Méridien

Confidentialité

Vos données vous appartiennent — vraiment.

Dernière mise à jour : 19 mai 2026 · conforme RGPD (UE 2016/679) et Loi Informatique et Libertés.

Responsable du traitement

CYCLOPE — 26 rue Bosquet, 75007 Paris — RCS Paris 940 810 096. Pour toute question relative à vos données : bonjour@monmeridien.app.

Ce que nous collectons et pourquoi

Nous ne collectons que ce qui est strictement nécessaire au service. Chaque donnée a une finalité précise et une durée de conservation explicite.

Adresse email (liste d'attente)

Finalité — Vous prévenir au lancement du service.

Durée — Jusqu'à la suppression à votre demande, ou à la fermeture du service.

Base légale — Consentement (art. 6.1.a RGPD).

Date, heure et lieu de naissance

Finalité — Calcul du thème natal — fondement de toute lecture astrologique.

Durée — Tant que votre compte est actif. Jusqu'à 10 ans après suppression du compte pour obligations comptables (factures, art. L123-22 C. com.).

Base légale — Exécution du contrat (art. 6.1.b RGPD).

Lieu de résidence actuel

Finalité — Calcul des transits localisés et de l'astrocartographie.

Durée — Idem ci-dessus.

Base légale — Exécution du contrat.

Faits marquants de votre vie

Finalité — Tester les interprétations astrologiques contre votre parcours réel.

Durée — Tant que votre compte est actif. Suppression immédiate sur demande.

Base légale — Consentement explicite (art. 9.2.a RGPD — donnée potentiellement sensible).

Historique des conversations

Finalité — Conserver le fil de votre quête entre les sessions.

Durée — 30 jours par défaut. Vous pourrez prolonger ou réduire ce délai depuis votre espace personnel.

Base légale — Exécution du contrat.

Données de paiement (Stripe)

Finalité — Encaisser le pack 9 €.

Durée — Aucune donnée bancaire n'est stockée chez nous. Stripe gère et conserve selon ses propres règles (PCI-DSS, 13 mois).

Base légale — Exécution du contrat + obligation légale (comptabilité).

Sous-traitants (sub-processors)

Pour faire fonctionner Méridien, nous nous appuyons sur des prestataires techniques. Chacun signe un Data Processing Agreement avec CYCLOPE.

Vercel Inc.

Hébergement applicatif (front + API)

Siège : États-Unis (Walnut, CA). Traitement : région UE configurée (Frankfurt, fra1) pour les fonctions Edge & Serverless. Quelques flux opérationnels (logs, analytics) peuvent transiter par l'infrastructure US.

Clauses contractuelles types (CCT) UE-USA + DPA Vercel

Supabase Inc.

Base de données PostgreSQL

Union européenne (Stockholm, eu-nord-1)

Aucun transfert hors UE

Prestataire d'IA générative

Génération des lectures

États-Unis

Clauses Contractuelles Types UE-USA + accord de traitement (DPA). Contenu transmis : votre prénom usuel, vos données de naissance (date, heure, lieu), votre pronom et le texte de votre conversation ou de votre journal. Aucune adresse email, aucun identifiant Clerk ou Supabase, aucune donnée de paiement n'est transmise. Activation du Zero Data Retention en cours.

Stripe Payments Europe Ltd

Encaissement des paiements

Irlande (UE)

Aucun transfert hors UE

Clerk Inc.

Authentification (magic link)

États-Unis — instance UE en cours d'évaluation

CCT UE-USA

Resend Inc.

Envoi des emails transactionnels

États-Unis

CCT UE-USA

Sentry (Functional Software, Inc.)

Suivi des erreurs serveur — utilisé uniquement si la variable Sentry est configurée. Les données envoyées sont anonymisées et n'incluent aucune information personnelle (pas d'email, pas d'identifiant utilisateur).

États-Unis (ingestion EU possible via *.ingest.de.sentry.io)

CCT UE-USA

Cloudflare Inc.

Anti-bot Turnstile sur les formulaires publics (waiting-list, profile, life-events). Aucune donnée de profil n'est envoyée — uniquement le token de challenge et l'IP du visiteur.

Réseau mondial (multi-régions, dont UE)

CCT UE-USA + DPA Cloudflare

Vos droits

Le RGPD vous accorde sept droits que nous respectons activement :

Accès

Demandez la copie complète de vos données. Réponse sous 30 jours.

Rectification

Modifiez toute donnée inexacte directement depuis votre espace personnel ou sur demande email.

Effacement (droit à l'oubli)

Supprimez votre compte depuis votre espace personnel → Les données personnelles identifiantes (profil, événements de vie, conversations) sont supprimées immédiatement. Conformément à l'article L123-22 du Code de commerce, les enregistrements comptables liés aux factures (montant, date, identifiant Stripe, sans contenu de la lecture) sont conservés en archive jusqu'à 10 ans avant suppression complète.

Limitation du traitement

Demandez de geler temporairement le traitement de vos données.

Portabilité

Récupérez vos données dans un format structuré (JSON), réutilisable ailleurs.

Opposition

Opposez-vous à tout traitement qui ne serait pas strictement nécessaire au service.

Réclamation auprès de la CNIL

Si nos réponses ne vous conviennent pas, vous pouvez saisir la CNIL (cnil.fr).

Pour exercer ces droits, écrivez à bonjour@monmeridien.app avec « RGPD » en objet. Nous répondons sous 30 jours.

Sécurité

Vos données sont stockées chiffrées au repos (AES-256) et en transit (TLS 1.3). Les accès administrateurs sont journalisés et limités au strict nécessaire. Le code du service est revu manuellement avant chaque déploiement. Aucun système n'est infaillible — en cas de violation de données, vous serez prévenu·e sous 72 heures conformément à l'article 33 RGPD.

Garde-fou éthique et journal d'humeur

Méridien intègre deux traitements particuliers que vous devez connaître. Tous deux sont susceptibles de révéler des données de santé au sens de l'article 9 du RGPD.

  1. Détection automatisée de détresse manifeste — bases légales art. 9.2(a) (consentement explicite) et 9.2(c) (intérêt vital) RGPD. Vos messages sont analysés par le modèle d'IA pour repérer des formulations explicites de crise aiguë. En cas de déclenchement, vous êtes redirigé·e vers les services nationaux de prévention (3114, SOS Amitié, SAMU 15). Aucun diagnostic n'est posé et aucune donnée n'est partagée avec un tiers de santé sans votre accord. Ce dispositif est non-désactivable (condition d'usage).
  2. Journal d'humeur — base légale art. 9.2(a) RGPD (consentement explicite). Les entrées du journal peuvent révéler des données de santé mentale. Durée de conservation : 30 jours par défaut, prolongeable depuis votre espace personnel. Suppression immédiate sur demande. Vous pouvez désactiver le journal à tout moment depuis vos préférences.

Ces traitements font l'objet d'une analyse d'impact (AIPD art. 35 RGPD) tenue à disposition de la CNIL sur demande.

Cookies et traceurs

Méridien n'utilise aucun cookie de tracking marketing, aucun pixel publicitaire, aucun Google Analytics. Les seuls cookies stockés sont strictement techniques (session d'authentification, choix du thème clair/sombre). Aucun consentement n'est requis pour ces cookies essentiels (art. 82 LIL).

Modifications

Toute modification substantielle de cette politique sera notifiée par email aux utilisateurs concernés au moins 30 jours avant son entrée en vigueur. Les modifications mineures (clarifications, corrections orthographiques) sont datées en haut de la page.