Politique de confidentialité

Site : eudonia.fr

Version en date du 2 avril 2026

ARTICLE 1 — IDENTITÉ DU RESPONSABLE DE TRAITEMENT

Le responsable du traitement des données à caractère personnel collectées via le site eudonia.fr (ci-après « le Site ») est :

Pierre MAILLIET, exerçant sous l’enseigne EUDONIA
Entreprise individuelle (EI au régime IS)
5 rue Jean Giono — 69330 JONAGE (France)
SIRET : 511 150 815 00021
E-mail : https://eudonia.fr/contact/

(ci-après « le Responsable de traitement » ou « l’Éditeur »)

Le Responsable de traitement détermine les finalités et les moyens du traitement des données à caractère personnel conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

ARTICLE 2 — OBJET DE LA PRÉSENTE POLITIQUE

La présente Politique de Confidentialité a pour objet d’informer les utilisateurs et clients du Site (ci-après « les Utilisateurs ») sur :

les catégories de données personnelles collectées et les modalités de cette collecte ;
les finalités et bases légales de chaque traitement ;
les destinataires et sous-traitants ayant accès aux données ;
les durées de conservation applicables ;
les mesures de sécurité mises en œuvre ;
les droits des Utilisateurs et les modalités de leur exercice ;
les éventuels transferts de données hors de l’Espace Économique Européen (EEE) ;
la politique en matière de cookies et traceurs.

ARTICLE 3 — PRINCIPES APPLICABLES AU TRAITEMENT DES DONNÉES

Conformément à l’article 5 du RGPD, le Responsable de traitement s’engage à ce que la collecte et le traitement des données respectent les principes suivants :

Licéité, loyauté et transparence : les données sont traitées de manière licite, loyale et transparente à l’égard de l’Utilisateur ;
Limitation des finalités : les données sont collectées pour des finalités déterminées, explicites et légitimes ;
Minimisation : seules les données strictement nécessaires aux finalités poursuivies sont collectées ;
Exactitude : les données sont maintenues exactes et à jour ;
Limitation de la conservation : les données sont conservées uniquement pendant la durée nécessaire aux finalités du traitement ;
Intégrité et confidentialité : les données sont traitées de manière à garantir leur sécurité, y compris leur protection contre le traitement non autorisé ou illicite.

ARTICLE 4 — DONNÉES COLLECTÉES, FINALITÉS ET BASES LÉGALES

4.1 — Données collectées lors de la création du Compte

Données collectées	Finalités	Base légale
Nom, prénom	Identification du Client, facturation, relation commerciale	Exécution du contrat (art. 6.1.b RGPD)
Adresse e-mail	Création du Compte, communications relatives au service, notifications, facturation	Exécution du contrat
Mot de passe (haché)	Authentification et sécurisation de l’accès au Compte	Exécution du contrat
Adresse postale de facturation	Facturation, obligations comptables et fiscales	Exécution du contrat ; Obligation légale (art. 6.1.c RGPD)
Profession / qualité professionnelle (le cas échéant)	Personnalisation des Services, vérification de l’éligibilité	Exécution du contrat
Numéro de TVA intracommunautaire (le cas échéant)	Facturation, conformité fiscale	Obligation légale

4.2 — Données collectées lors de l’utilisation des Services

Données collectées	Finalités	Base légale
Données saisies dans les questionnaires (STORY, Schwartz, etc.)	Traitement et génération des résultats et rapports	Exécution du contrat
Données saisies dans les dossiers de suivi bénéficiaire	Centralisation des informations de suivi pour le Client	Exécution du contrat
Textes d’entretiens (transcriptions collées ou importées)	Analyse d’entretien par IA, génération des comptes rendus	Exécution du contrat
Enregistrements audio d’entretiens	Transcription automatique puis analyse par IA	Exécution du contrat
Données saisies dans l’anamnèse	Génération de synthèses cliniques par IA	Exécution du contrat
Documents importés (PDF de tests, CV, bilans antérieurs)	Alimentation du dossier de suivi, analyse croisée	Exécution du contrat
Échanges avec le Chat Psy Coach	Fourniture du service d’assistant IA conversationnel	Exécution du contrat

Précision importante concernant les données de bénéficiaires/patients :

Lorsqu’un Client Professionnel utilise les Services pour traiter les données personnelles de ses propres bénéficiaires, patients ou clients :

le Client Professionnel est responsable de traitement au sens du RGPD pour ces données. Il lui appartient de recueillir le consentement ou de s’appuyer sur une base légale appropriée, d’informer ses bénéficiaires du traitement et de respecter les obligations déontologiques de sa profession ;
l’Éditeur agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Il traite ces données uniquement sur instruction documentée du Client Professionnel et aux seules fins de la fourniture des Services.

Un accord de traitement de données (DPA) conforme à l’article 28 du RGPD est disponible sur demande à l’adresse https://eudonia.fr/contact/.

4.3 — Données collectées lors du paiement

Données collectées	Finalités	Base légale
Données de transaction (montant, date, moyen de paiement, référence)	Facturation, suivi comptable, preuve de transaction	Exécution du contrat ; Obligation légale

Les données bancaires (numéro de carte, date d’expiration, cryptogramme) ne sont à aucun moment collectées ni stockées par l’Éditeur. Elles sont directement traitées par les prestataires de paiement Stripe (Stripe Payments Europe, Ltd.) et/ou PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A.) dans des environnements certifiés PCI-DSS.

4.4 — Données collectées automatiquement lors de la navigation

Données collectées	Finalités	Base légale
Adresse IP	Sécurité, prévention de la fraude, statistiques de fréquentation	Intérêt légitime (art. 6.1.f RGPD)
Données de navigation (pages consultées, durée, source du trafic)	Analyse statistique, amélioration du Site	Consentement (art. 6.1.a RGPD) — via cookies analytiques
Type de navigateur, système d’exploitation, résolution d’écran	Optimisation technique du Site	Consentement — via cookies analytiques

Données collectées	Finalités	Base légale
Nom, prénom, e-mail, contenu du message	Traitement de la demande, réponse à l’Utilisateur	Intérêt légitime (relation précontractuelle ou commerciale)
Nom, prénom, e-mail	Envoi de la newsletter et d’informations commerciales	Consentement

L’Utilisateur peut se désabonner de la newsletter à tout moment via le lien de désinscription présent dans chaque e-mail.

ARTICLE 5 — TRAITEMENT DES DONNÉES PAR L’INTELLIGENCE ARTIFICIELLE

5.1 — Fonctionnement des Outils IA

Plusieurs Services du Site font appel à des technologies d’intelligence artificielle opérées par des prestataires tiers (voir article 6) :

Analyse d’entretien, anamnèse IA, analyse croisée, Chat Psy Coach : ces fonctionnalités utilisent des modèles de langage (LLM) fournis par Anthropic, PBC (API Claude) ;
Transcription audio : la conversion des enregistrements audio en texte est réalisée par l’API Google Gemini (Google LLC).

Lorsqu’un Client utilise ces Outils IA, les données qu’il saisit ou importe (transcriptions, textes, enregistrements audio, réponses aux questionnaires, documents) sont transmises de manière sécurisée aux interfaces de programmation (API) de ces prestataires afin de générer les analyses, synthèses, transcriptions et rapports.

5.2 — Engagements relatifs aux données traitées par les Outils IA

Pas d’entraînement sur vos données : les données transmises aux API des prestataires d’IA ne sont pas utilisées pour entraîner ou améliorer les modèles de ces prestataires. L’Éditeur utilise exclusivement des API dites « zero data retention » ou des configurations contractuelles garantissant l’absence de réutilisation des données à des fins d’entraînement.
Transit sécurisé : les données sont transmises via des connexions chiffrées (TLS/HTTPS). Les enregistrements audio sont transcrits puis les fichiers audio sources peuvent être supprimés conformément aux durées de conservation prévues à l’article 7.
Pas de stockage persistant par les prestataires IA : les prestataires d’IA ne conservent pas les données au-delà du temps strictement nécessaire au traitement de la requête (généralement quelques secondes à quelques minutes), sauf obligation légale de leur part.

5.3 — Décisions automatisées et profilage

Les Outils IA produisent des analyses et synthèses à caractère informatif et consultatif. Ils ne prennent aucune décision produisant des effets juridiques à l’égard des Utilisateurs ou de leurs bénéficiaires, ni ne les affectent de manière significative de façon similaire.

Conformément à l’article 22 du RGPD, aucun traitement automatisé produisant de tels effets n’est mis en œuvre. Le Client Professionnel demeure seul décisionnaire dans le cadre de son accompagnement.

5.4 — Données anonymisées à des fins d’amélioration

L’Éditeur peut utiliser des données strictement anonymisées et agrégées (ne permettant en aucun cas l’identification directe ou indirecte d’un Utilisateur ou d’un bénéficiaire) à des fins d’amélioration des Services, de recherche et de statistiques. Ce traitement repose sur l’intérêt légitime de l’Éditeur (art. 6.1.f RGPD). L’anonymisation est irréversible et conforme aux critères définis par le Groupe de travail Article 29 (avis 05/2014).

ARTICLE 6 — DESTINATAIRES ET SOUS-TRAITANTS

6.1 — Principe

Les données personnelles collectées par le Site ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales.

Elles sont traitées par le Responsable de traitement et, dans la stricte mesure nécessaire à la fourniture des Services, transmises aux sous-traitants listés ci-dessous.

6.2 — Liste des sous-traitants

Sous-traitant	Rôle	Localisation des données	Garanties pour les transferts hors EEE
Hostinger International Ltd. (61 Lordou Vironos Street, 6023 Larnaca, Chypre)	Hébergement du Site et des bases de données	EEE (serveurs en Europe)	N/A (données dans l’EEE)
Anthropic, PBC (San Francisco, États-Unis)	Fournisseur de l’API d’intelligence artificielle (modèles de langage) pour les Outils IA	États-Unis	Clauses contractuelles types (CCT) de la Commission européenne ; engagement contractuel de non-réutilisation des données pour l’entraînement des modèles
Google LLC (Mountain View, États-Unis) — via Gemini API	Fournisseur de l’API de transcription audio (speech-to-text)	États-Unis	Clauses contractuelles types (CCT) ; EU-U.S. Data Privacy Framework ; Data Processing Addendum Google Cloud
Google LLC (États-Unis) — via Google Analytics	Mesure d’audience et statistiques	États-Unis	Clauses contractuelles types (CCT) ; EU-U.S. Data Privacy Framework
Stripe Payments Europe, Ltd. (Dublin, Irlande)	Traitement des paiements par carte bancaire	EEE (Irlande)	N/A (données dans l’EEE)
PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg)	Traitement des paiements PayPal	EEE (Luxembourg)	N/A (données dans l’EEE)

L’Éditeur s’assure contractuellement que chaque sous-traitant présente des garanties suffisantes en matière de protection des données personnelles conformément à l’article 28 du RGPD.

6.3 — Transferts de données hors de l’EEE

Certains sous-traitants sont situés aux États-Unis. Les transferts de données vers ces prestataires sont encadrés par :

les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d’exécution 2021/914) ;
et/ou la certification du prestataire au EU-U.S. Data Privacy Framework lorsque applicable ;
et/ou toute autre garantie appropriée au sens des articles 46 et 47 du RGPD.

L’Utilisateur peut obtenir une copie des garanties encadrant ces transferts en adressant sa demande à https://eudonia.fr/contact/.

ARTICLE 7 — DURÉES DE CONSERVATION

Catégorie de données	Durée de conservation	Fondement
Données du Compte Client (identification, contact)	Durée de l’Abonnement + 3 ans après la dernière activité ou la clôture du Compte	Intérêt légitime (gestion de la relation commerciale) ; prescription civile
Données de facturation et documents comptables	10 ans à compter de la clôture de l’exercice comptable concerné	Art. L.123-22 du Code de commerce
Documents contractuels (confirmations de commande, CGV acceptées)	10 ans	Art. L.123-22 du Code de commerce
Données contenues dans les dossiers de suivi bénéficiaire	Durée de l’Abonnement + 30 jours après la résiliation (délai d’exportation) ; suppression ensuite sauf demande contraire	Exécution du contrat ; intérêt légitime
Enregistrements audio	90 jours après la transcription, sauf suppression anticipée par le Client	Minimisation des données
Transcriptions et contenus générés par l’IA	Durée de l’Abonnement + 30 jours après la résiliation	Exécution du contrat
Résultats des questionnaires (STORY, Schwartz, etc.)	Durée de l’Abonnement + 30 jours après la résiliation	Exécution du contrat
Données de navigation et cookies analytiques	13 mois maximum à compter du dépôt du cookie	Recommandation CNIL
Données du formulaire de contact	3 ans à compter du dernier contact	Intérêt légitime
Données d’inscription à la newsletter	Jusqu’au retrait du consentement + 3 ans	Consentement ; intérêt légitime
Données d’inscription sans abonnement payant	2 ans après la dernière connexion	Intérêt légitime

À l’expiration des durées de conservation, les données sont supprimées ou irréversiblement anonymisées.

ARTICLE 8 — SÉCURITÉ DES DONNÉES

Le Responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre l’accès non autorisé, la perte, l’altération ou la divulgation, conformément à l’état de l’art et aux exigences du RGPD (article 32). Ces mesures comprennent notamment :

Chiffrement des communications : protocole TLS/HTTPS sur l’ensemble du Site ;
Chiffrement au repos : les données sensibles (données de suivi, transcriptions) sont chiffrées dans la base de données ;
Gestion des accès : accès aux données restreint aux seules personnes habilitées, avec authentification par identifiant et mot de passe ;
Hachage des mots de passe : les mots de passe des Utilisateurs sont stockés sous forme hachée (algorithme bcrypt ou équivalent) et ne sont jamais stockés en clair ;
Pare-feu et surveillance réseau : protection contre les intrusions et les cyberattaques ;
Sauvegardes régulières : sauvegardes automatisées et hébergées au sein de l’EEE ;
Mises à jour de sécurité : application régulière des correctifs de sécurité sur l’ensemble de l’infrastructure ;
Sensibilisation : les personnes ayant accès aux données sont tenues à une obligation de confidentialité.

En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, le Responsable de traitement notifiera la CNIL dans les 72 heures suivant la découverte de la violation, conformément à l’article 33 du RGPD. Si la violation est susceptible d’engendrer un risque élevé, les personnes concernées en seront également informées dans les meilleurs délais (article 34 du RGPD).

ARTICLE 9 — DROITS DES UTILISATEURS

Conformément au RGPD et à la Loi Informatique et Libertés, tout Utilisateur dispose des droits suivants sur ses données personnelles :

9.1 — Droit d’accès (article 15 RGPD)

L’Utilisateur peut obtenir la confirmation que des données le concernant sont ou ne sont pas traitées, et, le cas échéant, accéder à ces données et aux informations relatives au traitement.

9.2 — Droit de rectification (article 16 RGPD)

L’Utilisateur peut demander la rectification de données inexactes ou incomplètes le concernant.

9.3 — Droit à l’effacement (article 17 RGPD)

L’Utilisateur peut demander l’effacement de ses données dans les cas prévus par le RGPD, notamment lorsque les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsqu’il retire son consentement.

Ce droit ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale (notamment les obligations comptables et fiscales).

9.4 — Droit à la limitation du traitement (article 18 RGPD)

L’Utilisateur peut demander la limitation du traitement de ses données dans les cas prévus par le RGPD, notamment en cas de contestation de l’exactitude des données ou d’opposition au traitement.

9.5 — Droit à la portabilité (article 20 RGPD)

L’Utilisateur a le droit de recevoir les données le concernant qu’il a fournies au Responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

9.6 — Droit d’opposition (article 21 RGPD)

L’Utilisateur peut s’opposer au traitement de ses données fondé sur l’intérêt légitime du Responsable de traitement, pour des motifs tenant à sa situation particulière. L’Utilisateur peut également s’opposer à tout moment au traitement de ses données à des fins de prospection commerciale.

9.7 — Droit de ne pas faire l’objet d’une décision automatisée (article 22 RGPD)

L’Utilisateur a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques le concernant ou l’affectant de manière significative. Comme indiqué à l’article 5.3, aucun traitement de cette nature n’est mis en œuvre sur le Site.

9.8 — Droit de définir des directives post-mortem (article 85 Loi Informatique et Libertés)

L’Utilisateur peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données après son décès, conformément à la loi n° 2016-1321 du 7 octobre 2016.

9.9 — Droit de retirer son consentement

Lorsque le traitement est fondé sur le consentement, l’Utilisateur peut retirer son consentement à tout moment, sans que cela ne remette en cause la licéité du traitement effectué avant le retrait.

9.10 — Modalités d’exercice des droits

Pour exercer l’un quelconque de ces droits, l’Utilisateur peut :

envoyer un e-mail à : https://eudonia.fr/contact/ ;

en précisant son nom, prénom, adresse e-mail et, le cas échéant, son numéro de Compte.

Le Responsable de traitement s’engage à répondre dans un délai de trente (30) jours à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre élevé de demandes, l’Utilisateur en étant informé.

Le Responsable de traitement pourra demander la fourniture d’une pièce d’identité en cas de doute raisonnable sur l’identité du demandeur.

9.11 — Droit de réclamation auprès de la CNIL

Si l’Utilisateur estime que le traitement de ses données constitue une violation du RGPD, il peut introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

CNIL — 3 Place de Fontenoy, TSA 80715 — 75334 PARIS CEDEX 07
Site : https://www.cnil.fr

ARTICLE 10 — DONNÉES DES MINEURS

Conformément à l’article 8 du RGPD et à l’article 45 de la Loi Informatique et Libertés, le consentement au traitement des données personnelles d’un mineur de moins de 15 ans doit être donné par le titulaire de l’autorité parentale.

Certains Services du Site (notamment le questionnaire STORY version collège) sont destinés à être administrés par un professionnel accompagnant un mineur. Dans ce cas, le Client Professionnel est responsable du recueil du consentement parental et de l’information des représentants légaux, conformément à ses obligations déontologiques et légales.

L’Éditeur n’a pas vocation à collecter directement des données de mineurs de moins de 15 ans sans l’intervention d’un professionnel ou d’un représentant légal.

ARTICLE 11 — COOKIES ET TRACEURS

Un cookie est un petit fichier texte déposé sur le terminal de l’Utilisateur (ordinateur, tablette, smartphone) lors de la visite du Site. Il permet de stocker des informations relatives à la navigation.

11.2 — Catégories de cookies utilisés

a) Cookies strictement nécessaires (exemptés de consentement)

Ces cookies sont indispensables au fonctionnement du Site et ne peuvent pas être désactivés. Ils permettent notamment la gestion de la session, l’authentification et la sécurisation des accès.

Cookie	Domaine	Durée	Description
Cookies de session WordPress	eudonia.fr	Session	Gestion de l’authentification et de la navigation
_lscache_vary	eudonia.fr	2 jours	Cache LiteSpeed — prévention de l’affichage de pages en cache non appropriées
Cookies de consentement (CMP)	eudonia.fr	6 mois	Enregistrement des choix de l’Utilisateur en matière de cookies

b) Cookies analytiques / statistiques (soumis au consentement)

Ces cookies permettent de mesurer l’audience et d’analyser la fréquentation du Site afin d’en améliorer le fonctionnement et le contenu.

Cookie	Domaine	Durée	Description
_ga	.eudonia.fr	13 mois	Google Analytics — identifiant unique anonyme pour distinguer les visiteurs
ga*	.eudonia.fr	13 mois	Google Analytics — comptage des pages vues et des sessions

c) Cookies de préférences (soumis au consentement)

Cookies permettant de mémoriser les préférences de l’Utilisateur (langue, paramètres d’affichage, etc.).

d) Cookies marketing (soumis au consentement)

Le Site n’utilise actuellement aucun cookie marketing ou publicitaire. Si cette situation venait à évoluer, la présente politique serait mise à jour et le consentement de l’Utilisateur serait recueilli préalablement.

11.3 — Gestion du consentement

Lors de la première visite sur le Site, une bannière de consentement informe l’Utilisateur du dépôt de cookies et lui permet :

d’accepter l’ensemble des cookies ;
de refuser les cookies non essentiels ;
de paramétrer ses choix par catégorie de cookies.

Le consentement est recueilli pour une durée maximale de 6 mois, conformément aux recommandations de la CNIL. À l’expiration de ce délai, le consentement est de nouveau sollicité.

L’Utilisateur peut modifier ses choix à tout moment en cliquant sur le lien « Gérer le consentement » disponible en bas de chaque page du Site.

11.4 — Opposition aux cookies via le navigateur

L’Utilisateur peut également configurer son navigateur pour refuser les cookies. Les instructions sont disponibles aux adresses suivantes :

Chrome : https://support.google.com/accounts/answer/61416?hl=fr
Firefox : https://support.mozilla.org/fr/kb/enable-and-disable-cookies-website-preferences
Safari : https://support.apple.com/fr-fr/guide/safari/sfri11471/mac
Edge : https://support.microsoft.com/fr-fr/microsoft-edge

La désactivation des cookies nécessaires au fonctionnement du Site peut affecter l’accès à certaines fonctionnalités.

ARTICLE 12 — UTILISATION DE GOOGLE ANALYTICS

Le Site utilise Google Analytics, un service d’analyse d’audience fourni par Google LLC (États-Unis). Google Analytics utilise des cookies analytiques soumis au consentement de l’Utilisateur.

L’Éditeur a mis en place les mesures suivantes pour limiter la collecte de données par Google Analytics :

Anonymisation de l’adresse IP : activée ;
Durée de conservation des données : limitée à 14 mois dans les paramètres Google Analytics ;
Désactivation du partage de données avec d’autres services Google ;
Absence de cookies publicitaires Google sur le Site.

Le transfert de données vers les États-Unis est encadré par les garanties mentionnées à l’article 6.3.

L’Utilisateur peut s’opposer au suivi par Google Analytics en installant le module complémentaire de navigateur fourni par Google.

ARTICLE 13 — MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

Le Responsable de traitement se réserve le droit de modifier la présente Politique de Confidentialité à tout moment afin de garantir sa conformité avec le droit en vigueur et de refléter l’évolution des Services.

En cas de modification substantielle, l’Utilisateur en sera informé par e-mail ou par une notification visible sur le Site au moins quinze (15) jours avant l’entrée en vigueur de la nouvelle version.

La présente Politique de Confidentialité est consultable à tout moment à l’adresse : https://eudonia.fr/politique-de-confidentialite/

ARTICLE 14 — CONTACT

Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits, vous pouvez contacter le Responsable de traitement :

Pierre MAILLIET — EUDONIA
5 rue Jean Giono — 69330 JONAGE
E-mail : https://eudonia.fr/contact/

Version du 2 avril 2026 — Dernière mise à jour : 2 avril 2026