Politique de confidentialité

HabitGotchi - version 1.4 - en vigueur depuis le 16 mai 2026, mise à jour le 29 mai 2026.

1. Qui est responsable du traitement

Le traitement des données décrit dans cette politique est mis en œuvre par :

• Émilie Josse, artiste-autrice indépendante, établie à Toulouse (France).
• Contact : contact@habitgotchi.fr.

HabitGotchi est un projet personnel non-commercial, sans structure juridique distincte. Aucun délégué à la protection des données n'a été désigné - la responsabilité directe incombe à l'autrice.

2. Quelles données sont collectées

2.1 Stockées sur ton appareil uniquement

Les données suivantes sont stockées localement dans ton navigateur (LocalStorage, clés hg4 et hg_game_* ; ainsi qu'une base IndexedDB nommée hg-rdv pour les libellés de rendez-vous). Elles ne quittent pas ton appareil :

• Prénom et diminutif éventuellement saisis lors du premier lancement.
• Habitudes du jour définies par toi, et leur historique de cochage par date.
• Stade du Gotchi, points d'expérience, pétales, objets de l'inventaire, accessoires actifs.
• Énergie, humeur, événements du journal interne (terminal).
• Entrées du journal intime, verrouillées par un code PIN que tu choisis.
• Mémoire du compagnon : un court résumé (max ~400 caractères) de ton activité hebdomadaire, produit par l'IA à partir de tes habitudes et de tes notes, mis à jour au plus une fois par semaine. Stockée sur ton appareil, elle est aussi transmise à Anthropic lors des requêtes IA (cf. 2.2) et effaçable à tout moment depuis le journal.
• Données de suivi de cycle menstruel, si tu actives cette fonctionnalité (désactivée par défaut).
• État du jardin procédural, du mandala collaboratif, des tableaux peints dans l'atelier.
• Préférences d'interface (palette, thème, ambiance, langue d'inclusivité).
• Clé API Anthropic que tu fournis pour activer les fonctions IA.
• Scores et records des trois mini-jeux.
• Date de ton premier lancement de l'application.
• Un identifiant technique aléatoire généré au premier lancement, utilisé comme pseudonyme auprès du serveur de notifications push ; il ne contient aucune donnée directement identifiante (ni prénom, ni date).
• Les libellés de tes rendez-vous, conservés dans une base locale du navigateur (IndexedDB, base hg-rdv) pour que le rappel affiche le bon nom sans que le serveur de notifications ne le connaisse jamais.

2.2 Transmises à des services tiers

Les transmissions suivantes ont lieu uniquement quand tu utilises la fonctionnalité concernée :

• Anthropic (api.anthropic.com) - reçoit le texte que tu saisis et un contexte d'état du Gotchi, lorsque tu utilises l'une des fonctions IA. La requête est authentifiée par ta propre clé API, que tu obtiens directement auprès d'Anthropic. Si aucune clé n'est configurée ou si les fonctions IA sont désactivées, aucun appel n'est fait. Selon la fonction, des extraits de ton journal (humeur et texte libre) sont inclus dans ce contexte : les pensées quotidiennes du Gotchi transmettent tes notes des dernières 48 heures (jusqu'à trois, extraits) ; le mode soutien tes notes du jour ; le bilan hebdomadaire l'intégralité des notes de la semaine concernée. De plus, une « mémoire » — court résumé de ton activité d'une semaine produit par l'IA (cf. 2.1) — est jointe à chaque requête IA ; elle est régénérée au plus une fois par semaine à partir de l'ensemble des notes de la semaine écoulée, ce qui implique de transmettre ces notes à Anthropic à ce moment-là. Le journal n'est jamais transmis au serveur de notifications push.
• Open-Meteo (api.open-meteo.com) - reçoit les coordonnées géographiques (latitude, longitude) configurées pour récupérer la météo locale. Aucun identifiant n'est joint à la requête.
• Sunrise-Sunset (api.sunrise-sunset.org) - reçoit les mêmes coordonnées pour calculer les phases solaires (lever et coucher du soleil), utilisées pour adapter l'ambiance visuelle.
• Serveur de notifications push HabitGotchi (habitgotchi-push-worker.emilie-josse.workers.dev, hébergé sur Cloudflare Workers) - reçoit, lorsque tu actives les notifications : ton abonnement PushManager (endpoint, clés p256dh et auth) ; un identifiant pseudonyme aléatoire (un identifiant technique généré sur ton appareil au premier lancement, ne contenant aucune donnée directement identifiante comme ton prénom) ; l'heure des rendez-vous que tu souhaites te faire rappeler et un identifiant technique de rendez-vous, mais jamais leur libellé (celui-ci reste exclusivement sur ton appareil, dans une base locale, et n'est reconstitué que localement au moment d'afficher la notification) ; des signaux d'activité (bilan généré, dernière activité) servant à programmer les relances. Pour prévenir les abus, le serveur lit l'adresse IP de la requête de façon transitoire afin d'en limiter le débit, sans la conserver ; cette adresse est par ailleurs traitée par Cloudflare en sa qualité d'hébergeur (cf. 5 et 6). Les échanges sont restreints à l'origine de l'application et les données reçues sont validées avant traitement. Ce serveur est sous ma seule responsabilité.
• Cloudflare CDN (cdnjs.cloudflare.com) - sert le fichier statique p5.js utilisé pour le rendu graphique. Cloudflare enregistre l'adresse IP de ton appareil dans ses logs techniques.
• Framaforms (framaforms.org, service de l'association Framasoft, hébergé en France) - reçoit uniquement le contenu que tu saisis volontairement dans le formulaire « signaler un bug ou une idée », si tu choisis de l'ouvrir. Aucun envoi n'a lieu tant que tu ne soumets pas le formulaire. Aucune donnée de l'application n'y est jointe automatiquement.

Les polices Nunito et Caveat sont auto-hébergées sur le serveur de l'application : aucun appel n'est fait à Google Fonts ni à aucun service tiers pour leur affichage.

2.3 Catégories particulières de données

Deux catégories de données traitées par HabitGotchi relèvent d'une protection renforcée au titre du Règlement général sur la protection des données (RGPD, article 9) :

• Suivi de cycle menstruel - donnée concernant la santé. Le suivi est désactivé par défaut. En l'activant, tu fournis un consentement explicite à son traitement. Les données restent sur ton appareil et ne sont jamais transmises.
• Journal intime - peut contenir, selon ce que tu y écris, des données relatives à la santé, à la vie sexuelle, aux opinions philosophiques ou politiques. Le journal est protégé par un code PIN de ton choix et stocké sur ton appareil. Il n'est jamais transmis au serveur de notifications. En revanche, si tu actives les fonctions IA, des extraits de tes notes sont transmis à Anthropic pour personnaliser les réponses du Gotchi (cf. 2.2) : les pensées quotidiennes utilisent tes notes des dernières 48 heures, le mode soutien tes notes du jour, et le bilan hebdomadaire l'ensemble des notes de la semaine. La « mémoire » du compagnon, régénérée au plus une fois par semaine à partir des notes de la semaine écoulée, est par ailleurs jointe à chaque requête IA : des informations dérivées de notes plus anciennes que 24 heures peuvent donc quitter ton appareil. Cette transmission repose sur ton consentement explicite (art. 9.2.a), matérialisé par l'activation des fonctions IA et la configuration de ta clé API. Si tu ne veux qu'aucune note ne soit transmise, n'active pas les fonctions IA ; tu peux aussi effacer la mémoire à tout moment depuis le journal.

3. Finalités du traitement

Les données décrites ci-dessus sont traitées exclusivement pour les finalités suivantes :

• Te permettre d'utiliser l'application au quotidien (suivre tes habitudes, écrire dans le journal, faire évoluer le Gotchi, peindre dans l'atelier, jouer aux mini-jeux).
• Te restituer un compagnon qui s'adapte à ton rythme via les fonctions IA (pensées quotidiennes, bilan hebdomadaire, mode soutien), si tu les actives.
• Adapter l'ambiance visuelle à la météo et aux phases solaires de ta localisation.
• T'envoyer des notifications de rendez-vous et de bilan hebdomadaire, si tu actives les notifications push.
• Améliorer l'application - uniquement à partir des retours que tu envoies volontairement, jamais à partir d'une collecte automatique d'usage.

Aucune donnée n'est utilisée pour : publicité ciblée, profilage commercial, vente à des tiers, entraînement de modèles d'intelligence artificielle, analytics agrégés.

4. Bases légales

Les bases légales du traitement, au sens de l'article 6 du RGPD, sont les suivantes :

• Consentement (art. 6.1.a) - pour l'activation du suivi de cycle, des notifications push, des fonctions IA, et plus généralement pour toute fonctionnalité opt-in.
• Exécution d'une mesure pré-contractuelle (art. 6.1.b) - pour le fonctionnement de base de l'application sur ton appareil (mise à disposition du service).
• Intérêt légitime (art. 6.1.f) - pour la mise en cache hors-ligne via le Service Worker, le bon fonctionnement technique, ainsi que la sécurité et la prévention des abus du serveur de notifications (limitation du débit, lecture transitoire de l'adresse IP non conservée).

Pour les catégories particulières de données mentionnées en 2.3, le traitement repose sur ton consentement explicite (art. 9.2.a) matérialisé par l'activation volontaire de la fonctionnalité.

5. Destinataires et tiers

Les seuls destinataires de données sont les services tiers énumérés en 2.2, dans le strict périmètre décrit. Aucun autre destinataire n'existe : pas de prestataire d'analytics, pas de régie publicitaire, pas de service de gestion de la relation client, pas de plateforme de marketing.

Politiques de confidentialité des services tiers actifs :

• Anthropic - politique de confidentialité
• Open-Meteo - conditions d'utilisation
• Sunrise-Sunset - site officiel
• Cloudflare - politique de confidentialité
• Framasoft (Framaforms) - politique de confidentialité

6. Transferts hors Union européenne

Certains services tiers impliquent un transfert de données vers des pays situés hors de l'Union européenne :

• Anthropic - États-Unis. Les transferts sont encadrés par le Data Privacy Framework (DPF) et, à défaut, par les clauses contractuelles types de la Commission européenne.
• Cloudflare (CDN p5.js et Workers) - infrastructure mondiale, données potentiellement aux États-Unis. Encadré par les clauses contractuelles types.
• Open-Meteo - serveurs en Allemagne (Union européenne). Aucun transfert hors UE.
• Sunrise-Sunset - service géré aux États-Unis.

7. Durée de conservation

• Données stockées sur ton appareil - conservées tant que tu n'effaces pas les données du site dans ton navigateur, ou tant que tu n'utilises pas le bouton de suppression complète dans Réglages.
• Requêtes vers Anthropic - la durée de conservation est régie par la politique d'Anthropic (cf. lien ci-dessus). HabitGotchi ne conserve aucune trace côté serveur de ces échanges.
• Données du serveur de notifications push - conservées tant que ton abonnement push est actif. Lors d'un désabonnement (depuis l'application ou par révocation côté navigateur), l'abonnement et l'identifiant pseudonyme associé sont supprimés. À défaut de désabonnement explicite, l'abonnement et les préférences de notification expirent automatiquement au plus tard 90 jours après ta dernière utilisation de l'application (ce délai est réinitialisé à chaque ouverture). Les données de rendez-vous et les signaux d'activité sont supprimés après leur date d'expiration (de quelques jours à deux semaines selon le type). L'utilisation du bouton « Tout supprimer » dans Réglages efface immédiatement l'ensemble de ces données côté serveur, sans attendre leur expiration.
• Logs techniques de Cloudflare et Google - régis par leurs politiques respectives.

8. Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

• Droit d'accès - l'intégralité des données te concernant est stockée sur ton appareil et accessible via les outils de développement de ton navigateur (onglet Application > Local Storage, clé hg4). Un export structuré au format JSON est par ailleurs disponible directement dans Réglages (bouton d'export, fichier habitgotchi_AAAA-MM-JJ.json).
• Droit de rectification - toutes les données saisies (prénom, habitudes, entrées de journal, etc.) sont modifiables directement dans l'application.
• Droit à l'effacement - un bouton « Tout supprimer » est disponible dans Réglages : il efface l'ensemble des données locales (clés hg4 et hg_game_*), désabonne les notifications push et efface l'intégralité des données associées sur le serveur de notifications (abonnement, préférences, rendez-vous à venir, signaux d'activité, bilans), désinstalle le Service Worker et vide ses caches, puis recharge l'application en état de premier lancement. En complément, tu peux à tout moment effacer toutes les données depuis les paramètres de ton navigateur (Effacer les données de site).
• Droit à la portabilité - la fonction d'export de Réglages produit un fichier JSON structuré et réimportable. La structure hg4 en LocalStorage est par ailleurs lisible et copiable librement.
• Droit d'opposition et de retrait du consentement - toute fonctionnalité opt-in (notifications push, suivi de cycle, fonctions IA) peut être désactivée à tout moment depuis Réglages, sans conséquence sur le reste de l'application. La mémoire du compagnon est par ailleurs effaçable indépendamment depuis le journal.
• Droit à la limitation du traitement - l'application fonctionne entièrement en local par défaut. Désactiver les fonctionnalités opt-in revient à limiter le traitement aux données strictement locales.

Pour exercer ces droits, ou pour toute question, écris à contact@habitgotchi.fr. Une réponse te sera apportée dans un délai d'un mois.

9. Cookies, traceurs et stockage local

HabitGotchi ne dépose aucun cookie, qu'il soit fonctionnel, analytique ou publicitaire.

L'application utilise les technologies suivantes du navigateur, qui ne sont pas des cookies au sens de la directive ePrivacy mais sont mentionnées ici pour transparence :

• LocalStorage (clés hg4 et hg_game_*) - stockage local des données utilisatrices décrites en 2.1.
• IndexedDB (base hg-rdv) - stockage local des libellés de rendez-vous, lu par le Service Worker pour afficher le bon nom dans les rappels. Ces libellés ne sont jamais transmis à un serveur.
• Service Worker - mise en cache hors-ligne des fichiers de l'application (HTML, CSS, JavaScript, images, polices, données statiques) et affichage des notifications push. Il lit les libellés de rendez-vous dans IndexedDB (en local sur ton appareil) pour composer le texte du rappel, mais ne transmet aucune donnée personnelle à l'extérieur.
• PushManager - gestion de l'abonnement aux notifications push, si tu l'actives.

10. Sécurité

• Stockage local - les données stockées sur ton appareil sont protégées par les mécanismes de cloisonnement du navigateur (Same-Origin Policy). Elles ne sont accessibles qu'à l'origine de l'application.
• Journal intime - verrouillé par un code PIN de ton choix avant affichage. Note : le PIN ne chiffre pas les données stockées, il en restreint l'accès au sein de l'interface. Si une autre personne a un accès physique à ton appareil et aux outils de développement de ton navigateur, elle peut techniquement lire le contenu du LocalStorage. La méthode la plus sûre reste de ne pas laisser ton appareil déverrouillé.
• Clé API Anthropic - le champ de saisie est masqué à l'écran (champ de type mot de passe). La clé reste toutefois stockée en clair dans le LocalStorage du navigateur : comme toute donnée locale, elle est accessible à qui dispose d'un accès physique à ton appareil et à ses outils de développement.
• Transmissions externes - toutes les requêtes vers les services tiers sont effectuées en HTTPS avec validation du certificat.
• Serveur de notifications - l'identifiant utilisé est un pseudonyme aléatoire ne révélant pas ton identité ; les requêtes sont restreintes à l'origine de l'application, les données reçues sont validées avant tout enregistrement, un mécanisme de limitation du débit protège contre les abus, et les abonnements inactifs expirent automatiquement.

11. Contact et réclamations

Pour toute question relative à cette politique ou à l'exercice de tes droits : contact@habitgotchi.fr.

Si tu estimes, après nous avoir contactées, que tes droits ne sont pas respectés, tu peux adresser une réclamation à la Commission nationale de l'informatique et des libertés (CNIL) - cnil.fr/fr/plaintes - ou à l'autorité de protection des données de ton pays de résidence.

12. Modifications de cette politique

La présente politique peut évoluer pour refléter des changements techniques ou réglementaires. La version en vigueur et la date d'entrée en vigueur figurent en tête de page. Toute modification substantielle (ajout d'un destinataire, changement de finalité, nouvelle catégorie de données) fera l'objet d'une mention explicite à l'ouverture de l'application.