Politique de confidentialité

Staffbooking SAS, capital 100 €, SIREN 990 836 264, siège social : 100 rue des Couronnes, 75020 Paris, France — contact@aurumia.fr.

Aucun Délégué à la Protection des Données (DPO) n'est formellement désigné à ce jour. Un référent protection des données est joignable à : privacy@aurumia.fr.

• Identité et compte : prénom, email, mot de passe (haché), date de naissance.
• Données déclarées : type de peau, préoccupations, objectifs, marques préférées, routines.
• Photos de peau / visage : téléversées par l'Utilisateur pour analyse par IA.
• Données techniques : modèle d'appareil, OS, logs d'utilisation, adresse IP.
• Données de paiement : gérées exclusivement par Apple / Google — non stockées par nous.

• Fourniture du service d'analyse et de recommandation : exécution du contrat (art. 6.1.b RGPD).
• Analyse IA des photos : consentement explicite (art. 9.2.a RGPD — données pouvant être considérées comme biométriques/sensibles).
• Amélioration du service, statistiques anonymisées : intérêt légitime (art. 6.1.f).
• Communications marketing : consentement, révocable à tout moment.
• Obligations légales (comptabilité, demandes des autorités) : art. 6.1.c.

Pour les traitements fondés sur l'intérêt légitime, vous disposez d'un droit d'opposition à tout moment (art. 21 RGPD). Pour l'exercer : privacy@aurumia.fr. Nous cesserons le traitement sauf si nous démontrons des motifs légitimes impérieux prévalant sur vos intérêts.

• Compte actif : pendant toute la durée d'utilisation.
• Après suppression du compte : suppression sous 30 jours, sauf obligations légales (factures : 10 ans).
• Photos de visage : conservées le temps du compte actif, supprimées dans les 30 jours suivant la fermeture du compte ou sur demande.
• Logs : 12 mois maximum.

Vos données sont traitées par des sous-traitants strictement encadrés :

• Supabase Inc. (hébergement base de données, authentification, stockage des photos et envoi des emails d'authentification) — UE / USA, Clauses Contractuelles Types.
• Anthropic, PBC (analyse IA des photos et génération de recommandations, via l'API Claude) — USA, Clauses Contractuelles Types.
• Brevo (Sendinblue SAS) (envoi des emails transactionnels et de notification) — France / UE.
• Apple Inc. et Google LLC (paiement et distribution via App Store et Google Play).

Certains de nos sous-traitants sont établis hors de l'Union Européenne :

• Supabase Inc. (Singapour) : les transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne.
• Anthropic PBC (États-Unis) : les transferts sont encadrés par des Clauses Contractuelles Types (CCT) conformément à l'article 46 du RGPD.

Ces garanties assurent un niveau de protection équivalent à celui offert au sein de l'UE.

Nature des données. Dans le cadre de la fonctionnalité d'analyse cutanée, Aurumia traite des photographies de votre peau. Ces données constituent des données biométriques relevant de la catégorie des données sensibles au sens de l'article 9 du Règlement Général sur la Protection des Données (RGPD).

Base légale. Le traitement de vos photographies est fondé exclusivement sur votre consentement explicite, recueilli dans l'application avant tout traitement (Art. 9 §2 a) du RGPD). Ce consentement est libre, spécifique, éclairé et univoque.

Finalité. Vos photographies sont transmises à un modèle d'intelligence artificielle dans le seul but d'analyser l'état de votre peau et de générer des recommandations personnalisées de soins. Elles ne sont pas utilisées à des fins publicitaires, de profilage commercial, ni partagées avec des tiers à d'autres fins.

Retrait du consentement. Vous pouvez retirer votre consentement à tout moment depuis les paramètres de l'application Aurumia (section « Confidentialité »). Le retrait du consentement ne remet pas en cause la licéité des traitements effectués avant ce retrait.

Durée de conservation. Les analyses générées (score, observations, recommandations) sont conservées dans votre historique personnel pendant 12 mois, puis supprimées automatiquement. Vos photographies ne sont pas stockées sur nos serveurs après traitement.

Sous-traitant IA. Le traitement des photographies fait intervenir Anthropic (États-Unis) en qualité de sous-traitant. Des garanties appropriées encadrent ce transfert hors UE conformément au chapitre V du RGPD (clauses contractuelles types).

Exercice de vos droits. Pour toute demande d'accès, de rectification, d'effacement ou de limitation relative à vos données biométriques, contactez-nous à : contact@aurumia.fr.

Vous disposez à tout moment des droits suivants :

• accès, rectification, effacement, limitation, opposition, portabilité ;
• retrait du consentement ;
• définition de directives sur le sort de vos données après votre décès ;
• réclamation auprès de la CNIL (www.cnil.fr).

Exercice : privacy@aurumia.fr — réponse sous 1 mois.

Vous avez également le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr — si vous estimez que le traitement de vos données personnelles n'est pas conforme au RGPD.

En raison du traitement de photos pouvant contenir des données à caractère biométrique, le service est strictement réservé aux personnes majeures (18 ans et plus). Aucune inscription de mineur n'est acceptée, même avec consentement parental.

Staffbooking SAS met en œuvre les mesures techniques et organisationnelles adaptées au regard des risques, parmi lesquelles :

• chiffrement des communications en transit (HTTPS / TLS) ;
• chiffrement des données au repos par l'hébergeur Supabase ;
• mots de passe stockés sous forme hachée (jamais en clair) ;
• contrôle d'accès restreint au personnel habilité ;
• sauvegardes régulières.

Aucun système n'étant infaillible, en cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, la CNIL sera notifiée dans un délai de 72 heures, et vous serez informé conformément aux articles 33 et 34 RGPD.

Compte tenu de la nature des données traitées (photos de visage pouvant être qualifiées de biométriques) et de l'usage de l'IA, Staffbooking SAS réalisera une Analyse d'Impact relative à la Protection des Données (AIPD) avant l'ouverture commerciale du service, conformément à l'article 35 RGPD. Une fois finalisée, elle pourra être communiquée sur demande motivée à privacy@aurumia.fr.

Les photos de votre visage peuvent contenir des données pouvant être qualifiées de biométriques. Elles ne sont jamais utilisées pour vous identifier, ni partagées avec des tiers à des fins commerciales. Elles sont supprimées à votre demande.

Note sur les photos de visage : les photos que vous soumettez sont analysées par notre IA à des fins esthétiques uniquement (type de peau, carnation). Elles ne sont pas utilisées à des fins d'identification biométrique. Votre consentement explicite est recueilli lors de la première utilisation de la fonctionnalité d'analyse.

Toute modification substantielle vous sera notifiée par email ou via l'Application.

Contact : privacy@aurumia.fr