Politique de confidentialité

Dernière mise à jour : 28 juin 2026

Date d'entrée en vigueur : 28 juin 2026

La présente politique de confidentialité décrit comment Blue Electric Hand Corporation (« Cosmic You », « nous », « notre » ou « nos ») recueille, utilise, communique et protège vos renseignements personnels lorsque vous utilisez le site Web et les services Cosmic You (le « Service »). Nous sommes une société constituée en Ontario, au Canada.

La présente politique est conforme à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada, à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) au Québec, au Règlement général sur la protection des données (RGPD) dans l'Espace économique européen et au Royaume-Uni, ainsi qu'au California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) pour les résidents de Californie. Les droits propres à chaque région sont résumés à la section 11.

1. Résumé rapide

• Nous recueillons les renseignements que vous nous fournissez (courriel, mot de passe, données de naissance), les renseignements transmis par votre appareil (adresse IP, type d'appareil) et un minimum de données d'utilisation par l'entremise de PostHog.
• Nous les utilisons pour générer vos rapports, gérer votre compte, vous envoyer des courriels transactionnels et améliorer le Service.
• Nous les communiquons à nos prestataires de paiement (Stripe), d'hébergement et de base de données (MongoDB Atlas, notre hébergeur infonuagique), d'intelligence artificielle (Anthropic) et d'envoi de courriels - jamais à des annonceurs, jamais à des courtiers de données, jamais contre rémunération.
• Vous pouvez exporter vos données ou supprimer votre compte à tout moment. Les résidents de l'UE, du R.-U., du Québec et de la Californie disposent de droits supplémentaires décrits ci-dessous.
• Les données de naissance (date, heure, lieu) sont sensibles sur le plan personnel, mais elles ne constituent PAS une catégorie de données « sensibles » au sens de la plupart des cadres législatifs. Nous les traitons néanmoins avec soin.

2. Les renseignements que nous recueillons

Ce que nous recueillons dépend de la façon dont vous utilisez le Service.

Renseignements que vous nous fournissez

• Renseignements de compte : adresse courriel, nom d'affichage, mot de passe haché (nous ne stockons jamais de mot de passe en clair), langue préférée (français ou anglais).
• Données de naissance : date de naissance, heure de naissance (facultative), lieu de naissance. Ces renseignements sont nécessaires pour générer votre rapport. Vous pouvez également fournir les données de naissance d'autres personnes - par exemple pour effectuer une lecture de synastrie ou offrir un rapport PDF en cadeau. En le faisant, vous confirmez avoir le droit de le faire.
• Renseignements de paiement : si vous vous abonnez, Stripe recueille vos données de paiement directement. Nous ne recevons qu'un jeton client, le palier que vous avez choisi et un registre des paiements réussis. Nous ne recevons ni ne stockons votre numéro de carte, votre cryptogramme (CVV) ou votre adresse de facturation complète.
• Contenu facultatif : messages-cadeaux sur les rapports PDF supplémentaires, réponses au test de personnalité, registres de série (streak), notes sur les leçons de Cosmic U.

Renseignements recueillis automatiquement

• Renseignements sur l'appareil et le réseau : adresse IP, agent utilisateur (user-agent) du navigateur, région géographique approximative (déduite de l'IP), type d'appareil.
• Données d'utilisation : pages consultées, boutons cliqués, fonctionnalités utilisées. Recueillies au moyen de PostHog avec l'anonymisation des adresses IP activée.
• Données d'erreur et de performance : si cette fonction est activée, Sentry capture des données de diagnostic. Nous purgeons les jetons d'authentification, les témoins (cookies) et les corps de requêtes avant toute transmission.

Renseignements que nous ne recueillons PAS

• Position en temps réel (GPS)
• Contacts, pellicule photo, microphone
• Contenu provenant d'autres applications
• Pièces d'identité gouvernementales ou numéros de compte financier
• Données « sensibles » au sens de l'article 9 du RGPD (origine raciale ou ethnique, religion, santé, etc.) à moins que vous les incluiez volontairement dans un champ de texte libre

3. Comment nous utilisons vos renseignements

Nous les utilisons pour fournir le Service que vous avez demandé, pour faire fonctionner l'entreprise qui le soutient et pour l'améliorer. Plus précisément :

• Pour générer, stocker et afficher vos rapports
• Pour créer et maintenir votre compte
• Pour traiter les paiements et les abonnements par l'entremise de Stripe
• Pour vous envoyer des courriels transactionnels (vérification de compte, réinitialisation de mot de passe, reçus, livraison des PDF supplémentaires)
• Pour vous envoyer des courriels marketing UNIQUEMENT si vous y consentez ; vous pouvez vous désabonner à tout moment
• Pour exploiter nos mesures antifraude (limitation de débit, détection d'abus)
• Pour déboguer des erreurs et améliorer la performance du Service
• Pour respecter nos obligations légales
• Pour faire respecter nos Conditions d'utilisation

Nous nous appuyons sur les bases juridiques suivantes (terminologie du RGPD) :

• Nécessité contractuelle - nous ne pouvons pas générer un rapport ni gérer votre compte sans traiter vos données de naissance et vos identifiants de connexion
• Intérêts légitimes - lutte contre les abus, surveillance de la sécurité, analyses agrégées, amélioration du produit ; nous pondérons ces intérêts au regard de vos droits à la vie privée
• Consentement - courriels marketing, témoins facultatifs au-delà des témoins essentiels, collecte de données auprès de mineurs de 13 à 17 ans lorsque la loi régionale l'exige
• Obligation légale - lorsque nous devons nous conformer aux autorités policières, fiscales ou réglementaires

Entraînement et amélioration de l'IA (« Aider à améliorer Castalia », option d'adhésion uniquement)

Par défaut, nous n'utilisons PAS vos réflexions, vos entrées de journal, vos données de naissance ni vos conversations avec Castalia pour entraîner des modèles d'IA. Nos fonctions d'IA reposent sur des fournisseurs de modèles tiers (comme OpenAI, Anthropic et Google) selon des ententes qui leur interdisent d'entraîner leurs modèles sur votre contenu.

Si, et seulement si, vous activez le réglage « Aider à améliorer Castalia » dans votre compte, vous consentez à ce que nous utilisions des copies anonymisées de vos conversations consenties (avec les courriels, numéros de téléphone et identifiants personnels retirés) afin de rendre Castalia plus utile au fil du temps. Cette option est désactivée par défaut, elle est strictement facultative, et vous pouvez la désactiver à tout moment dans les Réglages. La désactivation met fin à toute utilisation future. Cela n'inclut jamais le contenu signalé comme une crise, vos entrées de journal privées, les données de paiement ni le contenu du compte d'un mineur.

4. Avec qui nous partageons vos renseignements

Nous partageons vos renseignements avec une courte liste de prestataires opérationnels. Nous ne vendons pas vos données.

Fournisseurs de services (« sous-traitants » au sens du RGPD)

Tous les fournisseurs sont liés par des ententes de traitement des données exigeant qu'ils n'utilisent vos données qu'aux fins que nous leur indiquons et qu'ils appliquent des mesures de sécurité appropriées.

Divulgations légales

Nous pouvons divulguer des renseignements si la loi, une assignation, une ordonnance judiciaire ou une demande gouvernementale valide l'exige ; pour protéger les droits, la propriété ou la sécurité de nos utilisateurs, de notre entreprise ou du public ; ou dans le cadre d'une fusion, d'une acquisition ou d'une vente d'actifs (nous vous aviserons avant tout transfert de données dans ce dernier cas).

Jamais partagé avec

• Des annonceurs ou réseaux publicitaires
• Des courtiers de données
• D'autres utilisateurs - à l'exception du contenu de rapport que VOUS choisissez de partager par un lien public ou la fonction cadeau
• Qui que ce soit, contre rémunération - nous ne vendons pas vos données

Partage avec les personnes que vous invitez (Orbites)

Orbites vous permet d'explorer une relation avec des personnes que vous invitez - un Lien (deux personnes) ou un Cercle (de trois à huit). Lorsqu'un champ partagé s'ouvre, une vue limitée de vos renseignements, restreinte à la relation, devient visible pour les autres membres, et la leur pour vous. Ce partage suit des règles strictes intégrées au Service :

• Consentement mutuel uniquement. Un champ partagé ne s'ouvre qu'après que chaque personne y a explicitement consenti. Aucune donnée n'est partagée sur la seule action d'une personne.
• Visibilité au plus petit périmètre. Le champ partagé n'affiche que ce que chaque membre a accepté d'exposer. Si une personne accorde un périmètre plus restreint, ce périmètre plus restreint régit tout le champ - vous ne pouvez jamais voir d'une autre personne plus que ce qu'elle a choisi de partager.
• Uniquement des données de relation - jamais votre espace privé. Votre journal, vos conversations individuelles avec Castalia et vos réflexions privées n'entrent jamais dans un champ partagé. Seules les données de relation que vous consentez à partager sont composées dans la vue commune et dans toute séance commune avec Castalia.
• Révocable à tout moment. Tout membre peut se retirer à tout moment. Le retrait dissout immédiatement le champ partagé et rend à chacun sa vue séparée et privée.
• Invitations aux non-utilisateurs. Si vous invitez une personne qui n'est pas encore sur Cosmic You, nous traitons la coordonnée que vous fournissez uniquement pour livrer cette invitation, sur la base de votre demande (consentement, LPRPDE). Nous ne l'utilisons à aucune autre fin.

Lorsqu'elle s'adresse à un Lien ou à un Cercle, Castalia parle à la relation elle-même et demeure impartiale par conception ; elle ne sert pas de moyen pour qu'un membre en surveille un autre.

5. Transferts internationaux de données

Cosmic You est exploitée depuis le Canada, et notre infrastructure comprend des fournisseurs aux États-Unis et dans l'Union européenne. Si vous vous trouvez à l'extérieur de ces régions, vos données seront transférées, stockées et traitées au Canada et aux États-Unis.

Pour les utilisateurs de l'UE / du R.-U. : nous nous appuyons sur la décision d'adéquation de la Commission européenne concernant le secteur privé canadien régi par la LPRPDE, ainsi que sur les Clauses contractuelles types (CCT) pour les transferts vers des fournisseurs américains. Nous traitons toutes les données des utilisateurs avec des garanties de niveau UE, peu importe la région.

Pour les résidents du Québec (Loi 25) : avant tout transfert de vos renseignements personnels hors du Québec, nous évaluons les risques à la vie privée et nous nous assurons que la juridiction destinataire offre une protection équivalente. Le Canada, les États-Unis (via les CCT et nos ententes de traitement) et l'UE satisfont à cette exigence conformément à notre évaluation.

6. Durée de conservation

• Données de compte : jusqu'à ce que vous supprimiez votre compte, plus une courte fenêtre de récupération (30 jours) en cas de suppression accidentelle
• Rapports (profil principal) : jusqu'à ce que vous supprimiez votre compte
• Rapports PDF supplémentaires : 365 jours à compter de la création, après quoi ils sont automatiquement supprimés
• Registres de paiement : 7 ans pour respecter la loi fiscale canadienne
• Journaux de courriels : 90 jours
• Diagnostics d'erreur (Sentry) : 30 jours
• Événements d'analyse (PostHog) : 12 mois
• Copies de sauvegarde après suppression de compte : 60 jours avant purge définitive

Si vous supprimez votre compte, nous retirons vos données des systèmes actifs dans un délai de 30 jours et des sauvegardes dans un délai de 60 jours, sauf dans les cas où la loi nous oblige à les conserver (p. ex. registres de paiement).

7. Sécurité

Nous prenons la sécurité au sérieux.

• Les mots de passe sont hachés au moyen d'algorithmes conformes aux normes de l'industrie (nous ne voyons jamais votre mot de passe en clair)
• Les données en transit sont chiffrées par HTTPS/TLS 1.2 ou plus
• Les données au repos dans MongoDB Atlas sont chiffrées
• Stripe gère toutes les données de carte ; nous ne les stockons jamais
• L'accès aux systèmes de production est restreint et consigné
• Les signatures des webhooks sont vérifiées avant tout traitement de paiement
• Nous limitons le débit des points d'accès d'authentification et purgeons les journaux d'erreur des en-têtes sensibles

Aucun système n'est parfaitement sécurisé. Si nous apprenons qu'une atteinte à la sécurité des données vous concerne, nous vous aviserons sans délai excessif, conformément à la loi applicable. Au Québec, un incident de confidentialité présentant un risque de préjudice sérieux sera également déclaré à la Commission d'accès à l'information.

8. Vos droits

Vous disposez des droits suivants à l'égard de vos renseignements personnels. Le cadre juridique précis dépend de votre région (voir la section 11), mais les droits ci-dessous s'appliquent à tous les utilisateurs, peu importe leur emplacement, selon notre politique.

• Accès - demander une copie des renseignements personnels que nous détenons à votre sujet
• Rectification - corriger des renseignements inexacts ou incomplets
• Effacement - supprimer votre compte et les données associées
• Portabilité - exporter vos données dans un format lisible par machine (JSON)
• Limitation - demander que nous limitions l'utilisation de vos données le temps qu'une préoccupation soit traitée
• Opposition - vous opposer au traitement fondé sur des intérêts légitimes (nous cesserons à moins d'avoir des motifs légitimes impérieux)
• Retrait du marketing - à tout moment, via le lien de désabonnement de tout courriel marketing ou les paramètres du compte
• Retrait du consentement - lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment (sans incidence sur les traitements antérieurs licites)

Pour exercer un droit, écrivez à privacy@cosmicyou.me. Nous répondrons dans un délai de 30 jours. Nous pourrions devoir vérifier votre identité avant de donner suite à certaines demandes.

9. Enfants

Le Service ne s'adresse pas aux enfants de moins de 13 ans. Nous ne recueillons pas sciemment de renseignements personnels d'enfants de moins de 13 ans. Si nous apprenons que nous avons recueilli des données auprès d'un enfant de moins de 13 ans sans le consentement vérifiable d'un parent, nous les supprimerons.

Pour les utilisateurs de 13 à 17 ans, lorsque la loi locale l'exige (y compris le RGPD pour les mineurs sous l'âge du consentement numérique dans leur pays, qui varie entre 13 et 16 ans), nous exigeons le consentement d'un parent ou tuteur avant la création du compte ou les communications marketing.

Au Québec, pour tout mineur de moins de 14 ans, le consentement d'une personne titulaire de l'autorité parentale est requis avant la collecte de renseignements personnels, conformément à la Loi 25.

10. Témoins et technologies similaires

Nous utilisons un petit nombre de témoins et d'entrées de stockage local :

• Essentiels - jeton d'authentification, persistance de session, protection CSRF. Ceux-ci ne peuvent pas être désactivés, car ils sont indispensables au fonctionnement du Service.
• Préférences - thème (ci_theme), langue, taille de police, connexion persistante. Stockés localement dans votre navigateur ; vous pouvez les effacer via les paramètres de votre navigateur.
• Analyse - identifiants de session PostHog. Vous pouvez vous y opposer via la bannière de témoins (UE/EEE/R.-U.) ou en nous demandant par courriel de cesser la collecte analytique.

Nous n'utilisons aucun témoin publicitaire tiers ni pixel de suivi.

11. Droits régionaux

Espace économique européen, Royaume-Uni et Suisse (RGPD)

En plus des droits prévus à la section 8, vous avez le droit de déposer une plainte auprès de votre autorité locale de protection des données. Le responsable du traitement est Blue Electric Hand Corporation, Ottawa, Ontario, Canada. Nous n'avons pas désigné de représentant dans l'UE pour le moment ; si nous y sommes tenus, nous mettrons à jour la présente politique.

Californie (CCPA/CPRA)

Les résidents de la Californie disposent des droits décrits à la section 8, ainsi que :

• Le droit de savoir quels renseignements personnels nous recueillons, leurs sources, les finalités et les catégories de tiers avec lesquels nous les partageons (la présente politique les énumère)
• Le droit de refuser la « vente » ou le « partage » de renseignements personnels. Nous ne vendons ni ne partageons de renseignements personnels à des fins de publicité comportementale intercontextuelle.
• Le droit de limiter l'utilisation des renseignements personnels sensibles. Nous n'utilisons pas de renseignements personnels sensibles pour en déduire des caractéristiques à votre sujet.
• Le droit à la non-discrimination lorsque vous exercez ces droits. Nous ne refuserons pas le service, ne facturerons pas un prix différent ni ne fournirons un niveau de service différent parce que vous avez exercé un droit à la vie privée.

Pour soumettre une demande, écrivez à privacy@cosmicyou.me avec l'objet « CCPA Request ». Vous pouvez désigner un mandataire autorisé pour faire une demande en votre nom.

Canada (LPRPDE, Loi 25 du Québec)

Les résidents du Canada disposent des droits décrits à la section 8. Si nous refusons une demande ou si vous avez une plainte, vous pouvez communiquer avec le Commissariat à la protection de la vie privée du Canada (www.priv.gc.ca) ou, pour les résidents du Québec, avec la Commission d'accès à l'information (www.cai.gouv.qc.ca).

Pour les résidents du Québec - Loi 25 :

• Vous avez le droit d'être informé et de refuser que vos renseignements personnels soient utilisés pour vous proposer un bien ou un service, ou pour vous faire une offre commerciale ou philanthropique.
• Vous avez le droit, dans le cadre d'une décision fondée exclusivement sur un traitement automatisé, d'en être informé et d'obtenir les renseignements utilisés, les motifs et les principaux facteurs ayant mené à la décision. Cosmic You ne prend pas de décisions automatisées ayant des effets juridiques ou similairement significatifs sur les utilisateurs. Le contenu généré par IA dans vos rapports est de nature interprétative uniquement - aucune décision prise par le Service n'affecte votre admissibilité au crédit, à l'emploi, à l'assurance, au logement ou à tout autre droit matériel.
• Vous avez le droit à la portabilité de vos renseignements personnels dans un format technologique structuré et couramment utilisé.
• Vous pouvez désigner une personne pour exercer vos droits après votre décès, conformément à l'article 40.1 de la Loi 25.

Responsable de la protection des renseignements personnels : Obi, joignable à privacy@cosmicyou.me. Cette personne est responsable de veiller au respect de la Loi 25 au sein de Blue Electric Hand Corporation.

Brésil (LGPD) et autres juridictions

Nous étendons les droits énoncés à la section 8 aux résidents du Brésil, de l'Australie, de la Nouvelle-Zélande et de toute autre juridiction dotée d'une loi comparable en matière de protection de la vie privée. Écrivez à privacy@cosmicyou.me.

12. Modifications à la présente politique

Nous pouvons modifier la présente politique de confidentialité de temps à autre. Si nous apportons des modifications importantes, nous vous en aviserons par courriel ou par notification dans l'application au moins 14 jours avant l'entrée en vigueur des modifications. La date de « Dernière mise à jour » en haut de cette politique reflète toujours la version actuelle.

13. Nous joindre

Blue Electric Hand Corporation · Ottawa (Ontario), Canada Questions relatives à la confidentialité : privacy@cosmicyou.me Soutien général : support@cosmicyou.me Responsable de la protection des renseignements personnels : Obi, joignable à privacy@cosmicyou.me