Version 1.0 — Mai 2026
Luna AI Platform
1. Introduction et identité du responsable
Luna AI (« nous », « notre », « l'Application ») est une plateforme d'intelligence artificielle et de commande de repas.
Responsable du traitement :
Nom : Luna AI
Email : contact.intended@gmail.com
Conformité : RGPD (UE) 2016/679
2. Données collectées
2.1 Données d'identification
- Nom, prénom
- Adresse email
- Numéro de téléphone
- Date de naissance
- Photo de profil
2.2 Données de localisation
- Position GPS en temps réel (si activée dans Paramètres → Appareil)
- Adresses de livraison
- Historique des localisations
- Adresses favorites
2.3 Données de paiement
- Informations carte bancaire (via Stripe — tokenisées)
- Historique des transactions
- Montants des commandes
- Méthodes de paiement enregistrées
2.4 Données de commandes
- Historique des commandes
- Restaurants favoris
- Préférences alimentaires
- Allergies déclarées
- Notes et avis
2.5 Données de conversation IA
- Messages avec Luna AI
- Requêtes vocales
- Photos envoyées dans le chat
- Préférences exprimées
- Historique des interactions
2.6 Données techniques
- Adresse IP
- Type d'appareil
- Système d'exploitation
- Version de l'application
- Identifiants uniques (UUID)
- Logs de connexion
- Cookies et traceurs
2.7 Données de navigation
- Pages visitées
- Temps passé
- Clics et interactions
- Recherches effectuées
3. Bases légales du traitement (RGPD)
Conformément à l'article 6 du RGPD :
- Exécution du contrat (Art. 6.1.b) — traitement des commandes, livraisons, paiements
- Intérêt légitime (Art. 6.1.f) — amélioration du service, sécurité, prévention des fraudes
- Consentement (Art. 6.1.a) — marketing, cookies non essentiels, partage avec partenaires tiers
- Obligation légale (Art. 6.1.c) — conservation comptable, réponse aux autorités
4. Services tiers et partage des données
4.1 Uber Eats / Uber Direct
Données partagées : nom, adresse, téléphone, commande. Finalité : livraison. Politique : uber.com/legal/privacy. Transfert possible hors UE. Base légale : exécution du contrat.
4.2 Stripe (Paiements)
Données partagées : informations de paiement tokenisées. Certification PCI-DSS Level 1. Politique : stripe.com/privacy. Aucune carte stockée sur nos serveurs.
4.3 Google (Maps, OAuth, Firebase)
Données partagées : localisation, email, identifiant Google. Finalité : navigation, authentification, notifications push. Politique : policies.google.com/privacy. Transfert : USA (clauses contractuelles).
4.4 OpenAI (Intelligence artificielle)
Données partagées : messages, requêtes utilisateur. Finalité : réponses IA personnalisées. Politique : openai.com/privacy. Transfert : USA. Rétention : 30 jours par défaut.
4.5 Vercel (Hébergement)
Données partagées : logs, IP. Finalité : hébergement. Politique : vercel.com/legal/privacy. Serveurs : USA/Europe.
4.6 Supabase (Base de données)
Données stockées : profils, commandes, historique. Chiffrement AES-256. Politique : supabase.com/privacy.
5. Transferts internationaux
Certains partenaires sont établis hors de l'Union européenne (USA). Ces transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission européenne, une décision d'adéquation le cas échéant, et des garanties appropriées (art. 46 RGPD).
6. Durée de conservation
- Données de compte actif : durée du compte + 3 ans
- Données de commandes : 5 ans (obligation comptable)
- Données de conversation IA : 90 jours par défaut
- Logs techniques : 12 mois
- Données de paiement : 13 mois (obligations légales)
- Cookies : 13 mois maximum
- Compte supprimé : 30 jours puis suppression définitive
7. Vos droits (RGPD — articles 15 à 22)
- Droit d'accès (Art. 15) — copie de vos données
- Droit de rectification (Art. 16) — corriger des données inexactes
- Droit à l'effacement (Art. 17) — « droit à l'oubli »
- Droit à la limitation (Art. 18) — limiter le traitement
- Droit à la portabilité (Art. 20) — format structuré lisible par machine
- Droit d'opposition (Art. 21) — intérêt légitime ou marketing
- Décisions automatisées (Art. 22) — ne pas subir une décision fondée uniquement sur un traitement automatisé
Pour exercer vos droits : aleclagorio@gmail.com
Délai de réponse : 30 jours maximum.
8. Sécurité des données
- Chiffrement SSL/TLS (HTTPS)
- Chiffrement AES-256 en base de données
- Authentification à deux facteurs (2FA)
- Tokens JWT avec expiration
- Hachage des mots de passe (bcrypt)
- Pare-feu applicatif (WAF)
- Surveillance des intrusions 24/7
- Sauvegardes chiffrées quotidiennes
- Accès restreint (principe du moindre privilège)
- Audits de sécurité réguliers
9. Cookies et traceurs
9.1 Cookies essentiels (pas de consentement)
- Session utilisateur
- Sécurité CSRF
- Préférences de langue
9.2 Cookies analytiques (consentement requis)
- Google Analytics
- Mesure d'audience
- Performance de l'app
9.3 Cookies marketing (consentement requis)
- Publicités personnalisées
- Remarketing
Gestion via le bandeau cookies ou les paramètres de votre navigateur.
10. Mineurs
Luna AI est destinée aux personnes âgées de 16 ans minimum. Nous ne collectons pas sciemment de données sur des mineurs de moins de 16 ans. Parents : contact.intended@gmail.com
11. Violation de données
En cas de violation : notification à la CNIL sous 72 h (art. 33 RGPD), notification aux utilisateurs si risque élevé (art. 34 RGPD), mesures correctives immédiates.
12. Réclamations et autorité de contrôle
Réclamation auprès de la CNIL : cnil.fr
3 Place de Fontenoy, 75007 Paris — Tél : +33 1 53 73 22 22
13. Modifications de la politique
Nous pouvons modifier cette politique. En cas de changements importants : notification par email, notification in-app, délai de 30 jours avant entrée en vigueur.
14. Contact DPO
Délégué à la Protection des Données : contact.intended@gmail.com
Objet : [RGPD] + votre demande
Dernière mise à jour : 25 mai 2026 — Luna AI — Tous droits réservés.