legal.back

Politique de Confidentialité

Dernière mise à jour : 20 mars 2026

Sommaire

  1. Responsable du traitement et champ territorial
  2. Délégué à la Protection des Données
  3. Quelles données recueillons-nous
  4. Pour quelles fins utilisons-nous tes données
  5. Base juridique du traitement
  6. Destinataires des données
  7. Transferts internationaux de données
  8. Délai de conservation des données
  9. Tes droits
  10. Données des mineurs
  11. Données spécialement sensibles et catégories spéciales
  12. Décisions automatisées, profilage et intelligence artificielle
  13. Principes du traitement et évaluation d'impact
  14. Mesures de sécurité techniques et organisationnelles
  15. Politique de cookies et stockage local
  16. Liens vers des tiers
  17. Information spécifique par juridiction
  18. Modifications de cette politique
  19. Législation applicable et juridiction
  20. Contact

1. Responsable du traitement et champ territorial

Le responsable du traitement de tes données personnelles est :

  • Dénomination sociale : Bilbao AI S.L.
  • CIF : B-13759758
  • Siège social : Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Espagne
  • Adresse email : info@afini.ai
  • Sites web : https://test.afini.ai · https://afini.ai

Bilbao AI S.L. (ci-après, « Afini », « nous » ou « les Plateformes ») est titulaire et responsable des services d'évaluation de la personnalité et de profil cognitif accessibles via ces sites web.

Champ territorial : Afini offre ses services à des utilisateurs du monde entier. Cette Politique de Confidentialité a été conçue pour se conformer à la réglementation en matière de protection des données applicable dans chaque juridiction où nous opérons, incluant — sans limitation — l'Union Européenne, l'Espace Économique Européen, le Royaume-Uni, les États-Unis d'Amérique, le Canada, le Brésil, l'Australie et le Japon. En cas de conflit entre dispositions de différentes juridictions, la règle offrant un niveau de protection plus élevé à l'utilisateur s'appliquera.

2. Délégué à la Protection des Données

Compte tenu de la taille de l'organisation et de la nature des données traitées, Afini n'est pas obligée de désigner un Délégué à la Protection des Données (DPD/DPO) conformément à l'article 37 du RGPD. Néanmoins, tu peux adresser toute question liée à la protection de tes données personnelles à : info@afini.ai.

3. Quelles données recueillons-nous

Nous recueillons et traitons les catégories suivantes de données personnelles, selon le service utilisé et le moment de l'interaction :

3.1. Données fournies lors de l'achat ou du lancement d'un test (test.afini.ai)

  • Nom ou pseudonyme
  • Adresse email
  • Âge (optionnel)
  • Sexe biologique (optionnel, pour l'étalonnage normatif)
  • Genre (optionnel)
  • Pays de résidence (optionnel)
  • Préférence de pronoms (optionnel)

3.2. Données fournies lors de l'inscription (afini.ai)

  • Adresse email valide (obligatoire, pour l'authentification via lien magique)
  • Nom ou pseudonyme (obligatoire)
  • Données démographiques d'étalonnage (âge, sexe biologique, pays — optionnels, pour la précision normative)

3.3. Données générées lors de la réalisation d'évaluations

  • Réponses individuelles à chaque item des questionnaires (échelle Likert 1-5)
  • Horodatage du début et de la fin de chaque évaluation
  • Version et type d'évaluation réalisée

3.4. Données de résultat et de profil cognitif

  • Scores des 5 grands traits de personnalité (Ouverture, Conscienciosité, Extraversion, Amabilité, Stabilité Émotionnelle)
  • Scores des 30 facettes de personnalité (dans les versions Avancée et Complète)
  • Scores des instruments supplémentaires sur afini.ai (échelles d'attachement, styles d'humour, et autres selon l'évolution du service)
  • Profil cognitif compilé (structure JSON qui intègre les scores de tous les calques évalués)
  • System prompt compilé (version textuelle du profil utilisée pour l'injection dans le modèle d'IA)
  • Rapport de personnalité narratif généré par IA

3.5. Données d'interaction avec l'IA (afini.ai)

  • Contenu des conversations avec le modèle d'IA (messages de l'utilisateur et réponses du système)
  • Comptabilité d'utilisation : nombre de tokens de sortie consommés par mois (donnée technique pour le contrôle de quota du plan). Les tokens d'entrée ne comptent pas aux fins de limite mensuelle
  • Nombre de requêtes quotidiennes au service d'IA
Important : Afini conserve le contenu des conversations avec l'IA pendant un maximum de 90 jours après l'extraction du profil cognitif, afin de permettre la recalibration avec des modèles améliorés. Passé ce délai, les transcriptions sont automatiquement supprimées. L'utilisateur peut demander la suppression immédiate de ses transcriptions à tout moment depuis son tableau de bord. Les conversations ne sont pas utilisées pour entraîner des modèles d'IA ni partagées avec le fournisseur du modèle (Anthropic) à des fins de formation.

3.6. Données de paiement

Afini N'emmagasine, ne traite et n'a accès à aucun moment aux données de ta carte de crédit ou débit, numéro de compte bancaire ou toute autre donnée financière.

Les paiements sont gérés entièrement par Stripe, Inc., qui agit en tant que processeur de paiement indépendant et est responsable du traitement des données financières conformément à sa propre Politique de Confidentialité et à la réglementation PCI-DSS.

Afini reçoit uniquement de Stripe une confirmation de paiement réussi (état de la transaction et identifiant de session Stripe). Nous ne recevons pas les données de la carte ni du moyen de paiement.

3.7. Données techniques que nous NE recueillons PAS

Afini NE stocke PAS de manière persistante :

  • L'adresse IP de l'utilisateur (traitée de manière transitoire en mémoire pour le rate limiting, sans persistance en base de données)
  • L'empreinte digitale du navigateur (browser fingerprint)
  • Les données de géolocalisation précise
  • Les identifiants d'appareil
  • Les données de navigation ou l'historique des pages visitées à l'intérieur ou à l'extérieur des Plateformes
  • Les cookies de suivi, d'analytique ou publicitaires

4. Pour quelles fins utilisons-nous tes données

Nous traitons tes données personnelles exclusivement pour les finalités suivantes :

FinalitéDonnées utiliséesBase juridique
---------------------------------------------
Générer ton profil de personnalité Big FiveRéponses au test, version du testExécution du contrat
Générer et t'envoyer ton rapport de résultatsNom, email, scoresExécution du contrat
Te permettre d'accéder à tes résultats via un lien personnelEmail, token de sessionExécution du contrat
Traiter le paiement du service (via Stripe)Confirmation de paiementExécution du contrat
Échanger un code d'invitation (voucher)Code du voucher, nom, emailExécution du contrat
Compiler ton profil cognitif multicouche (afini.ai)Scores de toutes les évaluations réaliséesExécution du contrat
Injecter ton profil dans le modèle d'IA pour personnaliser l'interaction (afini.ai)Profil cognitif compiléExécution du contrat + Consentement
Comptabiliser l'utilisation du service d'IA pour le contrôle de quota (afini.ai)Tokens consommés, requêtes quotidiennesExécution du contrat
Gérer ton abonnement (afini.ai)Email, plan, état de l'abonnementExécution du contrat
T'authentifier via lien magique (afini.ai)EmailExécution du contrat
Répondre à tes questions ou demandesEmail, nomIntérêt légitime
Respecter les obligations légales et fiscalesDonnées de facturationObligation légale

Ce que nous NE faisons PAS avec tes données :

  • Nous NE vendons PAS tes données à des tiers. Jamais. Sous aucune circonstance.
  • Nous NE partageons PAS ton profil de personnalité, tes réponses, tes résultats ni ton profil cognitif avec des tiers.
  • Nous NE réalisons PAS de profilage publicitaire ni de segmentation commerciale basée sur ta personnalité.
  • Nous N'utilisons PAS tes données pour t'envoyer de la publicité, des newsletters ou des communications commerciales non sollicitées.
  • Nous NE créons PAS de profils de comportement basés sur ta navigation.
  • Nous NE cédons PAS tes données à des réseaux publicitaires, data brokers ou plateformes de marketing.
  • Nous N'utilisons PAS tes données pour entraîner des modèles d'intelligence artificielle ni pour la recherche sans ton consentement explicite et indépendant.
  • Nous NE partageons PAS le contenu de tes conversations avec l'IA avec le fournisseur du modèle ni avec aucun tiers.

5. Base juridique du traitement

Le traitement de tes données se fonde sur les bases juridiques suivantes conformément à l'article 6.1 du RGPD :

a) Exécution d'un contrat (art. 6.1.b RGPD) : Le traitement est nécessaire pour la prestation du service que tu as souscrit : la réalisation d'évaluations de personnalité, la génération de rapports, la compilation du profil cognitif et l'interaction personnalisée avec l'IA. L'achat du test, l'échange d'un code d'invitation (voucher) ou la souscription d'un abonnement constituent l'acceptation du service. b) Consentement (art. 6.1.a RGPD) : Pour les données démographiques optionnelles (âge, genre, pays), la base juridique est ton consentement libre, spécifique, informé et sans équivoque, manifesté en les fournissant volontairement. L'injection du profil cognitif dans le modèle d'IA nécessite en outre ton consentement explicite, qui est demandé de manière séparée lors de l'activation du service d'interaction avec l'IA. Tu peux révoquer ce consentement à tout moment en écrivant à info@afini.ai, sans que cela n'affecte la licéité du traitement basé sur le consentement préalable à son retrait. c) Intérêt légitime (art. 6.1.f RGPD) : Pour la prise en charge des questions et demandes que tu nous envoies par email, basée sur notre intérêt légitime à maintenir une communication appropriée avec les utilisateurs de notre service. d) Obligation légale (art. 6.1.c RGPD) : Pour le respect des obligations fiscales et comptables conformément à la législation espagnole en vigueur (Loi Générale Tributaire, Code de Commerce).

6. Destinataires des données

Tes données personnelles peuvent être communiquées aux destinataires suivants, exclusivement dans la mesure nécessaire pour les finalités décrites :

DestinataireFinalitéLocalisationGaranties
------------------------------------------------
Stripe, Inc.Traitement des paiementsÉtats-Unis / UEEU-U.S. Data Privacy Framework (DPF), clauses contractuelles normalisées
Railway Corp.Alojamiento de la API y base de datos PostgreSQLÉtats-Unis / UEClauses contractuelles normalisées, mesures techniques supplémentaires
Cloudflare, Inc.Hébergement et distribution du site web frontend (Cloudflare Workers)États-Unis / Réseau globalEU-U.S. Data Privacy Framework (DPF), clauses contractuelles normalisées
Anthropic PBCFournisseur du modèle d'IA (LLM) pour la génération de rapports et l'interaction personnaliséeÉtats-UnisEU-U.S. Data Privacy Framework (DPF), clauses contractuelles normalisées, Anthropic Usage Policy (données non utilisées pour l'entraînement)
Resend, Inc.Envoi d'emails transactionnelsÉtats-UnisClauses contractuelles normalisées
Traitement par Anthropic : Quand le modèle d'IA traite ton profil cognitif ou génère un rapport, le contenu est envoyé aux serveurs d'Anthropic pour le traitement en temps réel. Anthropic ne conserve PAS le contenu des requêtes d'API pour l'entraînement de ses modèles quand l'API commerciale est utilisée (conforme à sa Usage Policy). Le profil est envoyé à chaque requête et est supprimé par Anthropic après la génération de la réponse. Nous ne partageons pas tes données avec aucun autre tiers. Nous n'employons pas de services d'analytique web (comme Google Analytics), n'utilisons pas de réseaux publicitaires, n'intégrons pas de SDKs de suivi et ne cédons des données à aucun autre fournisseur de services, entreprise du groupe ou partenaire commercial.

En cas de demande d'une autorité administrative ou judiciaire pour la communication de données conformément à la législation en vigueur, nous le ferons exclusivement dans le cadre légal applicable.

7. Transferts internationaux de données

Certains de nos fournisseurs de services peuvent traiter des données en dehors de l'Espace Économique Européen (EEE). Dans tous les cas, nous garantissons que ces transferts disposent de garanties adéquates conformément au Chapitre V du RGPD :

  • Stripe, Inc. (États-Unis) : Adhérent au EU-U.S. Data Privacy Framework (DPF), décision d'adéquation de la Commission Européenne du 10 juillet 2023. En outre, Stripe applique les clauses contractuelles normalisées (CCN) approuvées par la Commission Européenne.
  • Railway Corp. (États-Unis) : Transferts couverts par les clauses contractuelles normalisées (CCN) conformément à la Décision d'Exécution 2021/914 de la Commission Européenne, complétées par des mesures techniques additionnelles (chiffrement en transit et au repos).
  • Cloudflare, Inc. (États-Unis / réseau global) : Adhérent au EU-U.S. Data Privacy Framework (DPF). En outre, Cloudflare applique les clauses contractuelles normalisées (CCN) et les mesures techniques supplémentaires.
  • Anthropic PBC (États-Unis) : Adhérent au EU-U.S. Data Privacy Framework (DPF). Les données envoyées à l'API commerciale d'Anthropic sont traitées en temps réel et ne sont pas conservées pour l'entraînement. Garanties supplémentaires : chiffrement en transit (TLS 1.3), traitement sans persistance des données de requêtes API.
  • Resend, Inc. (États-Unis) : Transferts couverts par les clauses contractuelles normalisées (CCN).

Afini a réalisé une Évaluation d'Impact des Transferts (Transfer Impact Assessment — TIA) conformément à la jurisprudence de la Cour de Justice de l'UE (affaire C-311/18, Schrems II) pour chacun des transferts décrits, concluant que les garanties contractuelles et techniques mises en œuvre assurent un niveau de protection substantiellement équivalent à celui garanti par le RGPD. Ces évaluations sont examinées périodiquement et sont disponibles pour l'autorité de contrôle sur demande.

En aucun cas, les données ne sont transférées vers des pays qui manquent d'un niveau adéquat de protection sans les garanties exigées par le RGPD.

Pour les utilisateurs du Royaume-Uni : Les transferts de données en dehors du Royaume-Uni sont couverts par le UK International Data Transfer Agreement (IDTA) et/ou l'Addendum du Royaume-Uni aux CCN de l'UE, conformément à ce qui est prévu par l'Information Commissioner's Office (ICO). Le Royaume-Uni reconnaît l'Extension du EU-U.S. Data Privacy Framework comme base pour les transferts vers les États-Unis. Pour les utilisateurs du Canada : Les transferts de données en dehors du Canada sont effectués conformément aux principes de PIPEDA (Section 4.1.3), en s'assurant que les fournisseurs de services offrent un niveau de protection comparable via des accords contractuels contraignants. Pour les utilisateurs du Brésil : Les transferts internationaux sont couverts par les garanties de l'article 33 de la LGPD, incluant les clauses contractuelles spécifiques et le respect des normes de protection adéquates certifiées par la ANPD.

8. Délai de conservation des données

Nous conservons tes données selon les délais suivants :

Type de donnéeDélai de conservationMotif
--------------------------------------------
Réponses individuelles au test (test.afini.ai)Supprimées du serveur une fois le rapport de résultats généré. Ne sont pas emmagasinées de manière permanente.Minimisation des données
Réponses aux évaluations (afini.ai)Conservées tant que le compte de l'utilisateur est actif, pour permettre le recalibrage du profil. Suppression sur demande.Exécution du contrat
Scores et résultats agrégésTant que tu maintiens ton lien d'accès actif (test.afini.ai) ou ton compte actif (afini.ai). Tu peux demander leur suppression à tout moment.Exécution du contrat
Profil cognitif compilé (afini.ai)Tant que le compte de l'utilisateur est actif. Suppression après 90 jours depuis l'annulation du compte.Exécution du contrat
System prompt compilé (afini.ai)Identique au profil cognitif.Exécution du contrat
Contenu des conversations avec l'IA (afini.ai)Maximum 90 jours après l'extraction du profil cognitif, pour recalibration avec des modèles améliorés. Suppression immédiate disponible sur demande de l'utilisateur. Suppression automatique après 90 jours.Consentement + minimisation des données
Comptabilité des tokens (afini.ai)12 mois à partir de l'inscription, renouvelables par période d'abonnement.Exécution du contrat
Rapport de personnalitéTant que tu maintiens ton lien d'accès actif ou ton compte actif.Exécution du contrat
Nom et adresse emailMaximum 12 mois depuis la réalisation du test (test.afini.ai) ou depuis l'annulation du compte (afini.ai), sauf si tu demandes sa suppression plus tôt.Exécution du contrat
Données de facturation / confirmation de paiement5 ans à partir de la date de la transaction.Obligation légale (art. 30 Code de Commerce ; art. 70 Loi Générale Tributaire)
Données de voucher / invitation12 mois depuis son échange ou expiration.Intérêt légitime (audit et contrôle)

Après l'expiration des délais indiqués, les données seront supprimées de manière sécurisée ou rendues anonymes de façon irréversible.

Principe de minimisation : Nous conservons seulement les données strictement nécessaires pour chaque finalité et pendant le délai minimum imprescindible. Suppression anticipée : Indépendamment des délais antérieurs, tu peux demander la suppression de n'importe laquelle de tes données à tout moment en écrivant à info@afini.ai, sans besoin d'attendre l'expiration des délais indiqués. Nous traiterons ta demande dans un délai maximum d'un mois. Suppression de compte (afini.ai) : Lors de la demande de suppression de ton compte, seront supprimés : ton profil cognitif, le system prompt compilé, les scores de toutes les évaluations et tes données d'identification. Les données de facturation seront conservées pendant la période légalement obligatoire (5 ans).

9. Tes droits

Conformément au RGPD (articles 15 à 22) et à la LOPDGDD (articles 12 à 18), tu bénéficies des droits suivants :

a) Droit d'accès (art. 15 RGPD) : Obtenir une confirmation si nous traitons tes données et, le cas échéant, y accéder et obtenir les informations sur le traitement. b) Droit de rectification (art. 16 RGPD) : Demander la correction des données personnelles inexactes ou incomplètes. c) Droit à l'oubli ("droit à l'effacement") (art. 17 RGPD) : Demander la suppression de tes données quand, entre autres cas, elles ne sont plus nécessaires pour la finalité pour laquelle elles ont été collectées, tu retires ton consentement, ou les données ont été traitées illicitement. d) Droit à la limitation du traitement (art. 18 RGPD) : Demander la limitation du traitement de tes données dans certaines circonstances (par exemple, tant que l'exactitude des données ou la licéité du traitement est vérifiée). e) Droit à la portabilité (art. 20 RGPD) : Recevoir tes données personnelles dans un format structuré, d'usage commun et lisible par machine (JSON ou CSV), et les transmettre à un autre responsable de traitement. Dans le cas d'afini.ai, ce droit inclut la possibilité d'obtenir ton profil cognitif au format JSON portable. f) Droit d'opposition (art. 21 RGPD) : T'opposer au traitement de tes données pour des raisons liées à ta situation particulière, quand le traitement se fonde sur l'intérêt légitime. g) Droit à ne pas être soumis à des décisions individuelles automatisées (art. 22 RGPD) : Ne pas être soumis à une décision basée uniquement sur le traitement automatisé, incluant le profilage, qui produise des effets juridiques ou t'affecte significativement. h) Droit de retirer le consentement pour l'injection du profil dans l'IA (spécifique à afini.ai) : Tu peux demander à tout moment que ton profil cognitif cesse d'être injecté dans le modèle d'IA, en maintenant l'accès au reste des fonctionnalités de ton compte.

Comment exercer tes droits :

  • Envoie un email à info@afini.ai indiquant le droit que tu souhaites exercer, accompagné d'une copie de ton CNI, passeport ou tout autre document prouvant ton identité.
  • Nous répondrons à ta demande dans un délai maximum d'un mois à partir de sa réception (extensible à deux mois dans les cas d'une complexité particulière, conformément à l'art. 12.3 RGPD).
  • L'exercice de ces droits est gratuit, sauf si les demandes sont manifestement infondées ou excessives (art. 12.5 RGPD).

Droit de recours auprès de l'autorité de contrôle :

Si tu considères que le traitement de tes données viole la réglementation en matière de protection des données, tu as le droit de présenter une plainte auprès de l'autorité de contrôle compétente de ton pays de résidence :

  • Espagne — AEPD (Agencia Española de Protección de Datos) : www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tél. : 901 100 099 / 912 663 517
  • Royaume-Uni — ICO (Information Commissioner's Office) : ico.org.uk
  • Union Européenne — Autres APD : Consulte l'autorité de ton État membre sur edpb.europa.eu
  • Brésil — ANPD : www.gov.br/anpd
  • Canada — OPC : www.priv.gc.ca
  • Australie — OAIC : www.oaic.gov.au
  • États-Unis — FTC : www.ftc.gov
  • Japon — PPC : www.ppc.go.jp

Pour toute autre juridiction, contacte-nous à info@afini.ai et nous t'indiquerons l'autorité compétente correspondante.

10. Données des mineurs

Le service d'Afini n'est pas destiné aux mineurs de 16 ans. Nous ne collectons pas intentionnellement les données des mineurs de 16 ans. Si tu es un mineur de 16 ans, n'utilise pas ce service ni ne nous fournis de données personnelles.

Si tu es parent, mère ou tuteur légal et que tu as connaissance qu'un mineur de 16 ans sous ta responsabilité a fourni des données personnelles à Afini, contacte-nous à info@afini.ai et nous procèderons à la suppression immédiate de ces données.

La limite de 16 ans est établie conformément à l'article 7 de la LOPDGDD, qui fixe 14 ans comme âge minimum pour donner le consentement en Espagne. Cependant, compte tenu de la nature spécialement sensible des données de personnalité, Afini applique un seuil de protection renforcée de 16 ans.

Note sur les seuils internationaux : Différentes juridictions établissent des âges minimums différents pour le consentement numérique (13 ans aux États-Unis en vertu de la COPPA, 13 ans au Canada en vertu de la PIPEDA, 16 ans aux Pays-Bas et en Allemagne, 15 ans en France, 14 ans en Autriche et Italie, etc.). Afini applique uniformément le seuil de 16 ans pour toutes les juridictions, garantissant ainsi le niveau maximal de protection quel que soit l'emplacement de l'utilisateur.

11. Données spécialement sensibles et catégories spéciales

Les données dérivées d'évaluations de personnalité et du profil cognitif, selon leur interprétation et contexte, pourraient s'approcher de la catégorie de données relatives à la santé psychologique ou au profil psychologique, catégories qui jouissent d'une protection renforcée en vertu de l'article 9 du RGPD.

Afini adopte une approche de prudence maximale :

  • Nous traitons les résultats des évaluations de personnalité et le profil cognitif compilé avec un niveau de protection équivalent à celui des catégories spéciales de données, indépendamment de s'ils se qualifient techniquement comme tels.
  • Les résultats de tes évaluations et ton profil cognitif sont strictement privés : seulement toi as accès à eux via ton lien personnel ou ton compte d'utilisateur.
  • Nous ne partageons, ne vendons, ne cédons, et ne mettons à disposition de tiers tes résultats de personnalité ni ton profil cognitif sous aucune circonstance.
  • Nous n'utilisons pas les résultats ni le profil pour prendre des décisions qui t'affectent (professionnelles, assurantielles, creditiches ou de quelque nature que ce soit).
  • Nous n'agrégeons, ni n'anonymisons les données de personnalité pour créer des études, statistiques ou produits dérivés sans consentement explicite et indépendant de l'utilisateur.
  • Le profil cognitif injecté dans le modèle d'IA est utilisé exclusivement pour personnaliser l'interaction de l'utilisateur lui-même, jamais pour le classifier, le segmenter ni prendre des décisions automatisées qui l'affectent.

12. Décisions automatisées, profilage et intelligence artificielle

12.1. Élaboration du profil de personnalité

Le service d'Afini génère les profils de personnalité de manière automatisée à partir de tes réponses aux questionnaires psychométriques. Ces profils se basent sur des modèles scientifiques validés (Big Five, théorie de l'attachement, styles d'humour, etc.) et sont calculés via des algorithmes de scoring statistique standardisés et publiquement documentés.

12.2. Profil cognitif compilé et injection dans l'IA (afini.ai)

Sur la plateforme afini.ai, les résultats de toutes les évaluations sont compilés dans un profil cognitif structuré (format JSON). Ce profil devient un system prompt (instructions de contexte) qui est injecté dans chaque conversation avec le modèle d'IA pour personnaliser l'interaction.

Transparence sur le fonctionnement :
  • Tu connais à tout moment les dimensions qui composent ton profil (traits, facettes, échelles d'attachement, styles d'humour, etc.) et son niveau de complétude.
  • Le profil est injecté comme contexte du système dans le modèle d'IA, avec des techniques de cache (prompt caching) activées pour optimiser l'utilisation des tokens et réduire le coût de l'interaction.
  • Le modèle d'IA reçoit les instructions de personnalisation mais ne conserve PAS le profil entre les sessions.
  • Tu peux consulter, télécharger et demander la suppression de ton profil à tout moment.

12.3. Champ de la décision automatisée

  • Les profils générés ont une finalité exclusivement informative et d'auto-connaissance. Ils ne sont pas utilisés pour prendre aucune décision produisant des effets juridiques sur toi ni t'affectant significativement d'une manière similaire.
  • Les profils ne sont PAS utilisés pour : la sélection du personnel, l'évaluation du crédit, la détermination des primes d'assurance, l'accès aux services, ni aucun autre processus de prise de décision qui puisse t'affecter dans tes droits ou intérêts.
  • Il n'existe aucun système de scoring, classification, ranking ni catégorisation d'utilisateurs au-delà de la génération du profil individuel d'auto-connaissance.

12.4. Tes droits concernant les décisions automatisées et l'utilisation de l'IA

Conformément à l'article 22 du RGPD, tu as le droit à :

  • Obtenir l'intervention humaine pour l'examen de ton profil.
  • Exprimer ton point de vue sur les résultats.
  • Contester les résultats du profil généré.
  • Demander que ton profil ne soit pas injecté dans le modèle d'IA (en maintenant l'accès au reste des fonctionnalités).
  • Obtenir une explication du sens de chaque dimension de ton profil et de son influence dans l'interaction avec l'IA.

Le résultat que tu reçois est de caractère exclusivement informatif et n'a aucune valeur contraignante, diagnostic ou clinique. Tu es libre de l'utiliser, de l'ignorer ou de l'interpréter comme tu le considères approprié.

Pour exercer l'un quelconque de ces droits, contacte-nous à info@afini.ai.

13. Principes du traitement et évaluation d'impact

13.1. Principes directeurs (art. 5 RGPD)

Le traitement de tes données se rige en tout moment par les principes suivants :

  • Licéité, loyauté et transparence : Nous traitons tes données de manière licite, loyale et transparente, t'informant à tout moment de comment et pour quoi nous les utilisons.
  • Limitation de la finalité : Tes données sont recueillies uniquement pour les finalités déterminées, explicites et légitimes, et ne seront pas traitées d'une manière incompatible avec ces finalités.
  • Minimisation des données : Nous ne recueillons que les données adéquates, pertinentes et strictement nécessaires pour les finalités du traitement.
  • Exactitude : Nous maintiendrons tes données actualisées et adopterons les mesures raisonnables pour supprimer ou rectifier sans délai les données inexactes.
  • Limitation du délai de conservation : Nous conservons tes données uniquement pendant le temps nécessaire pour les fins du traitement.
  • Intégrité et confidentialité : Nous traitons tes données en garantissant une sécurité appropriée, incluant la protection contre le traitement non autorisé ou illicite et contre leur perte, destruction ou endommagement accidentel.

13.2. Évaluation d'Impact sur la Protection des Données (EIPD)

Compte tenu que le traitement de données de personnalité et de profils cognitifs peut supposer un risque élevé pour les droits et libertés des intéressés, Afini a réalisé une Évaluation d'Impact sur la Protection des Données (EIPD) conformément à l'article 35 du RGPD. Cette évaluation couvre tant le service de test.afini.ai que le service de profil cognitif avec IA d'afini.ai.

L'évaluation a conclu que le risque résiduel du traitement est modéré-faible, grâce aux mesures d'atténuation suivantes : suppression des réponses individuelles après la génération du rapport (test.afini.ai), accès exclusif de l'utilisateur à ses résultats et profil, absence de partage avec des tiers, chiffrement en transit et au repos fourni par l'infrastructure, rétention limitée des conversations (maximum 90 jours) avec suppression self-service, politique de non-formation du fournisseur d'IA (Anthropic API commerciale), et transparence sur la composition et l'injection du profil.

14. Mesures de sécurité techniques et organisationnelles

Afini met en œuvre des mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD pour garantir un niveau de sécurité approprié au risque :

Mesures techniques :

  • Chiffrement de toutes les communications via HTTPS/TLS 1.2+ (chiffrement en transit).
  • Chiffrement au repos fourni par le fournisseur d'infrastructure (Railway/PostgreSQL). Afini évalue périodiquement le chiffrement additionnel au niveau des colonnes.
  • Accès à la base de données restreint via des identifiants sécurisés et les connexions chiffrées.
  • Séparation logique des données de chaque utilisateur (isolation des sessions).
  • Tokens d'accès uniques et non prédictibles pour l'accès aux résultats.
  • Absence d'emmagasinage de données financières (délégué entièrement à Stripe).
  • Suppression self-service du compte et des données (RGPD Art. 17).
  • Authentification via lien magique avec limitation de taux (afini.ai) — sans mots de passe emmagasinés.
  • Communication avec l'API d'Anthropic chiffrée de bout en bout (TLS 1.3).
  • Comptabilité des tokens via opérations atomiques en base de données (prévention des conditions de course).

Mesures organisationnelles :

  • L'accès aux systèmes d'administration est limité exclusivement au personnel autorisé.
  • Principe de minimisation des données : seules les données strictement nécessaires sont recueillies et conservées.
  • Principe de limitation de la finalité : les données ne sont utilisées que pour les finalités déclarées dans cette politique.
  • Examen périodique des mesures de sécurité.
  • Protocole de notification de brèches de sécurité conforme aux articles 33 et 34 du RGPD : en cas de brèche, nous notifierons l'AEPD dans un délai maximum de 72 heures et, le cas échéant, les utilisateurs affectés sans délai indébiable.

15. Politique de cookies et stockage local

Pour les informations détaillées sur l'utilisation des cookies sur ces sites web, consulte notre Politique de Cookies.

15.1. Cookies

Les Plateformes utilisent une quantité minimale de cookies, limitée à ce qui est strictement nécessaire pour le fonctionnement du service et le traitement sécurisé des paiements :

  • Nous n'utilisons pas nos propres cookies de suivi.
  • Nous n'utilisons pas de cookies d'analytique (pas de Google Analytics, Hotjar, Mixpanel ni aucun autre service d'analytique).
  • Nous n'utilisons pas de cookies publicitaires ni de retargeting.
  • Nous n'utilisons pas de cookies de réseaux sociaux.
  • Stripe, notre passerelle de paiement, peut établir des cookies techniques lors du processus de paiement pour la prévention de la fraude.

15.2. Stockage local du navigateur (localStorage)

Nous utilisons le stockage local du navigateur (localStorage) exclusivement pour :

  • Emmagasiner ton token de session qui te permet d'accéder à ton test en cours, à tes résultats et à ton compte d'utilisateur.
  • Emmagasiner ta préférence de langue.
  • Ces tokens sont des identificateurs techniques nécessaires au fonctionnement du service et ne contiennent pas de données personnelles.
  • Nous n'utilisons pas le localStorage pour le suivi, le profilage ni aucune autre finalité distincte de la fonctionnalité essentielle du service.

15.3. Pas de suivi (Do Not Track)

Afini respecte le signal Do Not Track (DNT) de ton navigateur. Cependant, compte tenu que nous ne réalisons aucune sorte de suivi ou traçage, ce signal n'a pas d'effet pratique supplémentaire sur notre service.

16. Liens vers des tiers

Les Plateformes peuvent contenir des liens vers des sites web de tiers (par exemple, Stripe pour le traitement des paiements, Anthropic comme fournisseur de la technologie d'IA). Afini n'est pas responsable des pratiques de confidentialité ni du contenu de ces sites web externes. Nous te recommandons de consulter les politiques de confidentialité de tout site web tiers que tu visites.

17. Information spécifique par juridiction

Cette section contient des informations additionnelles requises par la législation de certaines juridictions. Si tu résides dans l'un des pays ou régions indiqués ci-dessous, les dispositions de cette section s'appliquent en plus de (et non en lieu et place des) les dispositions générales de cette Politique de Confidentialité.

17.1. Royaume-Uni (UK GDPR + Data Protection Act 2018)

En vertu de la législation du Royaume-Uni (UK GDPR et Data Protection Act 2018), tes droits de protection des données sont équivalents à ceux prévus dans le RGPD. La base juridique, la conservation des données et les droits d'accès s'appliquent conformément à la loi britannique. Tu peux présenter des recours auprès de l'ICO (Information Commissioner's Office).

17.2. États-Unis d'Amérique

Pour les utilisateurs aux États-Unis, en plus de cette Politique de Confidentialité, régissent la Children's Online Privacy Protection Act (COPPA) pour les mineurs de 13 ans, ainsi que les lois de confidentialité des États de Californie (CCPA/CPRA), Virginie (VCDPA), Colorado (CPA) et Connecticut (CTDPA), entre autres. Tu as le droit d'accéder, de rectifier et de supprimer tes données, ainsi que de t'opposer au traitement. Afini ne vend pas d'informations personnelles selon la définition de la CCPA/CPRA.

17.3. Canada (PIPEDA et législation provinciale)

Pour les utilisateurs au Canada, tes données sont traitées conformément à PIPEDA (Personal Information Protection and Electronic Documents Act) et à la législation provinciale applicable (incluant la Loi 25 du Québec). Tu as le droit d'accéder à tes données, de demander leur correction, et de connaître comment elles sont utilisées.

17.4. Brésil (LGPD — Lei Geral de Proteção de Dados)

Pour les utilisateurs au Brésil, tes données sont traitées conformément à la LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018). Tu as le droit d'accéder à tes données, de demander leur correction, la portabilité, et la suppression. Tu peux présenter des recours auprès de la ANPD (Autoridade Nacional de Proteção de Dados).

17.5. Australie (Privacy Act 1988 + APPs)

Pour les utilisateurs en Australie, tes données sont traitées conformément à la Privacy Act 1988 (Cth) et aux Australian Privacy Principles (APPs). Tu as le droit d'accéder à tes données, de demander leur correction, et de présenter des recours auprès de l'OAIC (Office of the Australian Information Commissioner).

17.6. Japon (APPI — Act on the Protection of Personal Information)

Pour les utilisateurs au Japon, tes données sont traitées conformément à la APPI (Act on the Protection of Personal Information). Tu as le droit d'accéder, rectifier, supprimer et demander la limitation du traitement de tes données. Tu peux présenter des recours auprès de la PPC (Personal Information Protection Commission).

18. Modifications de cette politique

Afini se réserve le droit de modifier cette Politique de Confidentialité à tout moment pour l'adapter aux nouveautés législatives, jurisprudentielles ou de notre propre pratique commerciale.

Toute modification substantielle sera communiquée via les propres Plateformes (via un avis visible sur le site web) et, si nous disposions de ta direction email, via un email informatif.

La date de la dernière mise à jour est toujours indiquée au début de ce document. Nous te recommandons de consulter cette politique périodiquement.

19. Législation applicable et juridiction

Cette Politique de Confidentialité est régie par la législation espagnole et européenne comme législation principale, et adicionalement par la législation en matière de protection des données applicable dans chaque juridiction où résident nos utilisateurs :

Normative principale (siège du responsable) :

  • Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (Règlement Général sur la Protection des Données — RGPD).
  • Loi Organique 3/2018 du 5 décembre relative à la Protection des Données Personnelles et garantie des droits numériques (LOPDGDD).
  • Loi 34/2002 du 11 juillet relative aux Services de la Société de l'Information et au Commerce Électronique (LSSI-CE).
  • Règlement (UE) 2024/1689 du Parlement Européen et du Conseil (Règlement sur l'Intelligence Artificielle / AI Act).

Normative additionnelle applicable selon la juridiction de l'utilisateur :

  • Royaume-Uni : UK General Data Protection Regulation (UK GDPR) et Data Protection Act 2018.
  • États-Unis : California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) ; Virginia Consumer Data Protection Act (VCDPA) ; Colorado Privacy Act (CPA) ; Connecticut Data Privacy Act (CTDPA) ; et autres lois d'État en matière de confidentialité applicables. Children's Online Privacy Protection Act (COPPA) en relation avec les mineurs.
  • Canada : Personal Information Protection and Electronic Documents Act (PIPEDA) ; Loi 25 (Québec) ; et législation provinciale applicable.
  • Brésil : Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
  • Australie : Privacy Act 1988 (Cth) et Australian Privacy Principles (APPs).
  • Japon : Act on the Protection of Personal Information (APPI).

En cas de conflit entre dispositions de différentes juridictions, la règle offrant un niveau de protection plus élevé à l'utilisateur s'appliquera.

Pour tout différend découlant de cette politique, les Tribunaux compétents de Bilbao seront compétents, avec renonciation expresse à tout autre tribunal qui pourrait être applicable, sans préjudice des droits que la législation en vigueur reconnaît aux consommateurs et utilisateurs dans ses respectives juridictions de résidence, incluant le droit inaliénable d'accéder aux tribunaux de son domicile dans les juridictions où la loi le prévoit.

20. Contact

Pour toute question, demande d'exercice de droits ou plainte liée à la protection de tes données personnelles :

  • Adresse email : info@afini.ai
  • Adresse postale : Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Espagne

*Dernière mise à jour : 20 mars 2026*

legal.lastUpdated: legal.date

privacy.pageTitle