à disposition des fichiers, notifications liées au compte
• Amélioration du service : analyse anonymisée de l'utilisation du site pour améliorer l'expérience utilisateur

Article 4 — Bases légales du traitement

Chaque traitement repose sur une base légale conforme au Règlement Général sur la Protection des Données (RGPD) :

• Consentement (art. 6.1.a RGPD) : création de la chanson personnalisée, dépôt de cookies analytiques (Google Analytics)
• Exécution contractuelle (art. 6.1.b RGPD) : traitement du paiement, livraison des fichiers numériques, gestion du compte utilisateur
• Intérêt légitime (art. 6.1.f RGPD) : amélioration du service, sécurité du site, prévention de la fraude

Article 5 — Sous-traitants et destinataires des données

Vos données personnelles peuvent être transmises aux sous-traitants suivants, dans le strict cadre des finalités décrites ci-dessus :

• OpenAI (San Francisco, USA) — génération de paroles de chanson par intelligence artificielle. Un accord de traitement des données (DPA) est en place. Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.
• Stripe (Dublin, Irlande / USA) — traitement des paiements en ligne. Stripe est certifié PCI DSS niveau 1. Un DPA est en place.
• Resend (USA) — envoi d'e-mails transactionnels (confirmations de commande, notifications). Un DPA est en place.
• Google Analytics (Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Irlande) — outil d'analyse d'audience et de mesure de fréquentation du site. Les données sont traitées conformément au Data Privacy Framework (DPF) UE-USA. Le chargement de Google Analytics est conditionné à votre consentement préalable.

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.

Article 6 — Transferts de données hors Union européenne

Certains de nos sous-traitants sont situés en dehors de l'Union européenne, notamment aux États-Unis :

• OpenAI : transfert encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision d'exécution 2021/914)
• Stripe : transfert encadré par les CCT et le Data Privacy Framework (DPF) UE-USA
• Resend : transfert encadré par les CCT

Ces garanties assurent un niveau de protection des données équivalent à celui offert par le RGPD.

Article 7 — Durées de conservation

Conformément au principe de limitation de la conservation (art. 5.1.e RGPD), vos données personnelles sont conservées pour les durées suivantes :

• Données de compte : conservées tant que le compte est actif. Comptes inactifs : supprimés automatiquement après 12 mois d'inactivité. En cas de suppression volontaire du compte : effacement dans un délai de 90 jours.
• Briefs créatifs (brouillons) : les briefs non finalisés sont automatiquement supprimés après 30 jours.
• Données de commande : conservées pendant la durée légale de conservation des documents comptables (10 ans), conformément à l'article L123-22 du Code de commerce.
• Chansons et fichiers associés : conservés pendant la durée de vie du compte utilisateur. Supprimés sous 90 jours après la suppression du compte.
• Adresses IP : conservées pendant 6 mois maximum, puis anonymisées automatiquement.
• Logs techniques et de sécurité : conservés pendant 12 mois maximum.
• Données analytiques (Google Analytics) : anonymisées et conservées pendant 14 mois maximum.

À l'expiration de ces durées, les données sont supprimées ou irréversiblement anonymisées.

Article 8 — Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie
• Droit de rectification : corriger des données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation
• Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé
• Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes
• Droit à la limitation : demander la suspension du traitement dans certains cas

Pour exercer ces droits, contactez-nous par e-mail à : contact@cohesium.ai

Nous nous engageons à répondre dans un délai d'un mois conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires compte tenu de la complexité ou du nombre de demandes.

Article 9 — Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles constitue une violation du Règlement Général sur la Protection des Données (RGPD), vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

• Commission Nationale de l'Informatique et des Libertés (CNIL)
• Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22
• Site web : www.cnil.fr

Nous vous recommandons de nous contacter en premier lieu à l'adresse contact@cohesium.ai afin que nous puissions tenter de résoudre votre préoccupation avant toute saisine de la CNIL.

Article 10 — Cookies

Le site utilise les cookies suivants :

• Cookies essentiels : cookies de session et d'authentification, nécessaires au bon fonctionnement du site. Ces cookies ne requièrent pas votre consentement (base légale : intérêt légitime).
• Cookies analytiques (Google Analytics) : cookies permettant de mesurer l'audience et d'analyser le comportement des utilisateurs afin d'améliorer le service. Ces cookies ne sont déposés qu'après votre consentement explicite, recueilli via la bannière de consentement affichée lors de votre première visite.

Vous pouvez modifier votre choix à tout moment en supprimant le cookie cookie_consent de votre navigateur ou en utilisant les paramètres de votre navigateur.

Article 11 — Données de tiers (destinataire de la chanson)

Pour créer une chanson personnalisée, nous collectons des informations sur le destinataire de la chanson : prénom, âge et anecdotes ou souvenirs. Ces données sont fournies par l'utilisateur du service (le commanditaire de la chanson) et non par le destinataire lui-même.

En fournissant ces informations, l'utilisateur déclare et garantit qu'il dispose du droit de partager ces données et que leur communication ne porte pas atteinte aux droits du destinataire. L'utilisateur assume l'entière responsabilité du contenu des anecdotes et informations transmises.

Le destinataire de la chanson peut exercer ses droits (accès, rectification, suppression) en contactant : contact@cohesium.ai

Article 12 — Protection des mineurs

Le service Anniversaire en Chanson est destiné aux personnes majeures (18 ans et plus). Un mineur ne peut pas créer de compte ni passer commande sur le site.

Lorsqu'une chanson est créée pour un destinataire mineur, les données le concernant (prénom, âge, anecdotes) sont collectées et traitées sous la responsabilité exclusive de l'utilisateur adulte qui passe la commande. Cet utilisateur garantit disposer de l'autorité parentale ou de l'autorisation nécessaire pour fournir ces informations.

Article 13 — Sécurité des données

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, modification, divulgation ou destruction :

• Chiffrement des communications (HTTPS/TLS)
• Hachage des mots de passe (bcrypt)
• Accès restreint aux données par le personnel autorisé
• Hébergement sécurisé avec sauvegardes régulières

Article 14 — Intelligence artificielle et AI Act

Le service Anniversaire en Chanson utilise des systèmes d'intelligence artificielle générative pour créer les chansons personnalisées. Conformément à l'article 50 du Règlement (UE) 2024/1689 relatif à l'intelligence artificielle (AI Act), applicable à compter d'août 2026, nous vous informons que :

• Les paroles de chaque chanson sont générées par intelligence artificielle (modèle de langage OpenAI GPT-4o) à partir des informations que vous fournissez dans le brief créatif (prénom, âge, anecdotes, thème musical).
• La composition musicale (mélodie, arrangement, voix) est générée par intelligence artificielle via un prestataire de composition musicale automatisée.
• Le contenu livré (paroles, audio, vidéo karaoké) est intégralement généré par des systèmes d'IA et ne résulte pas d'une création humaine directe.

Aucune décision automatisée au sens de l'article 22 du RGPD n'est prise à votre encontre sur la base de ce traitement. La génération par IA ne produit aucun effet juridique ni aucune conséquence significative sur les personnes concernées.

Les données transmises aux systèmes d'IA sont strictement limitées aux informations nécessaires à la création de la chanson (principe de minimisation). Aucune adresse e-mail, donnée de paiement ou donnée technique n'est communiquée aux prestataires d'IA.

Article 15 — Modification de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. Toute modification sera publiée sur cette page avec une date de mise à jour actualisée. En cas de modification substantielle, nous vous en informerons par e-mail ou par une notification sur le site.

Article 16 — Contact

Pour toute question relative à la protection de vos données personnelles ou à la présente politique, vous pouvez nous contacter :

• Par e-mail : contact@cohesium.ai
• Par courrier : COHESIUM AI (SASU, RCS Thonon-les-Bains, SIREN 992 658 401) — 888 Route de la Caille, 74350 Allonzier-la-Caille