---
title: "Politique de confidentialité de Minds"
description: "Date d'entrée en vigueur : 31 mai 2026"
canonical_url: "https://getminds.ai/legal/fr/dataprivacy"
last_updated: "2026-06-24T15:44:53.860Z"
---

# Politique de confidentialité de Minds

**Date d'entrée en vigueur : 31 mai 2026**

La présente politique de confidentialité fournit des informations sur la nature, la portée et la finalité du traitement des données à caractère personnel au sein de la plateforme exploitée par **Art of X UG (haftungsbeschränkt)** (ci-après « nous »).

## 1. Responsable du traitement

Le responsable du traitement au sens du RGPD et des autres lois nationales de protection des données est :

**Art of X UG (haftungsbeschränkt)**<br />


Köpenicker Straße 145<br />


10997 Berlin<br />


Allemagne

Courriel : [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 2. Délégué à la protection des données

Le délégué à la protection des données externe peut être contacté comme suit :

Prof. Dr. Norman Uhlmann<br />


h3ko Innovations GmbH<br />


Pappelallee 64<br />


16359 Biesenthal<br />


Allemagne

Courriel : [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 3. Informations générales sur le traitement des données

L'objet de la protection des données est les données à caractère personnel. Il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »). Les données à caractère personnel des utilisateurs ne sont en général traitées que dans la mesure nécessaire à la fourniture d'une plateforme fonctionnelle ainsi que de son contenu et de ses services.

### Obligation de fournir des données

La fourniture de données à caractère personnel n'est ni légalement ni contractuellement requise. Toutefois, sans la fourniture des données nécessaires (telles que l'adresse électronique et le nom pour l'inscription), nous ne pouvons pas vous offrir l'accès à nos services. Les données marquées comme obligatoires lors de l'inscription ou de l'utilisation sont requises pour l'exécution du contrat. L'absence de fourniture de ces données signifie que les services concernés ne peuvent pas être utilisés. La fourniture de données facultatives est volontaire et n'affecte pas votre capacité à utiliser les services de base.

## 4. Quelles données sont traitées et dans quel but

### a. Fourniture du site web et création de fichiers journaux (hébergement)

Chaque fois que le site web est consulté, le système collecte automatiquement des données et informations provenant du système informatique de l'ordinateur qui y accède. Ces données sont stockées dans les fichiers journaux du serveur. Les données suivantes sont collectées :

- Adresse IP de l'ordinateur demandeur
- Date et heure de l'accès
- Nom et URL du fichier consulté
- Site web à partir duquel l'accès est effectué (URL de référence)
- Navigateur utilisé et, le cas échéant, système d'exploitation de l'ordinateur

Ces données sont traitées pour garantir un établissement de connexion fluide et une utilisation confortable du site web, ainsi que pour évaluer la sécurité et la stabilité du système. La base légale du traitement des données est l'art. 6, al. 1, p. 1, lit. f du RGPD. L'intérêt légitime découle des finalités de collecte de données énumérées ci-dessus.

Les services de **DigitalOcean, LLC**, 101 6th Ave, New York, NY 10013, États-Unis, sont utilisés pour l'hébergement du site web. Notre infrastructure est hébergée dans la région de Francfort (Allemagne) au sein de l'UE. Un accord de traitement des données (DPA) a été conclu avec DigitalOcean. Grâce à cet accord, DigitalOcean garantit que les données sont traitées conformément au RGPD et que les droits des personnes concernées sont garantis. Pour plus d'informations, veuillez consulter la politique de confidentialité de DigitalOcean : [https://www.digitalocean.com/legal/privacy-policy](https://www.digitalocean.com/legal/privacy-policy).

#### Cloudflare (CDN, DNS et sécurité)

**Cloudflare, Inc.**, 101 Townsend St, San Francisco, CA 94107, États-Unis, est utilisé pour la livraison de contenu (CDN), la gestion DNS, la protection DDoS et la sécurité des applications web. Lorsque vous accédez à notre site web, vos requêtes sont acheminées via le réseau Cloudflare. Dans ce processus, Cloudflare peut traiter votre adresse IP, les en-têtes de requête et d'autres métadonnées de connexion pour livrer le contenu, protéger contre les attaques et optimiser les performances.

La base légale de ce traitement est l'art. 6, al. 1, lit. f du RGPD (intérêt légitime). Notre intérêt légitime réside dans la garantie de la sécurité, de la disponibilité et des performances de notre site web. Un accord de traitement des données (DPA) a été conclu avec Cloudflare. Le transfert de données vers les États-Unis est couvert par la participation de Cloudflare au cadre de protection des données UE-États-Unis et complété par les clauses contractuelles types (CCT). Pour plus d'informations : [https://www.cloudflare.com/privacypolicy/](https://www.cloudflare.com/privacypolicy/).

### b. Inscription et utilisation d'un compte (authentification et base de données)

Pour utiliser la plateforme, la création d'un compte utilisateur est requise. Les données suivantes sont collectées :

- Nom
- Adresse électronique
- Mot de passe (stocké sous forme chiffrée)

Ces données sont nécessaires pour gérer le compte et permettre l'accès aux services. La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat).

Pour l'authentification et la gestion de la base de données utilisateurs, les services de **Supabase Inc.**, 970 Toa Payoh North #07-04, Singapour 318992, sont utilisés. Supabase fournit l'infrastructure backend de la plateforme. Le stockage des données, y compris la base de données, l'authentification, le stockage et les embeddings liés à l'IA, a lieu dans la région Europe du Nord (Stockholm, `eu-north-1`). Un accord de traitement des données (DPA) a été conclu avec Supabase. Pour plus d'informations sur la protection des données chez Supabase : [https://supabase.com/privacy](https://supabase.com/privacy).

### c. Fonctionnalités alimentées par l'IA

Pour la fourniture de fonctionnalités alimentées par l'IA, les services suivants sont utilisés :

#### OpenAI (génération de texte, embeddings, analyse d'images)

**OpenAI OpCo, LLC**, 3180 18th St, San Francisco, CA 94110, États-Unis, est utilisé pour la génération de texte, la création d'embeddings à partir du contenu utilisateur, la transcription vocale (Whisper) et l'analyse d'images.

Lorsque ces fonctionnalités sont utilisées, les données pertinentes (p. ex. saisies textuelles ou contenu à analyser) sont envoyées aux serveurs d'OpenAI pour traitement. Nous ne transmettons pas à OpenAI de données à caractère personnel au-delà de ce qui est nécessaire à la fonction, et nous stockons les résultats générés par OpenAI dans notre système hébergé sur Supabase (voir ci-dessus).

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat), car ces fonctionnalités constituent un élément essentiel des services proposés. Un accord de traitement des données a été conclu avec OpenAI. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations sur la protection des données chez OpenAI : [https://openai.com/policies/privacy-policy](https://openai.com/policies/privacy-policy).

#### Anthropic (génération de texte avec les modèles Claude)

**Anthropic PBC**, 548 Market St, PMB 87430, San Francisco, CA 94104, États-Unis, est utilisé pour la génération de texte avancée à l'aide des modèles d'IA Claude. Lorsque ces fonctionnalités sont utilisées, vos saisies textuelles et prompts sont transmis aux serveurs d'Anthropic pour traitement.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat), car ces fonctionnalités constituent un élément essentiel des services proposés. Un accord de traitement des données a été conclu avec Anthropic. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations sur la protection des données chez Anthropic : [https://www.anthropic.com/legal/privacy](https://www.anthropic.com/legal/privacy).

#### Google AI (génération de texte avec les modèles Gemini)

**Google LLC**, 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis, est utilisé pour la génération de texte et les fonctionnalités alimentées par l'IA à l'aide des modèles Gemini. Lorsque ces fonctionnalités sont utilisées, vos saisies textuelles et prompts sont transmis aux serveurs de Google pour traitement.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat), car ces fonctionnalités constituent un élément essentiel des services proposés. Un accord de traitement des données a été conclu avec Google. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations sur la protection des données chez Google : [https://policies.google.com/privacy](https://policies.google.com/privacy).

#### ElevenLabs (traitement vocal)

**ElevenLabs Inc.**, 20-22 Wenlock Road, Londres, N1 7GU, Royaume-Uni, est utilisé pour la synthèse vocale (text-to-speech) et la transcription vocale (Scribe v1). Lorsque vous utilisez les fonctionnalités vocales, les données audio sont transmises à ElevenLabs pour traitement.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat). Un accord de traitement des données a été conclu avec ElevenLabs. Le transfert de données vers le Royaume-Uni est couvert par la décision d'adéquation de la Commission européenne pour le Royaume-Uni (décision 2021/1772), qui garantit un niveau adéquat de protection des données. Pour plus d'informations : [https://elevenlabs.io/privacy](https://elevenlabs.io/privacy).

#### Black Forest Labs (génération d'images)

**Black Forest Labs GmbH**, services via api.bfl.ai, est utilisé pour la génération d'images par IA (modèles Flux). Lorsque vous générez des images, vos prompts textuels sont transmis aux serveurs de BFL pour traitement. La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat). Black Forest Labs étant basé en Allemagne, les données restent au sein de l'UE. Un accord de traitement des données a été conclu avec Black Forest Labs. Pour plus d'informations : [https://blackforestlabs.ai/privacy-policy/](https://blackforestlabs.ai/privacy-policy/).

#### Replicate (infrastructure de modèles d'IA)

**Replicate, Inc.**, 340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis, est utilisé comme infrastructure pour exécuter des modèles IA de génération d'images (y compris les modèles Flux de Black Forest Labs). Lorsque vous générez des images, vos prompts textuels sont transmis aux serveurs de Replicate pour traitement.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat), car ces fonctionnalités constituent un élément essentiel des services proposés. Un accord de traitement des données a été conclu avec Replicate. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations sur la protection des données chez Replicate : [https://replicate.com/privacy](https://replicate.com/privacy).

#### Langfuse (observabilité IA et gestion des prompts)

**Langfuse GmbH**, Residenzstraße 27A, 80333 Munich, Allemagne, est utilisé pour la gestion des prompts IA, le suivi des interactions IA et l'observabilité du système. Cela nous aide à améliorer la qualité du service et à déboguer les problèmes. Des métadonnées techniques sur les interactions IA sont traitées.

La base légale de ce traitement est l'art. 6, al. 1, lit. f du RGPD (intérêt légitime). Notre intérêt légitime réside dans la garantie de la qualité du service, le débogage des problèmes et l'amélioration de nos fonctionnalités IA. Langfuse étant basé en Allemagne, les données restent au sein de l'UE. Un accord de traitement des données a été conclu avec Langfuse. Pour plus d'informations : [https://langfuse.com/docs/data-security-privacy](https://langfuse.com/docs/data-security-privacy).

#### Deepgram (speech-to-text)

**Deepgram, Inc.**, 548 Market St, Suite 25104, San Francisco, CA 94104, États-Unis, est utilisé pour la transcription vocale en temps réel (speech-to-text) à l'aide du modèle Nova-3. Lorsque vous utilisez les fonctionnalités vocales, vos données audio sont diffusées vers les serveurs de Deepgram pour transcription. Deepgram traite l'audio en temps réel et ne conserve pas les enregistrements audio après la fin de la transcription.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat), car la transcription vocale est un élément essentiel des fonctionnalités vocales proposées. Un accord de traitement des données a été conclu avec Deepgram. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations : [https://deepgram.com/privacy](https://deepgram.com/privacy).

#### Fish Audio (synthèse et clonage vocal)

**Hanabi AI Inc.** (opérant sous le nom de Fish Audio), 131 Continental Dr, Suite 305, Newark, DE 19713, États-Unis, est utilisé pour la synthèse vocale text-to-speech et le clonage vocal. Lorsque vous utilisez les fonctionnalités vocales, le texte est envoyé à Fish Audio pour synthèse vocale. Si vous créez un clone vocal, les échantillons audio que vous fournissez sont transmis à Fish Audio pour l'entraînement du modèle vocal.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat), car la synthèse et le clonage vocal sont des éléments essentiels des fonctionnalités vocales proposées. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations : [https://fish.audio/privacy](https://fish.audio/privacy).

### d. Contenu dans les Flows et entraînement des Minds (Contenu utilisateur)

Le cœur de la plateforme est le traitement du contenu créé par les utilisateurs dans les « Flows » (espaces de travail collaboratifs) et partagé avec les « Minds » (assistants IA ; précédemment désignés par le terme « Sparks »). Cela peut inclure des enregistrements vocaux, des textes, des images ou d'autres œuvres créatives (« Contenu utilisateur »).

Ces données sont traitées aux fins suivantes :

- **Entraînement d'un modèle IA personnel (« My Mind ») :** le Contenu utilisateur est utilisé pour créer et entraîner un modèle IA personnel basé sur les contributions individuelles.
- **Entraînement de modèles IA généraux :** si un consentement explicite (opt-in) a été donné, le Contenu utilisateur est également utilisé pour être incorporé dans nos modèles IA généraux plus larges. Ces modèles peuvent être utilisés à des fins commerciales et mis à disposition des clients. **Note importante pour les utilisateurs d'équipe :** le contenu créé dans le cadre d'un compte d'équipe ou dans des flows d'équipe partagés est fondamentalement exclu de cette réglementation et ne sera en aucun cas utilisé pour entraîner des modèles IA généraux.

Le traitement du Contenu utilisateur pour l'entraînement des modèles IA personnels est fondé sur l'art. 6, al. 1, lit. b du RGPD (exécution du contrat). Le traitement pour l'entraînement de modèles IA généraux est exclusivement fondé sur un consentement explicite conformément à l'art. 6, al. 1, lit. a du RGPD.

### d2. Group Grounding et données de distribution publiques

Pour la fonctionnalité **Group Grounding** et les fonctionnalités de niveau Groupe associées (panels synthétiques, group covers, simulation d'audience, groupes de la marketplace), la plateforme ingère et traite des données statistiques et de distribution publiquement disponibles afin d'ancrer des groupes synthétiques de Minds dans des distributions plausibles du monde réel. Les catégories de données traitées comprennent :

- **Statistiques démographiques et de population agrégées** (par ex. répartitions par âge, sexe, profession, niveau d'éducation, géographie) provenant des offices statistiques publics, de jeux de données de type recensement et de sources de données ouvertes comparables.
- **Benchmarks sectoriels, de marché et du marché du travail** issus de rapports publiquement disponibles, de synthèses d'études de marché et de publications professionnelles.
- **Contenu web public** récupéré via notre prestataire de recherche web (Tavily, voir section 4.g) lorsque vous demandez explicitement un grounding à partir d'une source publique (par ex. une page de profil publique, un site d'entreprise ou un article de presse que vous soumettez en entrée).
- **Métadonnées techniques** sur la requête de grounding elle-même (votre identifiant de compte, les paramètres de distribution demandés, l'horodatage et la configuration de groupe résultante), afin que la configuration soit reproductible et auditable.

Ce traitement a pour finalité de générer des groupes synthétiques réalistes et statistiquement ancrés, à des fins de recherche, de simulation et de travail créatif. **Aucune donnée à caractère personnel de personnes physiques identifiables n'est générée, profilée, ciblée ou stockée** au titre des données de distribution elles-mêmes ; les données sont traitées sous forme agrégée et statistique. Lorsque vous soumettez des entrées susceptibles de contenir des données à caractère personnel de tiers (par ex. un lien vers un profil public), vous êtes responsable de la légalité de cette soumission et garantissez disposer de tous les droits et consentements nécessaires (voir section 4 de nos Conditions générales).

Les bases légales de ce traitement sont :

- **Art. 6, al. 1, lit. b du RGPD (exécution du contrat)** pour le traitement de votre identifiant de compte, de la configuration de grounding et des entrées de recherche que vous soumettez, ce traitement étant nécessaire à la fourniture de la fonctionnalité Group Grounding que vous avez demandée.
- **Art. 6, al. 1, lit. f du RGPD (intérêt légitime)** pour l'ingestion et la mise en cache de statistiques agrégées publiquement disponibles. Notre intérêt légitime réside dans la fourniture d'une fonctionnalité de grounding robuste, reproductible et statistiquement significative ; les données sources sont déjà publiques et agrégées, et notre intérêt n'est pas supplanté par les droits des personnes concernées, puisqu'aucune personne physique identifiable n'est traitée.
- En outre, le traitement de statistiques agrégées à des fins de recherche synthétique est soutenu par le **§ 27 BDSG** (traitement à des fins scientifiques ou statistiques), dans la mesure où il est applicable.

**Conservation :** les jeux de données de distribution agrégés sont mis en cache pendant la durée de leur utilité comme références de vérité terrain et sont actualisés lors des mises à jour des données sources ; les configurations de groupe sont conservées pendant la durée du compte de l'utilisateur, plus 30 jours après suppression (voir section 5). Les entrées soumises au prestataire de recherche web sont conservées conformément aux conditions de ce prestataire (voir section 4.g).

**Sous-traitants impliqués dans le Group Grounding** : les fournisseurs d'IA listés en section 4.c (pour la génération des sorties group-grounded), Tavily (section 4.g, pour la recherche web publique lorsqu'elle est utilisée), ainsi que nos hébergeurs et prestataires de bases de données (sections 4.a–4.b).

### e. Traitement des paiements

Si des services payants sont utilisés, les données de paiement sont traitées aux fins de l'exécution du contrat. Le traitement est fondé sur l'art. 6, al. 1, lit. b du RGPD.

Le traitement des paiements est effectué par le prestataire de services de paiement **Stripe Payments Europe, Ltd.**, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande. Aucune donnée de carte bancaire n'est stockée ; elle est directement transmise à Stripe. Stripe est un partenaire certifié et est soumis à des normes strictes de protection des données et de sécurité. Un accord de traitement des données a été conclu avec Stripe. Pour plus d'informations sur la protection des données chez Stripe : [https://stripe.com/privacy](https://stripe.com/privacy).

### f. Services d'applications mobiles (iOS/Android)

Lorsque vous utilisez Minds via nos applications mobiles (iOS/Android), les services et fonctionnalités d'appareils supplémentaires suivants sont utilisés :

#### Firebase Cloud Messaging (notifications push)

**Google LLC** (Firebase), 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis, est utilisé pour délivrer des notifications push à votre appareil. Lorsque vous activez les notifications push, un jeton d'appareil (identifiant unique de votre appareil) est généré et stocké sur nos serveurs pour acheminer les notifications. Aucun contenu de message au-delà de la charge utile de la notification n'est partagé avec Firebase.

La base légale de ce traitement est l'art. 6, al. 1, lit. a du RGPD (consentement), car les notifications push ne sont envoyées qu'après que vous avez explicitement donné votre autorisation. Vous pouvez révoquer ce consentement à tout moment en désactivant les notifications dans les paramètres de votre appareil. Un accord de traitement des données a été conclu avec Google. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations : [https://firebase.google.com/support/privacy](https://firebase.google.com/support/privacy).

#### RevenueCat (achats intégrés)

**RevenueCat, Inc.**, 1032 E Brandon Blvd #3003, Brandon, FL 33511, États-Unis, est utilisé pour gérer les achats intégrés et les abonnements sur les appareils mobiles. RevenueCat traite un identifiant utilisateur anonymisé, les reçus d'achat et le statut de l'abonnement. Aucune donnée à caractère personnel telle que nom ou courriel n'est partagée avec RevenueCat.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat), car la gestion des achats intégrés est nécessaire pour fournir les services payants. Un accord de traitement des données a été conclu avec RevenueCat. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations : [https://www.revenuecat.com/privacy](https://www.revenuecat.com/privacy).

#### Authentification native (Apple/Google Sign-In)

Lorsque vous vous connectez via Apple Sign-In ou Google Sign-In sur les appareils mobiles, un jeton d'identité est émis par Apple ou Google et échangé avec notre service d'authentification (Supabase) pour créer ou lier votre compte. Nous ne recevons que les informations que vous autorisez (généralement nom et adresse électronique). Aucun identifiant n'est stocké sur nos serveurs ; l'authentification est gérée via un échange sécurisé de jetons.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat).

#### Autorisations d'appareil

L'application mobile peut demander l'accès aux fonctionnalités d'appareil suivantes :

- **Microphone :** requis pour le mode vocal (conversations en temps réel). L'audio est diffusé à Deepgram pour transcription et n'est pas stocké sur nos serveurs.
- **Caméra :** utilisée pour capturer des images à téléverser comme contenu pour l'analyse IA. Les images ne sont traitées que lorsque vous initiez explicitement une capture.
- **Photothèque :** utilisée pour sélectionner des images ou fichiers existants à téléverser. Seuls les fichiers que vous sélectionnez explicitement sont consultés et téléversés.

Chaque autorisation n'est demandée que lorsque vous utilisez pour la première fois la fonctionnalité concernée. Vous pouvez révoquer toute autorisation à tout moment via les paramètres de votre appareil. La base légale de ce traitement est l'art. 6, al. 1, lit. a du RGPD (consentement).

### g. Services additionnels de traitement des données

La plateforme utilise des services spécialisés supplémentaires pour améliorer ses fonctionnalités. Ces services ne traitent que les entrées nécessaires à la fonctionnalité demandée.

#### Tavily (recherche web)

**Tavily AI**, via api.tavily.com, fournit des capacités de recherche web. Les requêtes, URLs soumises et extraits de pages publiques peuvent lui être transmis.

Base légale : art. 6(1)(b) RGPD. Transferts vers les États-Unis sur clauses contractuelles types. Plus d'informations : [https://tavily.com/privacy](https://tavily.com/privacy).

#### Firecrawl (extraction web et captures)

**Firecrawl**, exploité par SideGuide Technologies, Inc., récupère, extrait et parfois analyse visuellement des pages publiques ou captures lorsque vous soumettez des liens ou demandez une analyse de sources. Données possibles : URLs, contenus de pages, captures, métadonnées techniques.

Base légale : art. 6(1)(b) RGPD pour l'analyse demandée et art. 6(1)(f) pour qualité, sécurité et débogage. Transferts protégés par clauses contractuelles types. Plus d'informations : [https://www.firecrawl.dev/privacy-policy](https://www.firecrawl.dev/privacy-policy).

#### Apify (extraction de sources sociales et vidéo)

**Apify Technologies s.r.o.**, République tchèque, est utilisé pour extraire des contenus publics web, sociaux et transcriptions vidéo lorsque vous fournissez une URL ou demandez une collecte de sources. Données possibles : URLs, métadonnées publiques, transcriptions et journaux d'extraction.

Base légale : art. 6(1)(b) RGPD.

#### Serper (API de recherche)

**Serper** est utilisé pour la recherche publique, images/vidéos et découverte de sources. Les termes de recherche et métadonnées de résultats sont transmis.

Base légale : art. 6(1)(b) RGPD. Transferts vers des pays tiers sur clauses contractuelles types si nécessaire.

#### OCR.space (reconnaissance optique de caractères)

**OCR.space API**, exploité par A9t9 software GmbH, Oberstdorf, Allemagne, extrait le texte d'images et documents téléversés lorsque l'OCR est requise.

Base légale : art. 6(1)(b) RGPD. Les données restent dans l'UE. Plus d'informations : [https://ocr.space/privacypolicy](https://ocr.space/privacypolicy).

#### API publique, MCP, extension navigateur et clients externes

Lorsque vous utilisez notre API publique, serveur MCP, extension navigateur, widgets ou clients tiers connectés à Minds (p. ex. ChatGPT, Claude, OpenRouter, Open WebUI ou LibreChat), nous traitons clés API, codes/tokens OAuth, scopes, métadonnées de requête, appels d'outils, prompts, contenus, identifiants session/widget et journaux d'audit nécessaires à l'authentification, au routage, à la sécurité et à la livraison.

Base légale : art. 6(1)(b) RGPD et art. 6(1)(f) pour sécurité/audit. Les clients tiers choisis par vous peuvent traiter vos données indépendamment selon leurs propres conditions.

#### Intégration Google Calendar

Si vous connectez Google Calendar, nous utilisons l'API Google Calendar pour synchroniser événements et métadonnées. Nous demandons le scope calendar.events, stockons tokens, créons des webhooks, lisons événements futurs et participants, créons des Minds liés et pouvons mettre à jour les descriptions avec des liens Mind.

Base légale : art. 6(1)(a) RGPD (consentement) et art. 6(1)(b). Vous pouvez déconnecter l'intégration ; tokens, webhooks et événements synchronisés sont supprimés sous réserve des sauvegardes.

#### Twilio (SMS, WhatsApp et appels vocaux)

Les fonctions optionnelles de messagerie et téléphone utilisent **Twilio Inc.** pour SMS, WhatsApp, numéros et flux médias d'appels vocaux. Données possibles : numéros attribués, expéditeurs/appelants, métadonnées/contenu de messages, métadonnées d'appels et audio. Les appels vocaux peuvent aussi être traités par Deepgram et Fish Audio.

Base légale : art. 6(1)(b) RGPD ; si un consentement est requis pour enregistrement, clonage vocal ou fonctions similaires, art. 6(1)(a) s'applique.

### h. Communication par courriel

Pour l'envoi de courriels relatifs à la plateforme (p. ex. confirmations d'inscription, réinitialisations de mot de passe), le service **Resend** est utilisé, proposé par Resend Inc., 548 Market St PMB 95453, San Francisco, CA 94104-5401, États-Unis. Resend traite l'adresse électronique pour notre compte.

La base légale de ce traitement est l'art. 6, al. 1, lit. b du RGPD (exécution du contrat) pour les courriels transactionnels. Un accord de traitement des données (DPA) a été conclu avec Resend. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Pour plus d'informations, veuillez consulter la politique de confidentialité de Resend : [https://resend.com/legal/privacy-policy](https://resend.com/legal/privacy-policy).

### i. Cookies

Le site et l'application utilisent cookies, stockage local et technologies similaires. Le stockage nécessaire sert à la connexion, sécurité, langue, consentement, session et fonctions essentielles. Les cookies non essentiels d'analyse ou marketing et stockages comparables ne sont utilisés qu'avec consentement.

Pour les utilisateurs en Allemagne, l'accès ou le stockage d'informations sur l'appareil repose, le cas échéant, sur le § 25 TDDDG. Le traitement de données personnelles associé repose sur l'art. 6(1)(a) RGPD pour l'analyse/marketing avec consentement et sur l'art. 6(1)(f) pour les fonctions strictement nécessaires de sécurité, prévention de fraude et service. Vous pouvez modifier ou retirer votre consentement à tout moment dans les paramètres de cookies.

### j. Analyse web avec Google Analytics

Ce site web utilise les fonctions du service d'analyse web Google Analytics. Le fournisseur est Google Ireland Limited (« Google »), Gordon House, Barrow Street, Dublin 4, Irlande.

Google Analytics utilise des cookies qui permettent l'analyse de votre utilisation du site web. Les informations générées par le cookie concernant votre utilisation de ce site web sont généralement transférées vers un serveur Google aux États-Unis et y sont stockées.

Le stockage des cookies de Google Analytics et l'utilisation de cet outil d'analyse sont fondés sur votre consentement conformément à l'art. 6, al. 1, lit. a du RGPD. Vous pouvez modifier ou révoquer ce consentement à tout moment via nos paramètres de cookies.

Nous avons activé l'anonymisation de l'adresse IP sur ce site web. Par conséquent, votre adresse IP est raccourcie par Google au sein des États membres de l'Union européenne ou dans d'autres États contractants de l'accord sur l'Espace économique européen avant d'être transmise aux États-Unis.

Nous avons conclu un accord de traitement des données avec Google.

Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Vous trouverez plus de détails ici : [https://privacy.google.com/businesses/controllerterms/mccs/](https://privacy.google.com/businesses/controllerterms/mccs/).

Pour plus d'informations sur le traitement des données utilisateur par Google Analytics, veuillez consulter la politique de confidentialité de Google : [https://support.google.com/analytics/answer/6004245](https://support.google.com/analytics/answer/6004245).

### k. Analyse produit avec PostHog

Nous utilisons **PostHog**, fourni par PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, États-Unis.

PostHog nous aide à comprendre l'utilisation de la plateforme et peut inclure le session replay. Les cookies analytiques persistants, la persistance localStorage, l'identification analytique et le session replay ne sont utilisés qu'avec consentement Analytics. Sans ce consentement, PostHog est configuré sans cookies analytiques persistants ; des événements limités sans cookies ou en mémoire peuvent être traités pour fiabilité, prévention des abus et amélioration agrégée du service lorsque cela est licite.

Base légale de l'analyse avec consentement : art. 6(1)(a) RGPD. Pour le traitement limité nécessaire à la sécurité, fiabilité et prévention des abus : art. 6(1)(f). Vous pouvez modifier ou retirer le consentement dans les paramètres de cookies.

Nous avons conclu un accord de traitement avec PostHog. Les données sont traitées dans la région UE. Plus d'informations : [https://posthog.com/privacy](https://posthog.com/privacy).

### l. Tests A/B avec Convoy Labs

Nous utilisons **Convoy Labs** pour des tests A/B de configurations d'agents IA afin d'optimiser la qualité et les performances de nos fonctionnalités d'IA. Lorsque vous interagissez avec les fonctionnalités d'IA, des métadonnées techniques sur l'interaction (telles que la configuration de modèle utilisée et les métriques de qualité de réponse) peuvent être traitées par Convoy Labs.

La base légale de ce traitement est l'art. 6, al. 1, lit. f du RGPD (intérêt légitime). Notre intérêt légitime réside dans l'optimisation et l'amélioration de la qualité de nos fonctionnalités d'IA. Un accord de traitement des données a été conclu avec Convoy Labs. Le transfert de données vers les États-Unis est fondé sur les clauses contractuelles types de la Commission européenne. Aucune information personnellement identifiable au-delà des métadonnées techniques d'interaction n'est partagée avec Convoy Labs.

### m. Suivi des conversions avec TikTok Pixel

Nous utilisons le **TikTok Pixel**, un outil de suivi des conversions fourni par TikTok Information Technologies UK Limited et TikTok Technology Limited (« TikTok »). Le TikTok Pixel nous permet de suivre les actions des utilisateurs et de mesurer l'efficacité de nos campagnes publicitaires sur TikTok.

Le TikTok Pixel collecte des données sur vos interactions avec notre site web (p. ex. vues de page, inscriptions) et les transmet à TikTok. Le TikTok Pixel n'est **activé qu'avec votre consentement explicite** pour les cookies marketing (art. 6, al. 1, lit. a du RGPD). Vous pouvez révoquer votre consentement à tout moment.

Le transfert de données vers des pays tiers est sécurisé par les clauses contractuelles types de la Commission européenne. Pour plus d'informations sur le traitement des données par TikTok : [https://www.tiktok.com/legal/page/eea/privacy-policy/en](https://www.tiktok.com/legal/page/eea/privacy-policy/en).

### n. Suivi des conversions avec X Pixel

Nous utilisons le **X Pixel** (anciennement Twitter Pixel), un outil de suivi des conversions fourni par X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, États-Unis (« X »). Cet outil nous aide à mesurer le succès de notre publicité sur X.

Le X Pixel suit les actions sur notre site web et les transmet à X. Le X Pixel n'est **activé qu'avec votre consentement explicite** pour les cookies marketing (art. 6, al. 1, lit. a du RGPD). Vous pouvez révoquer votre consentement à tout moment.

Le transfert de données vers les États-Unis est sécurisé par les clauses contractuelles types de la Commission européenne. Pour plus d'informations sur le traitement des données par X : [https://twitter.com/en/privacy](https://twitter.com/en/privacy).

## 5. Durée de conservation et suppression des données

Les données à caractère personnel sont stockées pendant les périodes suivantes :

<table>
<thead>
  <tr>
    <th>
      Catégorie de données
    </th>
    
    <th>
      Période de conservation
    </th>
    
    <th>
      Raison
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Données de compte (nom, courriel)
    </td>
    
    <td>
      Durée du compte + 30 jours après suppression
    </td>
    
    <td>
      Exécution du contrat et récupération du compte
    </td>
  </tr>
  
  <tr>
    <td>
      Contenu utilisateur (Flows, Minds)
    </td>
    
    <td>
      Durée du compte + 30 jours après suppression
    </td>
    
    <td>
      Exécution du contrat
    </td>
  </tr>
  
  <tr>
    <td>
      Configurations et entrées de Group Grounding
    </td>
    
    <td>
      Durée du compte + 30 jours après suppression
    </td>
    
    <td>
      Exécution du contrat
    </td>
  </tr>
  
  <tr>
    <td>
      Jeux de données de distribution agrégés (aucune donnée personnelle)
    </td>
    
    <td>
      Actualisés périodiquement ; mis en cache aussi longtemps que nécessaire pour la fonctionnalité
    </td>
    
    <td>
      Intérêt légitime / finalité statistique
    </td>
  </tr>
  
  <tr>
    <td>
      Fichiers journaux du serveur
    </td>
    
    <td>
      90 jours
    </td>
    
    <td>
      Sécurité et débogage
    </td>
  </tr>
  
  <tr>
    <td>
      Registres de paiement
    </td>
    
    <td>
      10 ans après la transaction
    </td>
    
    <td>
      Droit fiscal allemand (art. 147 AO)
    </td>
  </tr>
  
  <tr>
    <td>
      Registres de consentement
    </td>
    
    <td>
      3 ans après retrait
    </td>
    
    <td>
      Preuve du consentement (art. 7 RGPD)
    </td>
  </tr>
  
  <tr>
    <td>
      Modération du contenu, notifications de contenu illégal, recours et dossiers de décision
    </td>
    
    <td>
      Jusqu'à 3 ans ; plus longtemps si nécessaire pour des réclamations juridiques
    </td>
    
    <td>
      Conformité légale, prévention des abus, défense des droits
    </td>
  </tr>
  
  <tr>
    <td>
      Données analytiques
    </td>
    
    <td>
      14 mois
    </td>
    
    <td>
      Amélioration du service
    </td>
  </tr>
  
  <tr>
    <td>
      Journaux d'interactions IA
    </td>
    
    <td>
      90 jours
    </td>
    
    <td>
      Assurance qualité et débogage
    </td>
  </tr>
  
  <tr>
    <td>
      Clés API, tokens OAuth/MCP et journaux d'audit d'intégration
    </td>
    
    <td>
      Durée du compte ou jusqu'à révocation ; journaux sécurité/audit jusqu'à 3 ans
    </td>
    
    <td>
      Exécution du contrat, sécurité, prévention des abus
    </td>
  </tr>
  
  <tr>
    <td>
      Tokens Google Calendar, webhooks et métadonnées d'événements synchronisés
    </td>
    
    <td>
      Jusqu'à déconnexion ou suppression du compte + 30 jours
    </td>
    
    <td>
      Consentement / exécution du contrat
    </td>
  </tr>
  
  <tr>
    <td>
      Métadonnées SMS/WhatsApp/voix et numéros attribués
    </td>
    
    <td>
      Durée d'utilisation de la fonction/du compte + 30 jours ; registres fournisseur selon rétention applicable
    </td>
    
    <td>
      Exécution du contrat, prévention des abus
    </td>
  </tr>
  
  <tr>
    <td>
      URLs soumises, résultats d'extraction web, captures et métadonnées de recherche
    </td>
    
    <td>
      Durée du Mind/Flow/Group lié + 30 jours sauf cache agrégé non personnel
    </td>
    
    <td>
      Exécution du contrat et reproductibilité
    </td>
  </tr>
  
  <tr>
    <td>
      Données de sauvegarde
    </td>
    
    <td>
      30 jours après suppression des systèmes actifs
    </td>
    
    <td>
      Reprise après sinistre
    </td>
  </tr>
</tbody>
</table>

**Droit à la suppression :** la suppression du compte et de toutes les données associées peut être demandée à tout moment. Cela peut être fait directement dans les paramètres sous [/settings/preferences](/settings/preferences). Après une telle demande, les données à caractère personnel et le contenu utilisateur sont définitivement supprimés des systèmes actifs dans un délai de 30 jours. Les données de sauvegarde sont purgées selon notre calendrier de conservation des sauvegardes. Les données ne seront plus utilisées pour entraîner de nouveaux modèles, et toutes les mesures techniques raisonnables seront prises pour les supprimer également des modèles existants.

## 6. Prise de décision automatisée et profilage

Notre plateforme utilise des fonctionnalités alimentées par l'IA qui peuvent impliquer un traitement automatisé de vos données :

### Fonctionnalités assistées par IA

Lorsque vous utilisez nos fonctionnalités d'IA (Flows, Minds, Group Grounding), vos saisies sont traitées par des modèles d'IA pour générer des sorties. Ce traitement :

- **Ne constitue pas une prise de décision automatisée** produisant des effets juridiques ou significatifs comparables au sens de l'art. 22 du RGPD
- Est utilisé uniquement pour fournir les services créatifs et conversationnels que vous demandez
- Ne donne pas lieu à des décisions produisant des effets juridiques ou vous affectant significativement
- Reste sous votre contrôle — vous décidez de la manière d'utiliser les sorties générées par IA

### Personnalisation

Si vous créez un modèle IA personnel (« My Mind »), le système analyse votre contenu téléversé pour créer un assistant IA personnalisé. Ceci est fondé sur votre demande et consentement explicites (art. 6, al. 1, lit. a et b du RGPD). Vous pouvez supprimer votre modèle personnel à tout moment.

### Modération du contenu, notifications et recours

Nous pouvons utiliser des systèmes automatisés et un examen humain pour détecter le contenu qui enfreint nos Conditions générales d'utilisation ou la loi applicable, notamment les contenus préjudiciables, illégaux, contrefaisants, abusifs ou présentant un risque pour la sécurité. Le contenu signalé peut être examiné par notre équipe.

Lorsque des utilisateurs ou des tiers soumettent des notifications de contenu illégal, des plaintes relatives à des droits, des recours contre une modération ou des objections, nous traitons les informations nécessaires pour évaluer et documenter la demande. Cela peut inclure les coordonnées du signalant, les identifiants de compte, les URLs/IDs de contenu, les motifs et preuves soumis, les dossiers de décision de modération, les horodatages et les communications de suivi.

La base juridique est l'art. 6, par. 1, let. c RGPD lorsque le traitement est requis par la loi, l'art. 6, par. 1, let. f RGPD pour l'intégrité du service, la prévention des abus, la défense juridique et la défense des droits, et l'art. 6, par. 1, let. b RGPD lorsque la modération est nécessaire à l'exécution ou à l'application du contrat utilisateur. Les dossiers de modération et de notification sont généralement conservés jusqu'à 3 ans, sauf si une durée plus longue est nécessaire pour constater, exercer ou défendre des droits en justice.

### Vos droits concernant le traitement automatisé

Vous avez le droit de :

- Obtenir une intervention humaine dans les décisions qui vous affectent significativement
- Exprimer votre point de vue et contester les décisions
- Demander des informations sur la logique impliquée dans le traitement automatisé
- Vous opposer au traitement automatisé non essentiel

Pour exercer ces droits, contactez-nous à [privacy@getminds.ai](mailto:privacy@getminds.ai).

## 7. Transparence au titre du règlement IA de l'UE et contenu généré par IA

### 7.1 Divulgation du système d'IA

Minds est une plateforme alimentée par l'IA relevant du règlement (UE) 2024/1689 (« règlement IA de l'UE »). Les obligations de transparence de l'art. 50 s'appliquent à partir du 2 août 2026. Jusque-là, cette section décrit nos divulgations actuelles, obligations contractuelles et mesures de préparation.

### 7.2 Notification d'interaction avec l'IA

Avant ou lors de votre première interaction avec un Mind ou assistant IA, nous vous informons que vous interagissez avec un système d'IA et non une personne physique. Cette notification est fournie via l'app, l'onboarding et des labels d'interface. Nous traitons identifiant de compte, horodatage et métadonnées d'accusé si nécessaire.

### 7.3 Étiquetage et marquage lisible par machine

Minds étiquette les sorties IA dans l'interface et stocke des métadonnées de génération : type de contenu, horodatage, modèle/fournisseur si disponible et contexte. Nous préparons un marquage lisible par machine et des métadonnées de provenance pour les exports texte, audio et image conformément à l'art. 50(2), dans la mesure techniquement réalisable d'ici le 2 août 2026.

Ces métadonnées ne servent pas au profilage ni au marketing. Elles servent à divulguer l'origine IA, soutenir l'auditabilité, préserver le contexte des sorties partagées/exportées et répondre aux demandes de transparence.

### 7.4 Divulgation du contenu synthétique

Lorsque des Minds simulent le style, la voix, l'apparence ou le comportement de personnes réelles ou fictives, ou lorsque des panels group-grounded produisent des sorties agrégées, la sortie est synthétique. Nous divulguons cette origine artificielle par des labels visibles et, si faisable, des métadonnées/provenance. Nous traitons configuration du Mind, Group Grounding, journaux de génération et métadonnées.

### 7.5 Base légale

Jusqu'à l'application des obligations de transparence le 2 août 2026, le traitement de transparence et de préparation à la provenance repose sur l'art. 6(1)(b) RGPD pour fournir le service et l'art. 6(1)(f) pour responsabilité, sécurité et prévention des abus. À partir du 2 août 2026, lorsque nécessaire pour l'art. 50, la base sera l'art. 6(1)(c) RGPD.

### 7.6 Données traitées à des fins de transparence IA

<table>
<thead>
  <tr>
    <th>
      Catégorie de données
    </th>
    
    <th>
      Finalité
    </th>
    
    <th>
      Conservation
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Registres de notification IA
    </td>
    
    <td>
      Preuve de divulgation du système IA
    </td>
    
    <td>
      Durée du compte + 3 ans
    </td>
  </tr>
  
  <tr>
    <td>
      Métadonnées de génération et provenance disponible
    </td>
    
    <td>
      Étiquetage d'origine IA, contexte d'export, auditabilité
    </td>
    
    <td>
      Tant que le contenu existe + 1 an
    </td>
  </tr>
  
  <tr>
    <td>
      Données persona/configuration Mind
    </td>
    
    <td>
      Divulgation synthétique et prévention des abus
    </td>
    
    <td>
      Durée du compte + 3 ans
    </td>
  </tr>
  
  <tr>
    <td>
      Configuration Group Grounding
    </td>
    
    <td>
      Divulgation des sorties synthétiques group-grounded
    </td>
    
    <td>
      Durée du compte + 3 ans
    </td>
  </tr>
  
  <tr>
    <td>
      Journaux de génération
    </td>
    
    <td>
      Auditabilité, débogage, responsabilité réglementaire
    </td>
    
    <td>
      3 ans depuis la création
    </td>
  </tr>
</tbody>
</table>

### 7.7 Vos droits

Outre vos droits RGPD (section 8), vous pouvez demander confirmation qu'une sortie a été générée par IA et quelles métadonnées sont disponibles. Lorsque le traitement repose sur l'intérêt légitime, vous pouvez vous y opposer selon l'art. 21 RGPD. Le traitement légalement requis après application du règlement IA ne peut être exclu.

## 8. Droits de la personne concernée

Les personnes concernées disposent des droits suivants concernant leurs données à caractère personnel :

- **Droit d'accès** (art. 15 RGPD)
- **Droit de rectification** (art. 16 RGPD)
- **Droit à l'effacement** (« droit à l'oubli ») (art. 17 RGPD)
- **Droit à la limitation du traitement** (art. 18 RGPD)
- **Droit à la portabilité des données** (art. 20 RGPD)
- **Droit d'opposition** (art. 21 RGPD)

Il existe également le droit de **retirer** le consentement à tout moment avec effet pour l'avenir (art. 7, al. 3 du RGPD). Le retrait du consentement n'affecte pas la licéité du traitement effectué sur la base du consentement avant son retrait.

Pour exercer ces droits, l'adresse de contact mentionnée ci-dessus peut être utilisée.

## 9. Droit d'introduire une réclamation auprès d'une autorité de contrôle

Sans préjudice de tout autre recours administratif ou juridictionnel, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle, notamment dans l'État membre de votre résidence, de votre lieu de travail ou du lieu de la violation présumée, si vous estimez que le traitement de vos données à caractère personnel viole le RGPD (art. 77 RGPD).

L'autorité de contrôle compétente pour nous est :

**Berliner Beauftragte für Datenschutz und Informationsfreiheit**<br />


Friedrichstr. 219<br />


10969 Berlin<br />


Allemagne<br />


Téléphone : +49 30 13889-0<br />


Courriel : [mailbox@datenschutz-berlin.de](mailto:mailbox@datenschutz-berlin.de)<br />


Site web : [https://www.datenschutz-berlin.de](https://www.datenschutz-berlin.de)

## 10. Sécurité des données

Toutes les mesures de sécurité techniques et organisationnelles nécessaires sont prises pour protéger les données à caractère personnel contre la perte et l'usage abusif. Les données sont stockées dans un environnement d'exploitation sécurisé qui n'est pas accessible au public. La transmission de données est chiffrée à l'aide de la technologie SSL.

## 11. Modifications de la présente politique de confidentialité

Nous nous réservons le droit d'adapter la présente politique de confidentialité afin qu'elle soit toujours conforme aux exigences légales en vigueur ou pour mettre en œuvre des modifications des services dans la politique de confidentialité, p. ex. lors de l'introduction de nouveaux services. La nouvelle politique de confidentialité s'appliquera alors aux futures visites.