Retourswipa.ai

Politique de confidentialité

Dernière mise à jour : 16 mai 2026

La présente Politique de confidentialité décrit la manière dont Swipa (édité par SAS KMD, RCS Mamoudzou n° 953 903 416, ci-après « nous », « Swipa ») collecte, utilise et protège vos données personnelles.

Nous nous engageons à respecter le Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

SAS KMD Siège social : 18 Route des Badamiers, 97615 Dzaoudzi, Mayotte, France RCS Mamoudzou n° 953 903 416 Contact : privacy@swipa.ai

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :

Données de compte

  • Adresse email
  • Mot de passe (stocké sous forme hashée bcrypt, jamais en clair)
  • Prénom (si fourni à l'inscription)
  • Plan d'abonnement et statut (free, pro, pro_plus, business)

Données de conversation

  • Contenu des messages envoyés et reçus
  • Images uploadées pour la vision
  • Images générées par les modèles
  • Métadonnées : modèle utilisé, horodatage, identifiants techniques

Données de paiement

  • Identifiant Stripe customer (cus_...)
  • Identifiant Stripe subscription (sub_...)
  • Statut et date de renouvellement
  • Aucune donnée bancaire n'est stockée par Swipa. Toutes les informations de paiement sont gérées exclusivement par Stripe.

Données techniques

  • Adresse IP (utilisée pour la sécurité et la prévention de fraude)
  • User-agent (navigateur)
  • Date et heure des connexions

3. Finalités et bases légales

| Finalité | Base légale | |---|---| | Création et gestion du compte utilisateur | Exécution du contrat (CGU) | | Fourniture du service de chat IA | Exécution du contrat | | Sauvegarde de l'historique des conversations | Exécution du contrat | | Facturation et gestion des abonnements | Exécution du contrat + obligation légale (comptabilité) | | Authentification et sécurité des sessions | Intérêt légitime (sécurité du service) | | Prévention de la fraude et des abus (quotas, IP) | Intérêt légitime | | Statistiques anonymisées d'usage | Intérêt légitime | | Communication transactionnelle (reçus, alerts compte) | Exécution du contrat |

Nous n'utilisons pas vos données personnelles à des fins de publicité ciblée et nous ne vendons pas vos données à des tiers.

4. Destinataires et sous-traitants

Pour fournir le service, nous transmettons certaines données aux prestataires suivants, chacun encadré par un accord de sous-traitance conforme au RGPD :

| Prestataire | Rôle | Localisation | |---|---|---| | Supabase | Hébergement de la base de données, authentification, stockage des fichiers | Singapore (région ap-southeast-1) | | Vercel | Hébergement de l'application web et API | États-Unis | | Resend | Envoi des emails transactionnels (confirmation, reset, magic link) | États-Unis | | OpenRouter | Routage vers les modèles d'IA (OpenAI, Anthropic, Google, Mistral, Meta, xAI, DeepSeek) | États-Unis | | Stripe | Traitement des paiements | États-Unis + Irlande (Stripe Payments Europe) |

Le contenu de vos conversations est transmis à OpenRouter et au modèle d'IA que vous sélectionnez pour produire les réponses. Ces données sont soumises à la politique de confidentialité de chaque éditeur (OpenAI, Anthropic, etc.) au moment où le modèle reçoit votre prompt.

5. Transferts hors UE

Certains de nos sous-traitants étant établis hors de l'Union européenne, vos données peuvent être transférées vers les États-Unis et Singapour. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne
  • Les engagements de chaque prestataire en matière de chiffrement en transit et au repos
  • Les EU-US Data Privacy Framework (DPF) pour les prestataires américains certifiés

Nous travaillons activement à identifier des alternatives européennes pour limiter ces transferts à terme.

6. Durée de conservation

| Donnée | Durée | |---|---| | Compte utilisateur | Jusqu'à suppression par l'utilisateur ou inactivité supérieure à 3 ans | | Conversations et messages | 12 mois après la dernière activité du compte | | Images uploadées | 12 mois après le dernier accès | | Données de facturation | 10 ans après émission de la facture (obligation comptable) | | Logs techniques (IP, user-agent) | 12 mois maximum |

À l'issue de ces durées, les données sont supprimées définitivement ou anonymisées de manière irréversible.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir une copie des données que nous détenons sur vous
  • Droit de rectification : corriger les données inexactes
  • Droit à l'effacement : supprimer votre compte et toutes les données associées (immédiatement disponible depuis votre espace compte)
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
  • Droit d'opposition : vous opposer à certains traitements (intérêt légitime)
  • Droit à la limitation : demander une suspension temporaire du traitement
  • Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent

Pour exercer ces droits, écrivez-nous à privacy@swipa.ai en précisant l'objet de votre demande et l'email associé à votre compte. Nous répondons sous 30 jours maximum (prolongation possible de 60 jours pour les demandes complexes, vous serez informé(e) le cas échéant).

8. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :

3 place de Fontenoy TSA 80715 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 Site : www.cnil.fr

9. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement TLS pour toutes les communications client ↔ serveur
  • Chiffrement au repos des bases de données (Supabase, Stripe)
  • Row Level Security (RLS) Postgres : un utilisateur ne peut accéder qu'à ses propres données via l'API
  • Mots de passe stockés sous forme hashée bcrypt
  • Audits réguliers des accès aux données
  • Sauvegardes chiffrées et redondées

En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous vous en informerons dans les 72 heures conformément à l'article 34 du RGPD.

10. Cookies

Voir notre Politique cookies pour le détail des cookies utilisés. En résumé : nous n'utilisons que des cookies strictement nécessaires (authentification, session), qui ne nécessitent pas votre consentement.

11. Modifications de cette politique

Toute modification substantielle de la présente politique vous sera notifiée par email au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête de ce document.

12. Contact

Pour toute question relative à vos données personnelles :

  • Email : privacy@swipa.ai
  • Courrier : SAS KMD, 18 Route des Badamiers, 97615 Dzaoudzi, Mayotte, France