POLITIQUE DE CONFIDENTIALITÉ MUYA
Version 1.0 | En vigueur à compter du 15.05.2026
1. Introduction et informations générales
La présente Politique de Confidentialité établit les règles de traitement des données personnelles des personnes utilisant le site web www.muya.app (ci-après : « le Site »), l’application mobile MUYA (ci-après : « l’Application ») et le service de newsletter géré par le Responsable du Traitement.
Ce document a été élaboré conformément aux exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles (ci-après : « RGPD »), en tenant compte des dispositions locales applicables dans les juridictions où l’Application est disponible (détails à l’article 16).
Nous vous invitons à lire attentivement la présente Politique. L’utilisation du Site, de l’Application ou l’inscription à la newsletter implique l’acceptation des règles décrites dans le présent document. Pour toute question relative à la protection des données personnelles, veuillez nous contacter à : hi@muya.app.
2. Responsable du Traitement
Le responsable du traitement au sens de l’article 4, paragraphe 7, du RGPD est Sopraya Sp. z o.o. dont le siège social est situé à Chodzież (64-800), ul. Krasińskiego 20, inscrite au registre des entrepreneurs du KRS tenu par le Tribunal d’Arrondissement Poznań – Nowe Miasto i Wilda à Poznań, IXe Section Commerciale, sous le numéro KRS 0001165422, NIP 6070098148, REGON 541318039.
Coordonnées du Responsable du Traitement :
- adresse électronique (questions RGPD et protection des données) : hi@muya.app
- adresse électronique (réclamations) : contact@sopraya.com
- téléphone : +48 660 927 243
- adresse postale : ul. Krasińskiego 20, 64-800 Chodzież, Pologne
Le Responsable du Traitement n’a pas désigné de Délégué à la Protection des Données (DPD), car l’ampleur et la nature des données traitées ne nécessitent pas une telle désignation au titre de l’article 37 du RGPD. Pour toute question concernant le traitement des données personnelles, veuillez nous contacter à hi@muya.app.
3. Définitions
Aux fins de la présente Politique, les termes suivants ont les significations indiquées ci-après :
- Responsable du Traitement – Sopraya Sp. z o.o. tel que décrit à l’article 2.
- Site – le site web disponible à l’adresse www.muya.app, incluant le blog et le formulaire d’inscription à la newsletter.
- Application – l’application mobile MUYA disponible pour les appareils iOS (App Store) et Android (Google Play).
- Utilisateur – toute personne physique âgée d’au moins 16 ans utilisant le Site, l’Application ou la newsletter.
- Utilisateur B2C – Utilisateur individuel ayant souscrit un abonnement directement via l’App Store ou Google Play.
- Utilisateur B2B – Utilisateur ayant obtenu l’accès à l’Application via un abonnement professionnel accordé par son employeur (Organisation).
- Organisation – entité (entreprise) ayant conclu un contrat B2B avec le Responsable du Traitement pour l’accès à l’Application par ses employés ou collaborateurs.
- Données personnelles – toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l’article 4, paragraphe 1, du RGPD.
- Traitement – toute opération effectuée sur des données personnelles, au sens de l’article 4, paragraphe 2, du RGPD.
- Sous-traitant – tiers fournissant des services techniques, analytiques ou marketing au Responsable du Traitement, à qui le Responsable du Traitement confie le traitement de données personnelles sur la base d’un contrat approprié.
- Newsletter – service d’envoi gratuit et périodique de messages électroniques contenant des informations commerciales et marketing sur les activités du Responsable du Traitement.
4. Champ d’application de la présente Politique
La présente Politique régit le traitement des données dans les domaines suivants :
- Site www.muya.app – site web d’information avec blog et formulaire d’inscription à la newsletter. Le Site a un caractère de présentation et de marketing.
- Newsletter – service d’envoi de messages marketing, géré via le formulaire d’inscription sur le Site et (optionnellement) dans l’Application.
- Application mobile MUYA – modèle B2C – utilisation de l’Application par des Utilisateurs individuels ayant souscrit eux-mêmes un abonnement.
- Application mobile MUYA – modèle B2B – utilisation de l’Application par des Utilisateurs auxquels l’employeur (Organisation) a accordé l’accès dans le cadre d’un contrat B2B.
La présente Politique s’applique à l’échelle mondiale. L’Application est disponible en 6 versions linguistiques (polonais, anglais, allemand, italien, espagnol, français) et peut être utilisée par des Utilisateurs de tout pays, sous réserve des dispositions locales décrites à l’article 16. D’autres versions linguistiques (dont la version japonaise) seront mises à disposition dans le cadre des prochaines phases de développement du produit, accompagnées des versions correspondantes de la présente Politique de Confidentialité.
5. Rôles juridiques du Responsable du Traitement
En fonction du modèle d’utilisation de l’Application, Sopraya Sp. z o.o. agit dans différents rôles juridiques :
5.1. Modèle B2C – Responsable du Traitement
À l’égard des Utilisateurs individuels (B2C), des utilisateurs du Site et des abonnés à la newsletter, Sopraya Sp. z o.o. agit en qualité de responsable du traitement au sens de l’article 4, paragraphe 7, du RGPD, en déterminant de manière autonome les finalités et les moyens du traitement.
5.2. Modèle B2B – Sous-traitant
À l’égard des Utilisateurs B2B dont les données (notamment les adresses électroniques) ont été transmises au Responsable du Traitement par l’Organisation afin de leur accorder l’accès à l’Application, Sopraya Sp. z o.o. agit en qualité de sous-traitant (article 28 du RGPD) pour le compte de l’Organisation. Dans ce cadre, le Responsable du Traitement traite les données personnelles exclusivement conformément aux instructions définies dans le Contrat de Sous-traitance du Traitement (DPA) conclu avec l’Organisation.
Indépendamment de ce qui précède, dès lors que l’Utilisateur crée un Compte et accepte les Conditions Générales d’Utilisation, Sopraya Sp. z o.o. agit également en qualité de responsable du traitement autonome à l’égard des données traitées pour ses propres finalités (p. ex. garantie de la sécurité de l’Application, exercice d’actions en justice).
Dans l’hypothèse où le modèle B2B alternatif fondé sur des Codes d’Activation B2B serait mis en place à l’avenir, Sopraya Sp. z o.o. agira exclusivement en qualité de responsable du traitement autonome à l’égard des données fournies directement par l’Utilisateur lors de la création du Compte, l’Organisation ne transmettant aucune donnée personnelle au Responsable du Traitement dans ce modèle.
6. Catégories de données personnelles traitées
6.1. Données collectées sur le Site (www.muya.app)
- adresse IP de l’appareil de l’Utilisateur
- identifiants de cookies et identifiants de technologies similaires
- informations sur l’appareil et le navigateur (User-Agent, système d’exploitation, résolution d’écran, langue)
- la page depuis laquelle l’Utilisateur a accédé au Site (referrer)
- données sur le comportement de l’Utilisateur sur le Site (pages visitées, durée de la session, interactions) – collectées via Google Analytics 4 (après obtention du consentement)
- données sur les interactions avec les publicités et les événements de conversion (clics sur les annonces Google et Meta) – collectées via Google Ads et Meta Pixel (après obtention du consentement)
- identifiants publicitaires utilisés pour le remarketing (Google Ads Remarketing, Meta Pixel) – traités exclusivement après obtention du consentement de l’Utilisateur
6.2. Données collectées lors de l’inscription à la newsletter
- adresse électronique
- prénom (optionnel, si le formulaire inclut un tel champ)
- date et heure de l’inscription dans le formulaire, adresse IP et identifiant de session (à des fins probatoires)
- date et heure de la confirmation du consentement par clic sur le lien d’activation envoyé à l’adresse électronique (mécanisme de double opt-in)
- données analytiques sur les interactions avec la newsletter (ouvertures d’e-mails, clics sur les liens) – traitées par MailerLite
6.3. Données collectées dans l’Application – identification et Compte
- adresse électronique (identifiant principal du Compte)
- prénom (optionnel ; peut provenir de la connexion via Apple Sign-In ou Google Sign-In ou avoir été saisi par l’Utilisateur)
- identifiant utilisateur dans le système Clerk (service de gestion des identités, principal fournisseur d’authentification)
- identifiant Apple ID ou de compte Google sous forme hachée (en cas de connexion via Apple Sign-In ou Google Sign-In)
- jetons de session JWT (stockés localement sur l’appareil)
6.4. Données techniques de l’Application
- identifiant de l’appareil (sur iOS : IDFV – Identifier for Vendor ; sur Android : Firebase Installation ID)
- système d’exploitation, version du système, version de l’Application
- langue de l’Application et fuseau horaire
- adresse IP (enregistrée dans les journaux Cloudflare et les journaux applicatifs)
- journaux applicatifs de Cloudflare Workers – événements techniques enregistrés (exceptions, erreurs serveur, temps de réponse de l’API) – conservés pendant 12 mois au maximum
- données de plantages et d’erreurs de l’Application (traces de pile, état de l’Application et de l’appareil au moment de l’erreur) – collectées dans la version de production par Firebase Crashlytics après obtention du consentement
6.5. Données d’utilisation (comportementales) dans l’Application
- historique des séances audio lues (enregistrements, date, durée de lecture)
- séances favorites
- heures de début et de fin des séances
- événements analytiques (ouvertures d’écrans, clics sur les éléments CTA), identifiant utilisateur et propriétés de l’utilisateur (type de compte, niveau d’abonnement, langue et thème de l’Application, fournisseur de connexion) – traités par Firebase Analytics après obtention du consentement dans l’Application
6.6. Données d’abonnement et de transaction
- statut de l’abonnement (gratuit / actif / expiré)
- type de plan (mensuel / annuel)
- date d’achat et date d’expiration de l’abonnement
- identifiant de transaction (App Store / Google Play / abonnement promotionnel / code d’activation)
- origine de l’abonnement (B2C – App Store ou Google Play ; B2B – attribution par l’Organisation ; code promotionnel)
- données relatives à l’utilisation des Codes Promotionnels (identifiant du code, date d’activation, type de code)
Le Responsable du Traitement ne conserve pas les numéros de cartes de paiement ni d’autres données de paiement ; les transactions sont traitées directement par App Store ou Google Play.
6.7. Données supplémentaires dans le modèle B2B
- nom de l’Organisation (employeur)
- numéro de facture
- période de validité de l’abonnement professionnel
- association de l’adresse électronique de l’Utilisateur à l’Organisation
- identifiant du lot de codes d’activation (dans le modèle avec codes)
- données de la Personne de Contact de l’Organisation (prénom, nom, e-mail, poste) – dans la mesure nécessaire à l’exécution du contrat
- données de facturation de l’Organisation (numéro de TVA intracommunautaire, adresse, coordonnées de facturation)
6.8. Données que nous NE collectons PAS
Le Responsable du Traitement déclare que, dans le cadre du Site et de l’Application :
- il ne collecte pas de données médicales ni de données relatives à l’état de santé des Utilisateurs
- il ne collecte pas de catégories particulières de données au sens de l’article 9 du RGPD (notamment les données biométriques, génétiques, relatives à la santé ou révélant l’origine raciale ou ethnique)
- il ne collecte pas de données de mineurs âgés de moins de 16 ans (détails à l’article 15)
- il ne conserve pas de mots de passe ; l’authentification est gérée par Clerk, avec prise en charge d’Apple Sign-In et de Google Sign-In
- il n’utilise pas le mécanisme App Tracking Transparency (ATT) ; il ne suit pas les Utilisateurs à travers les applications et les sites web d’autres entreprises
6.9. Données des Créateurs et Partenaires Promotionnels
Dans le cadre des programmes d’affiliation et des collaborations avec des Créateurs (influenceurs), le Responsable du Traitement traite les données suivantes des Créateurs :
- données d’identification et de contact (nom et prénom ou raison sociale, adresse électronique, numéro de téléphone)
- données de facturation (numéro de TVA intracommunautaire, adresse professionnelle, numéro de compte bancaire, coordonnées de facturation)
- données de collaboration (identifiant du Créateur, Codes Promotionnels attribués, identifiant de la campagne, statistiques de conversion)
- données de règlement (montant des commissions dues, nombre de conversions réussies, dates de règlement)
- informations sur les réseaux sociaux du Créateur (nom d’utilisateur, lien vers le profil) – uniquement dans la mesure nécessaire à la gestion de la campagne
7. Finalités et bases juridiques du traitement
Les données personnelles sont traitées aux finalités suivantes, sur les bases juridiques suivantes :
7.1. Fourniture des Services (gestion du Compte, mise à disposition de contenus audio, gestion de l’abonnement)
Base juridique : article 6, paragraphe 1, point b), du RGPD – traitement nécessaire à l’exécution d’un contrat auquel l’Utilisateur est partie (Conditions Générales d’Utilisation), ou à l’exécution de mesures précontractuelles prises à la demande de l’Utilisateur.
7.2. Envoi de la newsletter et communications marketing
Base juridique : article 6, paragraphe 1, point a), du RGPD – consentement volontaire de l’Utilisateur, ainsi que l’article L. 34-5 du Code des postes et des communications électroniques – pour l’envoi de communications commerciales par voie électronique.
Mécanisme de double opt-in : l’inscription à la newsletter s’effectue via un modèle de confirmation en deux étapes : (1) l’Utilisateur saisit son adresse électronique dans le formulaire ; (2) un e-mail de confirmation est envoyé et l’abonnement n’est activé qu’après que l’Utilisateur a cliqué sur le lien d’activation.
Retrait du consentement : le consentement peut être retiré à tout moment en cliquant sur le lien « Se désabonner » dans tout e-mail de la newsletter, ou en contactant le Responsable du Traitement à hi@muya.app. Le retrait du consentement n’affecte pas la licéité du traitement fondé sur le consentement antérieur à son retrait.
7.3. Analytique, diagnostic et développement du produit (GA4 sur le Site, Firebase dans l’Application)
Base juridique : article 6, paragraphe 1, point a), du RGPD – consentement exprimé dans le bandeau de consentement aux cookies (pour le Site) ou dans le message de consentement au premier lancement de l’Application ou dans les paramètres de l’Application (pour l’Application), avec la possibilité de le retirer à tout moment. Tant que le consentement n’est pas donné, l’analytique et le diagnostic dans l’Application restent désactivés.
7.4. Marketing, publicité et remarketing (Meta Pixel, Google Ads)
Base juridique : article 6, paragraphe 1, point a), du RGPD – consentement de l’Utilisateur exprimé dans le bandeau de consentement aux cookies.
Périmètre des activités marketing : le Responsable du Traitement mène des campagnes publicitaires dans l’écosystème Meta (Facebook, Instagram) et dans l’écosystème Google (Recherche Google, Réseau Display, YouTube) en utilisant des outils tels que Meta Pixel et Google Ads. Ces campagnes ciblent de potentiels nouveaux Utilisateurs et, lorsque le consentement a été obtenu, des Utilisateurs existants (remarketing).
Newsletter : le Responsable du Traitement ne transmet pas à Meta, Google ou d’autres plateformes publicitaires les adresses électroniques des abonnés à la newsletter aux fins de créer des audiences personnalisées ou de mener des campagnes ciblant les abonnés.
Retrait du consentement : le consentement aux cookies marketing peut être retiré à tout moment via les paramètres des cookies disponibles dans le pied de page du Site. Le retrait du consentement n’affecte pas la licéité du traitement fondé sur le consentement antérieur à son retrait.
7.5. Traitement des paiements et règlements
Base juridique : article 6, paragraphe 1, point b), du RGPD (exécution du contrat) et article 6, paragraphe 1, point c), du RGPD (obligation légale) – dans le cadre de l’émission de factures et du respect des exigences de la législation fiscale.
7.6. Traitement des demandes de contact et des réclamations
Base juridique : article 6, paragraphe 1, point b), du RGPD (mesures précontractuelles à la demande de la personne concernée ou exécution du contrat) et article 6, paragraphe 1, point f), du RGPD (intérêt légitime du Responsable du Traitement à traiter la correspondance et à résoudre les réclamations).
7.7. Garantie de la sécurité du Site et de l’Application ; prévention de la fraude
Base juridique : article 6, paragraphe 1, point f), du RGPD – intérêt légitime du Responsable du Traitement consistant à garantir la sécurité des systèmes informatiques, à détecter et prévenir les abus et à maintenir l’intégrité des systèmes.
7.8. Exercice et défense d’actions en justice
Base juridique : article 6, paragraphe 1, point f), du RGPD – intérêt légitime du Responsable du Traitement consistant à pouvoir établir, exercer ou défendre des actions en justice.
7.9. Règlements B2B (données de l’Organisation et de la Personne de Contact)
Base juridique : article 6, paragraphe 1, point b), du RGPD (exécution du Contrat B2B), article 6, paragraphe 1, point c), du RGPD (obligation légale – émission de factures, obligations fiscales), article 6, paragraphe 1, point f), du RGPD (intérêt légitime dans les règlements B2B).
7.10. Traitement des données des employés de l’Organisation pour le compte de l’Organisation (B2B)
Base juridique : article 28 du RGPD – sous-traitance du traitement sur la base d’un DPA distinct conclu entre le Responsable du Traitement et l’Organisation. Dans ce cadre, Sopraya Sp. z o.o. agit en qualité de sous-traitant et traite les données exclusivement conformément aux instructions de l’Organisation.
7.11. Collaboration avec les Créateurs et Partenaires Promotionnels (programmes d’affiliation)
Base juridique : article 6, paragraphe 1, point b), du RGPD (exécution du contrat conclu avec le Créateur), article 6, paragraphe 1, point f), du RGPD (intérêt légitime dans la gestion des programmes d’affiliation et le règlement des commissions).
La fourniture de données personnelles est volontaire mais nécessaire pour créer un Compte, souscrire un abonnement, s’inscrire à la newsletter ou conclure une collaboration en tant que Créateur. Sans les données requises, il ne sera pas possible d’utiliser le service concerné.
8. Sous-traitants et destinataires des données
Le Responsable du Traitement recourt à des prestataires de services externes de confiance qui peuvent traiter des données personnelles pour son compte. La liste actualisée des sous-traitants est la suivante :
8.1. Cloudflare, Inc. (États-Unis)
- Périmètre des services : hébergement de l’API de l’Application (Cloudflare Workers), stockage des fichiers audio (Cloudflare R2), CDN, protection DDoS, WAF (Web Application Firewall).
- Données traitées : adresse électronique, identifiant utilisateur, jetons de session, journaux d’accès, adresses IP, journaux d’événements techniques.
- Localisation : infrastructure edge mondiale. Transfert vers les États-Unis sécurisé par des Clauses Contractuelles Types (CCT) et le Cadre de protection des données UE-États-Unis (DPF).
8.2. DigitalOcean, LLC (Francfort, UE)
- Périmètre des services : base de données PostgreSQL gérée.
- Données traitées : ensemble complet des données du Compte Utilisateur, abonnements, historique des séances audio, données organisationnelles B2B.
- Localisation : Francfort, Allemagne (EEE).
8.3. Apple Inc. (États-Unis / UE)
- Périmètre des services : connexion via Apple Sign-In (SSO), traitement des paiements B2C via l’App Store.
- Données traitées : adresse électronique, prénom, identifiant Apple ID sous forme hachée, données de transactions.
- Localisation : États-Unis et UE. Transfert vers les États-Unis sécurisé par CCT et DPF.
8.4. Google LLC (États-Unis / UE)
- Périmètre des services : traitement des paiements B2C via Google Play (Android), connexion via Google Sign-In, Firebase Analytics, Google Analytics 4, Google Ads.
- Données traitées : identifiant de l’appareil, données de télémétrie, données de transactions, adresse électronique, événements d’utilisation et données de plantages de l’Application (Firebase Crashlytics). L’identifiant publicitaire concerne exclusivement le Site web (Google Ads) – l’Application ne collecte pas d’identifiants publicitaires.
- Localisation : États-Unis et UE. Transfert vers les États-Unis sécurisé par CCT et DPF.
8.5. RevenueCat, Inc. (États-Unis)
- Périmètre des services : gestion des abonnements et des droits des Utilisateurs, synchronisation du statut de l’abonnement entre les plateformes (App Store, Google Play, B2B).
- Données traitées : adresse électronique, identifiant Utilisateur (appUserId), historique des paiements, statut de l’abonnement.
- Localisation : États-Unis. Transfert sécurisé par CCT et DPF.
8.6. Clerk, Inc. (États-Unis)
- Périmètre des services : service de gestion de l’identité utilisateur (authentification et gestion des utilisateurs), gestion de la connexion par e-mail, Apple Sign-In, Google Sign-In.
- Données traitées : adresse électronique, prénom, identifiant Utilisateur, métadonnées de session (adresse IP, User-Agent, identifiant de l’appareil).
- Localisation : États-Unis. Transfert sécurisé par CCT et DPF.
8.7. Firebase (Google Ireland Limited / Google LLC)
- Périmètre des services : analytique et statistiques d’utilisation de l’Application mobile (Firebase Analytics), surveillance de la stabilité et rapports de plantages (Firebase Crashlytics) et attribution de l’identifiant d’installation (Firebase Installations). À l’avenir – notifications push (la fonctionnalité sera activée dans une version future de l’Application).
- Firebase Analytics et Crashlytics sont désactivés par défaut et ne sont activés que lorsque l’Utilisateur donne son consentement volontaire dans l’Application (message de consentement au premier lancement) ou dans les paramètres de l’Application. Le consentement peut être retiré à tout moment dans les paramètres de l’Application ; le retrait arrête la collecte ultérieure de données et supprime l’identifiant d’installation de l’appareil, mais ne couvre pas les données déjà transmises à Google avant le retrait (conservées jusqu’à l’expiration de la durée de conservation). Firebase Analytics fonctionne sur les appareils Android ; sur les appareils iOS, il reste désactivé dans la configuration de l’Application.
- Données traitées : événements d’utilisation (notamment ouvertures d’écrans, lecture de séances audio, événements d’abonnement et de codes cadeaux) avec paramètres ; propriétés de l’utilisateur (type de compte, niveau d’abonnement, langue et thème de l’Application, fournisseur de connexion) ; identifiant utilisateur et Firebase Installation ID (appareils Android) ; données automatiques du SDK sur Android (modèle et système de l’appareil, version de l’Application, données de session) ; pour Crashlytics – données de plantages et d’erreurs de l’Application (traces de pile, état de l’Application et de l’appareil au moment de l’erreur) associées à l’identifiant utilisateur.
- L’Application n’utilise pas le module publicitaire (AdMob) et ne collecte pas d’identifiants publicitaires de l’appareil (IDFA / GAID) ; les données Firebase ne sont pas utilisées à des fins publicitaires ni de remarketing.
- Base juridique : article 6, paragraphe 1, point a), du RGPD – consentement de l’Utilisateur exprimé dans l’Application.
- Localisation : États-Unis et UE. Transfert vers les États-Unis sécurisé par des Clauses Contractuelles Types (CCT) et dans le cadre de l’EU-US Data Privacy Framework (DPF) – Google LLC est une entité certifiée dans le cadre du DPF.
8.8. MailerLite Limited (Irlande, UE)
- Périmètre des services : envoi de la newsletter, gestion de la liste d’abonnés, analyse des ouvertures et des clics.
- Données traitées : adresse électronique, prénom (si fourni), date d’inscription, adresse IP, données d’interaction (ouvertures, clics).
- Localisation : Irlande (EEE). MailerLite peut avoir recours à des sous-traitants en dehors de l’EEE ; détails disponibles à l’adresse : https://www.mailerlite.com/legal/data-processing-agreement.
8.9. Google Analytics 4 (Google LLC)
- Périmètre des services : analyse du trafic sur le Site www.muya.app.
- Données traitées : adresse IP anonymisée, identifiants de cookies, données de l’appareil et du navigateur, données comportementales sur le Site.
- Localisation : États-Unis et UE. Transfert sécurisé par CCT et DPF. Activé uniquement après obtention du consentement de l’Utilisateur via le bandeau de consentement aux cookies.
8.10. Meta Platforms Ireland Limited (Meta Pixel, Meta Ads)
- Périmètre des services : mesure de l’efficacité des campagnes publicitaires sur les plateformes Meta (Facebook, Instagram), gestion des campagnes de remarketing.
- Données traitées : identifiants de cookies, adresse IP, données sur les événements sur le Site, identifiants publicitaires.
- Localisation : Irlande et États-Unis. Transfert vers les États-Unis sécurisé par CCT et DPF. Meta Pixel n’est activé qu’après obtention du consentement de l’Utilisateur.
- Données newsletter : le Responsable du Traitement ne transmet à Meta aucune adresse électronique ni autre donnée personnelle des abonnés à la Newsletter aux fins de créer des audiences personnalisées.
8.11. Google Ads (Google Ireland Limited / Google LLC)
- Périmètre des services : gestion des campagnes Google Ads dans le moteur de recherche Google, le Réseau Display et YouTube ; remarketing.
- Données traitées : identifiants de cookies, identifiants publicitaires, adresse IP, données sur les événements sur le Site.
- Localisation : Irlande et États-Unis. Transfert vers les États-Unis sécurisé par CCT et DPF. Google Ads n’est activé qu’après obtention du consentement de l’Utilisateur.
La liste actualisée des sous-traitants est disponible dans la présente Politique. Le Responsable du Traitement informe les Utilisateurs de toute modification planifiée de la liste des sous-traitants et offre à l’Organisation (dans le modèle B2B) la possibilité de s’y opposer conformément aux conditions du DPA.
Les données personnelles peuvent également être communiquées à :
- des entités fournissant au Responsable du Traitement des services de comptabilité, juridiques et de conseil (sur la base de contrats de sous-traitance du traitement)
- des autorités publiques ou d’autres entités habilitées – exclusivement sur la base des dispositions réglementaires applicables
- dans le modèle B2B – à l’Organisation, exclusivement dans le périmètre des données de facturation et statistiques défini dans le DPA
9. Transferts de données en dehors de l’Espace Économique Européen
Certains sous-traitants du Responsable du Traitement sont établis en dehors de l’Espace Économique Européen (EEE), notamment aux États-Unis. Les transferts de données vers des pays tiers sont sécurisés par les mécanismes suivants :
- Clauses Contractuelles Types (CCT) approuvées par la Commission européenne en vertu de l’article 46, paragraphe 2, point c), du RGPD
- Cadre de protection des données UE-États-Unis (DPF) – pour les entités certifiées dans le cadre de ce programme (Cloudflare, Google, Meta, RevenueCat, Clerk, Apple)
- mesures techniques et organisationnelles supplémentaires (chiffrement en transit et au repos, restriction de l’accès au minimum nécessaire)
L’Utilisateur a le droit d’obtenir une copie des mesures de sécurité appliquées en contactant le Responsable du Traitement à hi@muya.app.
En utilisant le Site ou l’Application, l’Utilisateur prend note que ses données peuvent être transférées vers des pays en dehors de l’EEE, considérés comme assurant un niveau adéquat de protection des données grâce aux mécanismes décrits ci-dessus.
10. Durées de conservation des données
Les données personnelles sont conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, puis pendant la durée requise par la réglementation applicable ou justifiée par les intérêts légitimes du Responsable du Traitement.
10.1. Données du Compte Utilisateur (B2C)
Les données du Compte sont conservées pendant toute la durée d’utilisation de l’Application. Après déclenchement de la procédure de suppression du Compte :
- immédiatement après la demande de suppression – le Compte est désactivé et rendu inaccessible à l’Utilisateur
- après 30 jours à compter du déclenchement de la suppression – une tâche programmée (cron) procède à la suppression définitive (hard-delete) de l’ensemble des données du Compte de la base de données de production
Après le hard-delete, les données peuvent subsister exclusivement dans les sauvegardes d’infrastructure, pour des raisons techniques, pendant une durée maximale de 90 jours, à l’issue de laquelle elles sont définitivement supprimées.
10.2. Données des Utilisateurs B2B
Les données d’association Utilisateur-Organisation sont conservées pendant la durée de l’abonnement professionnel. À son expiration ou lors de la suppression du Compte de l’Utilisateur du pool de l’Organisation, les données sont supprimées conformément à la procédure décrite à l’article 10.1, sauf disposition contraire du DPA.
10.3. Données de facturation et factures
Les données nécessaires à l’émission de factures et aux règlements fiscaux (notamment les données de l’Organisation B2B et les données de transactions B2C) sont conservées pendant 10 ans à compter de la clôture de l’exercice comptable conformément aux exigences de la réglementation fiscale française.
10.4. Données des abonnés à la newsletter
L’adresse électronique et les données associées sont conservées jusqu’au retrait du consentement (désinscription) ou jusqu’à l’arrêt du service de newsletter.
En cas de non-confirmation de l’inscription via le mécanisme de double opt-in (absence de clic sur le lien d’activation dans un délai de 7 jours), les données sont automatiquement supprimées.
10.5. Données analytiques et marketing (Google Analytics 4, Google Ads, Meta Pixel, Firebase)
Les données analytiques et marketing sont conservées pendant une durée conforme à la configuration des services : Google Analytics 4 (Site) – durée de conservation configurée des données au niveau utilisateur jusqu’à 14 mois ; Firebase Analytics (Application) – durée de conservation configurée des données jusqu’à 14 mois ; Firebase Crashlytics (rapports de plantages de l’Application) – données de plantages (traces de pile, données de diagnostic, identifiants d’installation) pendant 90 jours, après quoi elles sont supprimées des systèmes de production et des sauvegardes ; Google Ads (cookies de conversion et de remarketing) – jusqu’à 540 jours conformément à la politique de Google ; Meta Pixel – conformément à la politique de Meta, généralement jusqu’à 2 ans. Les données sont supprimées plus tôt si l’Utilisateur retire son consentement dans le bandeau de cookies ou dans les paramètres de l’Application.
10.6. Données techniques et journaux système
Les journaux Cloudflare et autres journaux système sont conservés pendant une durée maximale de 12 mois, à l’issue de laquelle ils sont automatiquement supprimés.
10.7. Codes d’Activation B2B
Les informations sur les codes d’activation générés et utilisés sont conservées pendant 5 ans à compter de la date de génération, à des fins probatoires et de règlement.
10.8. Données relatives au traitement des réclamations et demandes
Les données de la correspondance de contact sont conservées pendant la durée nécessaire à la réponse à la demande et, en cas de réclamation ou de litige, pendant la durée nécessaire à sa résolution et jusqu’à l’expiration du délai de prescription des actions en justice.
10.9. Données traitées à des fins d’actions en justice
Dans la mesure où le traitement est nécessaire pour établir, exercer ou défendre des actions en justice, les données personnelles sont conservées pendant une durée égale au délai de prescription de ces actions conformément à la réglementation applicable.
11. Droits des personnes concernées
En vertu du RGPD, l’Utilisateur dispose des droits suivants :
- Droit d’accès (article 15 du RGPD) – obtenir la confirmation que le Responsable du Traitement traite des données le concernant et, le cas échéant, recevoir une copie de ces données ainsi que des informations sur le traitement.
- Droit de rectification (article 16 du RGPD) – demander la rectification de données inexactes ou le complètement de données incomplètes.
- Droit à l’effacement (« droit à l’oubli », article 17 du RGPD) – demander l’effacement des données lorsque, par exemple, elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, le consentement a été retiré ou les données ont été traitées illicitement.
- Droit à la limitation du traitement (article 18 du RGPD) – demander la suspension temporaire du traitement des données, par exemple lors de la vérification de l’exactitude des données ou de l’examen d’une opposition.
- Droit à la portabilité des données (article 20 du RGPD) – recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement.
- Droit d’opposition (article 21 du RGPD) – s’opposer au traitement fondé sur les intérêts légitimes du Responsable du Traitement (article 6, paragraphe 1, point f), du RGPD), y compris le profilage. Le Responsable du Traitement cessera le traitement, sauf s’il démontre l’existence de motifs légitimes impérieux qui prévalent sur les intérêts, droits et libertés de l’Utilisateur.
- Droit de retrait du consentement – à tout moment, sans préjudice de la licéité du traitement fondé sur le consentement antérieur à son retrait. Le retrait du consentement à la newsletter entraîne la désinscription de la liste de diffusion. Le retrait du consentement aux cookies analytiques entraîne la désactivation de GA4/Firebase.
- Droit d’introduire une réclamation auprès d’une autorité de contrôle – en France : la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr. Les Utilisateurs d’autres pays peuvent introduire une réclamation auprès de l’autorité compétente en matière de protection des données de leur pays de résidence.
Pour exercer les droits susmentionnés, veuillez nous contacter à hi@muya.app. Le Responsable du Traitement répond aux demandes dans les délais prévus par le RGPD (en général dans un délai d’un mois, avec possibilité de prolongation de deux mois supplémentaires dans les cas complexes).
Dans le modèle B2B, si la demande porte sur des données traitées par le Responsable du Traitement en qualité de sous-traitant pour le compte de l’Organisation, le Responsable du Traitement transmettra cette demande à l’Organisation en tant que responsable du traitement et l’assistera dans son traitement conformément au DPA.
12. Cookies et technologies similaires sur le Site
Le site web www.muya.app utilise des cookies et des technologies similaires (stockage web, pixels). Les cookies sont de petits fichiers texte stockés sur l’appareil de l’Utilisateur lors de la visite du Site.
12.1. Types de cookies utilisés
- Cookies techniques (nécessaires) – permettent le bon fonctionnement du Site (p. ex. traitement des formulaires, maintien de la session). Ces cookies ne nécessitent pas le consentement de l’Utilisateur.
- Cookies analytiques – utilisés pour collecter des statistiques sur l’utilisation du Site (Google Analytics 4). Activés uniquement avec le consentement de l’Utilisateur.
- Cookies marketing – utilisés pour les activités marketing, notamment le remarketing (Meta Pixel, Google Ads). Activés uniquement avec le consentement de l’Utilisateur.
12.2. Gestion du consentement aux cookies
Lors de la première visite du Site, l’Utilisateur voit apparaître un bandeau de consentement aux cookies (Plateforme de Gestion du Consentement – CMP). L’Utilisateur peut :
- accepter tous les cookies
- refuser tous les cookies optionnels (seuls les cookies techniques restent actifs)
- effectuer une sélection individuelle des catégories de cookies
Le consentement peut être modifié ou retiré à tout moment via les paramètres disponibles dans le pied de page du Site. Le retrait du consentement n’affecte pas la licéité du traitement fondé sur le consentement antérieur à son retrait.
13. Technologies locales dans l’Application mobile
L’application mobile MUYA n’utilise pas de cookies au sens traditionnel du terme. Dans le cadre de son fonctionnement, elle utilise les technologies de stockage local suivantes :
- jetons de session (JWT) – permettant le maintien de la session connectée de l’Utilisateur
- cache (stockage temporaire) – utilisé pour le stockage temporaire des contenus audio et des données d’interface afin d’améliorer les performances de l’Application
- SDK Firebase Analytics – pour la collecte d’événements analytiques ; SDK Firebase Crashlytics – pour le signalement des plantages et erreurs de l’Application. Tous deux désactivés par défaut, ils ne sont activés qu’après expression du consentement dans l’Application et désactivés après son retrait.
- SDK des prestataires de paiement (App Store / Google Play) – composants natifs du système d’exploitation gérant la vérification de l’abonnement ; ne stockent pas de données de cartes de paiement dans l’Application
L’Application n’utilise pas le mécanisme App Tracking Transparency (ATT) au sens de la politique d’Apple ; elle ne suit pas les Utilisateurs à travers les applications ou les sites web d’autres entreprises.
14. Sécurité des données
Le Responsable du Traitement met en œuvre des mesures techniques et organisationnelles garantissant la sécurité des données appropriées au niveau de risque, notamment :
- chiffrement des communications (TLS) sur l’ensemble de l’infrastructure réseau (Cloudflare)
- chiffrement des données au repos dans la base de données PostgreSQL gérée par DigitalOcean
- l’authentification est gérée par Clerk en tant que principal fournisseur d’identité, avec prise en charge de l’authentification multifacteur (MFA) pour les utilisateurs administrateurs
- jetons de session JWT avec versioning – permettant la révocation à distance de la session
- restriction de l’accès au panneau d’administration exclusivement aux employés habilités du Responsable du Traitement
- mises à jour logicielles régulières et audits de sécurité
- procédures de réponse aux incidents de sécurité et obligation de notifier les violations de données à l’autorité de contrôle dans un délai de 72 heures à compter de la prise de connaissance de l’incident (article 33 du RGPD)
15. Protection des données des mineurs
Le Site et l’Application ne sont pas destinés aux personnes âgées de moins de 16 ans. Le Responsable du Traitement ne collecte pas sciemment de données personnelles de personnes âgées de moins de 16 ans.
Le Responsable du Traitement applique un seuil d’âge uniforme et élevé de 16 ans dans le monde entier, indépendamment des dispositions locales en vigueur dans les différentes juridictions (p. ex. Royaume-Uni – 13 ans, Irlande – 13 ans, certains États membres de l’UE – 13 ou 14 ans). Cette décision résulte de la nature wellness de l’Application et de la volonté de maintenir une politique cohérente et transparente de protection des mineurs.
Lors de la création du Compte, l’Utilisateur déclare avoir au moins 16 ans. Si le Responsable du Traitement apprend que des données personnelles d’une personne âgée de moins de 16 ans ont été collectées, ces données seront immédiatement supprimées et le Compte sera bloqué.
Les parents ou tuteurs légaux soupçonnant qu’un mineur de moins de 16 ans a fourni ses données personnelles au Responsable du Traitement sont invités à nous contacter à hi@muya.app. Le Responsable du Traitement procédera à la suppression diligente de ces données.
16. Dispositions locales dans certaines juridictions
L’Application est disponible dans le monde entier. Outre les droits reconnus aux Utilisateurs en vertu du RGPD, les droits ou obligations supplémentaires suivants peuvent s’appliquer en fonction du pays de résidence de l’Utilisateur :
16.1. Royaume-Uni (UK RGPD et Data Protection Act 2018)
L’UK RGPD et le Data Protection Act 2018 s’appliquent aux Utilisateurs au Royaume-Uni. Les droits des Utilisateurs du Royaume-Uni sont équivalents à ceux décrits à l’article 11 de la présente Politique. Les Utilisateurs du Royaume-Uni peuvent introduire une réclamation auprès de l’Information Commissioner’s Office (ICO) : https://ico.org.uk.
Les transferts de données vers les États-Unis s’effectuent sur la base du UK-US Data Bridge (UK Extension to the EU-US Data Privacy Framework), ainsi que sur la base des Clauses Contractuelles Types adaptées au droit du Royaume-Uni (UK IDTA – International Data Transfer Agreement).
16.2. Suisse (Loi fédérale sur la protection des données – nLPD)
Les dispositions de la nouvelle Loi fédérale suisse sur la protection des données (nLPD, en vigueur depuis le 1er septembre 2023) s’appliquent aux Utilisateurs en Suisse. Les Utilisateurs suisses peuvent introduire une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) : https://www.edoeb.admin.ch.
Les transferts de données vers les États-Unis s’effectuent sur la base du Swiss-US Data Privacy Framework (Swiss-US DPF), reconnu par le PFPDT.
16.3. États-Unis – Californie (CCPA / CPRA)
Les résidents de l’État de Californie bénéficient de droits supplémentaires en vertu du California Consumer Privacy Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA), notamment :
- le droit de savoir (right to know) quelles données personnelles sont collectées, utilisées, divulguées ou vendues
- le droit de suppression des données personnelles
- le droit de rectification des données inexactes
- le droit de limiter l’utilisation des données personnelles sensibles (Sensitive Personal Information – SPI)
- le droit de s’opposer à la « vente » ou au « partage » de données personnelles (« Do Not Sell or Share My Personal Information »)
- le droit de ne pas faire l’objet de discrimination en lien avec l’exercice des droits susmentionnés
Le Responsable du Traitement déclare ne pas vendre de données personnelles au sens du CCPA. Certaines formes de partage de données avec des partenaires publicitaires (Meta Pixel, Google Ads) peuvent être qualifiées de « partage » au sens du CCPA. Les Utilisateurs qui ne souhaitent pas que leurs données soient partagées à des fins publicitaires doivent retirer leur consentement aux cookies marketing dans les paramètres du Site.
16.4. Canada (PIPEDA)
La Personal Information Protection and Electronic Documents Act (PIPEDA) s’applique aux Utilisateurs au Canada. Les Utilisateurs canadiens ont le droit d’accéder à leurs données et de corriger les inexactitudes. Le Responsable du Traitement désigne hi@muya.app comme point de contact pour l’exercice des droits au titre de la PIPEDA.
Les réclamations peuvent être introduites auprès du Commissariat à la protection de la vie privée du Canada (CPVP) : https://www.priv.gc.ca.
16.5. Brésil (LGPD)
La Lei Geral de Proteção de Dados (LGPD, loi n° 13.709/2018) s’applique aux Utilisateurs au Brésil. Les Utilisateurs brésiliens ont le droit d’accès, de rectification, de suppression, de portabilité des données, d’information sur le partage des données et le droit de retirer leur consentement. Ces droits peuvent être exercés en contactant hi@muya.app.
Le Responsable du Traitement a désigné l’adresse hi@muya.app comme point de contact pour l’exercice des droits au titre de la LGPD et comme point de contact avec l’Autoridade Nacional de Proteção de Dados (ANPD).
16.6. Japon (APPI) – Informations pour les futurs Utilisateurs
L’Application MUYA n’est actuellement pas disponible en japonais et ne cible pas activement le marché japonais. Les exigences de l’Act on the Protection of Personal Information (APPI) seront mises en œuvre avant la mise à disposition de l’Application dans la version en langue japonaise.
L’Application ne cible pas actuellement les résidents du Japon. Les résidents du Japon utilisant l’Application dans une version linguistique actuellement disponible le font volontairement et acceptent les règles applicables en vertu de la présente Politique.
16.7. Chine (PIPL) – Informations pour les futurs Utilisateurs
L’Application n’est actuellement pas disponible officiellement dans une version en langue chinoise ni dédiée au marché chinois. Avant de mettre l’Application à la disposition des résidents de la République populaire de Chine, le Responsable du Traitement mettra en œuvre les exigences de la Personal Information Protection Law (PIPL), notamment les dispositions relatives à :
- les mécanismes de transfert de données en dehors du territoire de la Chine (certification CAC, Clauses Contractuelles Types pour la Chine ou autres mécanismes approuvés)
- les droits des Utilisateurs en vertu de la PIPL (accès, rectification, suppression, retrait du consentement, portabilité et autres)
- la désignation d’un représentant local en Chine, si requis
L’Application ne cible pas actuellement les résidents de Chine. Les résidents de Chine utilisant l’Application dans une version linguistique actuellement disponible le font volontairement et acceptent les règles applicables en vertu de la présente Politique.
17. Profilage et décision automatisée
Le Responsable du Traitement effectue un profilage au sens de l’article 4, paragraphe 4, du RGPD dans une mesure limitée. Le profilage consiste en :
- l’analyse de l’historique de lecture audio et des Contenus favoris afin de générer des suggestions personnalisées de séances audio dans l’Application
- la segmentation des abonnés à la Newsletter afin d’adapter le contenu et la fréquence des envois (p. ex. sur la base des préférences indiquées lors de l’inscription)
- l’analyse des événements analytiques sur le Site et dans l’Application (GA4, Firebase) afin d’optimiser les fonctionnalités et la pertinence des campagnes marketing – uniquement sur la base du consentement exprimé dans le bandeau de cookies (Site) ou dans le message de consentement / les paramètres de l’Application (Application).
Le profilage ne donne pas lieu à des décisions automatisées à l’égard de l’Utilisateur au sens de l’article 22 du RGPD, c’est-à-dire des décisions produisant des effets juridiques ou l’affectant de manière significative de façon similaire. Les suggestions personnalisées ont exclusivement un caractère auxiliaire.
L’Utilisateur a le droit de s’opposer au profilage effectué sur la base des intérêts légitimes (article 6, paragraphe 1, point f), du RGPD) en contactant le Responsable du Traitement à hi@muya.app.
18. Modifications de la Politique de Confidentialité
Le Responsable du Traitement se réserve le droit de mettre à jour la présente Politique en cas de :
- modifications des dispositions réglementaires relatives à la protection des données personnelles
- introduction de nouvelles fonctionnalités sur le Site ou dans l’Application
- modifications de la liste des sous-traitants ou du périmètre du traitement
- autres motifs importants nécessitant une mise à jour de la Politique
Les Utilisateurs seront informés à l’avance des modifications substantielles de la Politique – par une notification dans l’Application et/ou par e-mail à l’adresse associée au Compte. Les modifications entreront en vigueur au plus tôt 14 jours après la date de notification, sauf si elles résultent d’une obligation légale et nécessitent une mise en œuvre immédiate.
La version actualisée de la Politique est toujours disponible sur le Site www.muya.app et dans l’Application dans la section « Informations légales ».
19. Contact
Pour toute question relative à la protection des données personnelles, à l’exercice des droits des Utilisateurs et aux questions sur la présente Politique de Confidentialité, veuillez contacter :
- adresse électronique : hi@muya.app
- adresse postale : Sopraya Sp. z o.o., ul. Krasińskiego 20, 64-800 Chodzież, Pologne
- téléphone : +48 660 927 243
Pour les réclamations relatives au fonctionnement de l’Application et des Services fournis, veuillez contacter : contact@sopraya.com.
– fin du document –
Version 1.0 | En vigueur à compter du 15.05.2026
