Politique de confidentialité

1. Responsable du traitement

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen, Allemagne

  • E-mail : datenschutz@bonusflow.de
  • Téléphone : 0201-89083160

Le responsable du traitement décide seul ou conjointement avec d'autres des finalités et des moyens du traitement des données personnelles.

2. Aperçu

Les informations suivantes donnent un aperçu de ce qui arrive à vos données personnelles lorsque vous utilisez BonusFlow. BonusFlow est un assistant personnel basé sur la voix pour la gestion de tâches, de rappels et d'entrées de calendrier.

Les données personnelles sont toutes les informations qui permettent de vous identifier personnellement.

3. Collecte de données

3.1 Inscription et compte utilisateur

Données collectées :

  • Nom
  • Adresse e-mail
  • Mot de passe (stocké de manière chiffrée)

Finalité : Fourniture du service BonusFlow et gestion de votre compte utilisateur conformément à l'Art. 6 (1) (b) RGPD (exécution du contrat).

Durée de conservation : Tant que votre compte utilisateur est actif. Après la suppression du compte, vos données seront supprimées dans les 30 jours, sauf obligations légales de conservation.

3.2 Authentification et connexion

BonusFlow utilise Better Auth pour l'authentification – une solution auto-hébergée qui fonctionne entièrement sur nos propres serveurs en Allemagne. Nous n'utilisons aucun service d'authentification tiers. La connexion s'effectue par e-mail et mot de passe.

Base juridique : Art. 6 (1) (b) RGPD (exécution du contrat).

3.3 Saisie vocale et transcription (Speech-to-Text)

Fonctionnement : Vos enregistrements vocaux sont transmis (chiffrement TLS) à Mistral AI Voxtral et convertis en texte. Mistral AI est une entreprise européenne dont le siège social est en France.

Fournisseur : Mistral AI SAS, 16 Passage Jouffroy, 75009 Paris, France (UE)

Ce qui est transmis : Votre enregistrement audio par microphone.

Lieu de traitement : Principalement UE (France). Dans des cas exceptionnels, Mistral peut faire appel à des sous-traitants hors UE ; dans ce cas, les Clauses Contractuelles Types de l'UE s'appliquent conformément à l'Art. 46 RGPD.

Durée de conservation chez Mistral : Selon la politique de confidentialité de Mistral, les données d'entrée et de sortie sont conservées pendant un maximum de 30 jours glissants pour la détection d'abus, puis supprimées automatiquement. En tant que clients payants de l'API, nous avons l'assurance contractuelle que vos données ne sont pas utilisées pour entraîner les modèles d'IA.

Sortie vocale (Text-to-Speech) : La lecture des réponses par l'application se fait entièrement en local sur votre appareil via la synthèse vocale native de votre système d'exploitation (Web : Browser Speech API, Mobile : expo-speech, Desktop : synthèse vocale native de l'OS). Aucune donnée ne quitte votre appareil lors de la sortie vocale.

Base juridique : Art. 6 (1) (b) RGPD (exécution du contrat).

Politique de confidentialité de Mistral : https://legal.mistral.ai/terms/privacy-policy

3.4 Traitement de texte par IA (reconnaissance d'intention)

Après la transcription, le texte résultant (vos commandes vocales) est transmis à un autre point de terminaison de l'API Mistral pour la reconnaissance d'intention et la structuration.

Fournisseur : Mistral AI SAS, 16 Passage Jouffroy, 75009 Paris, France (UE)

Ce qui est transmis : Le texte transcrit de votre enregistrement vocal.

Lieu de traitement : Principalement UE (France), analogue à la transcription.

Finalité : Compréhension de votre intention et extraction de données structurées (tâches, rappels, entrées de calendrier, listes) conformément à l'Art. 6 (1) (b) RGPD (exécution du contrat).

Durée de conservation chez Mistral : Comme au point 3.3 — 30 jours glissants pour la détection d'abus, aucune utilisation pour l'entraînement du modèle.

Politique de confidentialité de Mistral : https://legal.mistral.ai/terms/privacy-policy

3.5 Tâches, rappels et entrées de calendrier

Données collectées :

  • Tâches (titre, description, date d'échéance, statut)
  • Rappels (texte, date/heure)
  • Entrées de calendrier (titre, date/heure, notes)

Finalité : Fonction principale de BonusFlow – gestion de vos tâches personnelles et de votre agenda conformément à l'Art. 6 (1) (b) RGPD (exécution du contrat).

Lieu de stockage : Vos données sont stockées sur nos serveurs chez Hetzner Online GmbH en Allemagne.

Durée de conservation : Tant que votre compte est actif. Vous pouvez supprimer des entrées individuelles à tout moment.

3.6 Domaines de vie et connaissances personnelles

Données collectées :

  • Domaines de vie (p. ex. liste de courses, sport, santé, compléments alimentaires)
  • Entrées dans les domaines de vie (contenus, notes, informations de dosage)
  • Faits personnels (p. ex. allergies, contacts, préférences – uniquement lorsque vous les enregistrez activement via la commande « Retiens »)

Finalité : Organisation de votre quotidien en domaines thématiques conformément à l'Art. 6 (1) (b) RGPD (exécution du contrat).

Lieu de stockage : Vos données sont stockées sur nos serveurs chez Hetzner Online GmbH en Allemagne.

Durée de conservation : Tant que votre compte est actif. Vous pouvez supprimer des entrées individuelles à tout moment.

Remarque sur les données de santé : Les informations relatives aux médicaments, compléments alimentaires ou faits de santé que vous enregistrez volontairement peuvent relever des catégories particulières de données personnelles (Art. 9 RGPD). Le traitement est fondé sur votre consentement explicite (Art. 9 (2) (a) RGPD), que vous donnez en enregistrant activement ces informations.

3.7 Recherche sémantique (Second Brain)

Fonctionnement : Pour permettre la recherche sémantique sur vos données, le contenu textuel de vos entrées (tâches, rappels, entrées de calendrier, domaines de vie, faits personnels) est converti en représentations vectorielles (embeddings).

Fournisseur du calcul des embeddings : Mistral AI SAS (UE, France) – identique au traitement de texte par IA (voir 3.4). Seul le texte de vos entrées est transmis, pas de données audio.

Stockage des vecteurs : Les données vectorielles calculées sont stockées dans une base de données vectorielle Qdrant auto-hébergée sur notre serveur chez Hetzner en Allemagne. Aucune transmission à des tiers.

Finalité : Permet la recherche intelligente et sémantique sur toutes vos données (p. ex. « Quand était mon dernier rendez-vous chez le médecin ? ») conformément à l'Art. 6 (1) (b) RGPD (exécution du contrat).

Disponibilité : Cette fonction est uniquement disponible avec le forfait Pro et pendant la période d'essai.

Suppression : Lors de la suppression de votre compte, toutes les données vectorielles sont entièrement supprimées avec vos autres données.

3.8 Données de paiement

Données collectées :

  • Les informations de paiement sont collectées et traitées directement par notre prestataire de paiement Stripe (avec accord de traitement des données dans l'UE).
  • Nous ne stockons pas de numéros de carte de crédit ni de données bancaires.

Finalité : Traitement des paiements pour les abonnements BonusFlow conformément à l'Art. 6 (1) (b) RGPD (exécution du contrat).

Informations sur la protection des données : https://stripe.com/fr/privacy

3.9 Fichiers journaux du serveur

Informations collectées automatiquement :

  • Type et version du navigateur
  • Système d'exploitation
  • URL de référence
  • Nom d'hôte de l'ordinateur accédant
  • Heure de la requête serveur
  • Adresse IP

Aucune fusion avec d'autres sources de données. Base juridique : Art. 6 (1) (f) RGPD (intérêt légitime pour une présentation techniquement irréprochable et une optimisation). Durée de conservation : 7 jours.

4. Cookies

Cookies techniquement nécessaires

  • Cookie de session : Nécessaire pour l'authentification et le maintien de votre connexion
  • Cookie de langue : Enregistre votre préférence linguistique

Nous n'utilisons aucun cookie de suivi, aucun cookie publicitaire et aucun cookie d'analyse.

Base juridique : Art. 6 (1) (f) RGPD (intérêt légitime) – aucune bannière de consentement aux cookies n'est requise pour des cookies exclusivement techniques.

5. Hébergement et prestataires techniques

5.1 Hébergement serveur

Fournisseur : Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Allemagne

Localisation du serveur : Allemagne

Base juridique : Art. 6 (1) (f) RGPD. Un accord de traitement des données conformément à l'Art. 28 RGPD est en place.

Informations sur la protection des données : https://www.hetzner.com/de/rechtliches/datenschutz

5.2 Traitement de texte par IA

Fournisseur : Mistral AI SAS, 16 Passage Jouffroy, 75009 Paris, France (UE)

Ce qui est traité : Uniquement le texte transcrit des commandes vocales – pas de données audio.

Localisation du serveur : UE (France)

Base juridique : Art. 6 (1) (b) RGPD (exécution du contrat). Un accord de traitement des données est en place.

5.3 Base de données vectorielle (recherche sémantique)

Fournisseur : Qdrant (logiciel open source), auto-hébergé sur notre serveur Hetzner en Allemagne

Ce qui est traité : Représentations vectorielles (représentations numériques) de vos contenus textuels. Les contenus originaux ne peuvent pas être reconstruits à partir des vecteurs.

Localisation du serveur : Allemagne (Hetzner)

Base juridique : Art. 6 (1) (b) RGPD (exécution du contrat). Aucune transmission à des tiers – la base de données vectorielle est exploitée exclusivement sur notre propre infrastructure.

5.4 Traitement des paiements

Fournisseur : Stripe, Inc. (avec accord de traitement des données dans l'UE)

Base juridique : Art. 6 (1) (b) RGPD (exécution du contrat).

5.5 Service e-mail

Fournisseur : ALL-INKL.COM - Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Allemagne

Localisation du serveur : Allemagne

Finalité : Confirmation de compte, réinitialisation de mot de passe, notifications de service

Base juridique : Art. 6 (1) (b) RGPD (exécution du contrat).

6. Chiffrement SSL/TLS

Ce site web utilise un chiffrement SSL/TLS pour des raisons de sécurité et pour protéger la transmission de contenus confidentiels. Vous pouvez reconnaître une connexion chiffrée par « https:// » dans la barre d'adresse.

7. Vos droits

Vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès (Art. 15 RGPD) – Quelles données stockons-nous à votre sujet ?
  • Droit de rectification (Art. 16 RGPD) – Correction de données inexactes
  • Droit à l'effacement (Art. 17 RGPD) – Suppression de vos données (« droit à l'oubli »)
  • Droit à la limitation du traitement (Art. 18 RGPD)
  • Droit à la portabilité des données (Art. 20 RGPD) – Export de vos données dans un format lisible par machine
  • Droit d'opposition (Art. 21 RGPD) – Contre un traitement fondé sur un intérêt légitime
  • Droit de retirer le consentement (Art. 7 (3) RGPD)
  • Droit de déposer une plainte auprès d'une autorité de contrôle (Art. 77 RGPD)

Pour exercer vos droits, contactez-nous à : datenschutz@bonusflow.de

8. Droit de recours auprès d'une autorité de contrôle

En cas de violation du RGPD, vous avez le droit de déposer une plainte auprès de l'autorité de contrôle compétente. L'autorité de contrôle responsable pour nous est :

Der Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5, 30159 Hannover https://www.lfd.niedersachsen.de

Une liste de toutes les autorités de protection des données en Allemagne est disponible sur : https://www.bfdi.bund.de

9. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement SSL/TLS de toutes les transmissions de données
  • Stockage chiffré des mots de passe (bcrypt)
  • Sortie vocale (Text-to-Speech) entièrement sur l'appareil de l'utilisateur
  • Transcription et traitement IA via Mistral AI, serveur situé dans l'UE (France)
  • Infrastructure serveur pour les données utilisateur structurées en Allemagne (Hetzner)
  • Mises à jour de sécurité régulières et contrôles d'accès

10. Minimisation des données

BonusFlow est conçu dans un souci de minimisation des données :

  • Transcription et reconnaissance d'intention sont exécutées chez Mistral AI en France (UE) — pas de fournisseurs américains, pas de transfert vers des pays tiers (sauf cas exceptionnels avec Clauses Contractuelles Types UE)
  • Mistral conserve les entrées audio et texte pendant un maximum de 30 jours glissants pour la détection d'abus et ne les utilise pas pour l'entraînement de modèles
  • La sortie vocale (lecture) s'exécute entièrement en local sur votre appareil — aucune donnée ne quitte l'appareil ici
  • Nous ne stockons que ce qui est nécessaire à la fourniture du service
  • Aucune analyse ni suivi de votre comportement

11. Modifications de cette politique de confidentialité

Dernière mise à jour : Mars 2026

Cette politique de confidentialité peut être mise à jour au fur et à mesure de l'évolution de notre service ou en raison de changements des exigences légales. La version actuelle est toujours disponible sur notre site web. Les utilisateurs enregistrés seront informés des modifications importantes par e-mail.