Politique de confidentialité
Protection de vos données personnelles conformément au RGPD. Dernière mise à jour : 25 mars 2026 — Version 2.0
Sommaire
- 1. Introduction
- 2. Responsable du traitement
- 3. Données collectées
- 4. Finalités et bases légales
- 5. Données d'auto-évaluation
- 6. Sous-traitants et destinataires
- 7. Transferts hors UE
- 8. Durées de conservation
- 9. Vos droits RGPD
- 10. Cookies
- 11. Sécurité des données
- 12. Mineurs
- 13. Modifications
- 14. Autorité de contrôle
1. Introduction
ATYPIKIA est une plateforme numérique d'aide au pré-dépistage des troubles neuroatypiques (TDAH, TSA/Autisme, Bipolarité, Troubles anxieux, Dépression, Troubles Dys, Troubles Dissociatifs/TDI, ASPD, Schizophrénie), utilisant l'intelligence artificielle.
La présente Politique de Confidentialité a pour objet d'informer les utilisateurs du site atypikia.com sur la manière dont leurs données personnelles sont collectées, traitées et protégées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée (loi « Informatique et Libertés »).
Avertissement important
ATYPIKIA est un outil numérique d'aide au pré-dépistage et ne remplace en aucun cas un diagnostic médical professionnel. Les résultats doivent être discutés avec un professionnel de santé qualifié.
2. Responsable du traitement
Responsable du traitement : Fabien EphKa
Statut : Entrepreneur individuel
SIREN : 520 902 826
Siège : Saint-Ouen-sur-Seine (93400), France
Email : contact@atypikia.com
Contact DPO : dpo@atypikia.com
Le responsable du traitement détermine les finalités et les moyens du traitement des données personnelles collectées sur le site atypikia.com.
3. Données collectées
3.1 Données d'identification et de compte
- Nom / Pseudonyme : identifiant de votre compte
- Adresse email : nécessaire à la création du compte et à l'accès aux services
- Mot de passe : stocké sous forme chiffrée (hashé)
3.2 Données de pré-dépistage
- Réponses aux questionnaires : réponses individuelles à chaque question des tests cliniques
- Scores calculés : résultats chiffrés issus des réponses
- Analyses IA : rapports personnalisés générés par notre intelligence artificielle
- Sexe (facultatif) : pour adapter les analyses selon les barèmes cliniques
- Date de naissance (facultative) : pour une analyse adaptée à l'âge
Par mesure de précaution, ces données d'auto-évaluation sont traitées avec le niveau de protection applicable aux données susceptibles de révéler des informations relatives à la santé (article 9 du RGPD). Voir l'article 5 ci-dessous.
3.3 Données de paiement
- Email associé au paiement
- Montant et date de la transaction
- Identifiant client Stripe (stripe_customer_id)
- Type de produit acheté (analyse, pack, pass)
- Statut du paiement
Aucune donnée bancaire (numéro de carte, CVV, date d'expiration) n'est collectée ni stockée par ATYPIKIA. L'intégralité du traitement des paiements est gérée par notre prestataire de paiement Stripe, certifié PCI-DSS Niveau 1.
3.4 Données techniques
- Adresse IP : pour la sécurité et la détection de fraudes
- Identifiant de session : identifiant technique temporaire
- Horodatages : date et heure des actions sur le site
- Données de navigation : pages visitées, durée, appareil, navigateur (via cookies analytiques, avec consentement)
3.5 Données de newsletter
- Email : pour l'envoi de la newsletter (inscription volontaire uniquement)
- Date d'inscription et source
4. Finalités et bases légales du traitement
Conformément à l'article 6 du RGPD, chaque traitement de données personnelles repose sur une base légale. Voici le détail des finalités et bases légales applicables :
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Fourniture des services de pré-dépistage (questionnaires, scores, analyses IA) | Exécution du contrat (Art. 6.1.b) |
| Gestion des comptes utilisateurs | Exécution du contrat (Art. 6.1.b) |
| Traitement des paiements et facturation | Exécution du contrat (Art. 6.1.b) |
| Traitement des données d'auto-évaluation | Consentement explicite (Art. 9.2.a par précaution) — voir article 5 |
| Envoi de la newsletter | Consentement (Art. 6.1.a) |
| Mesure d'audience et amélioration du service (analytics) | Consentement (Art. 6.1.a) — cookies GA4/GTM |
| Statistiques anonymisées et amélioration des algorithmes | Intérêt légitime (Art. 6.1.f) |
| Sécurité du site et prévention des fraudes | Intérêt légitime (Art. 6.1.f) |
| Respect des obligations légales (comptabilité, fiscalité) | Obligation légale (Art. 6.1.c) |
5. Traitement des données d'auto-évaluation
ATYPIKIA est un outil numérique d'auto-évaluation et d'aide au pré-dépistage. Les données collectées sont des réponses à des questionnaires d'auto-évaluation librement accessibles (échelles publiées : ASRS, RAADS-R, PHQ-9, MDQ, DSM-5, etc.), remplis volontairement par l'utilisateur. Ces réponses ne constituent pas un dossier médical et ne sont pas le résultat d'un examen clinique.
Par mesure de précaution et dans un souci de protection maximale, ATYPIKIA applique néanmoins à ces données le régime de protection prévu par l'article 9 du RGPD pour les données susceptibles de révéler des informations relatives à la santé, et met en œuvre les garanties correspondantes.
5.1 Base légale du traitement
Le traitement de ces données repose sur votre consentement explicite (article 9, paragraphe 2, point a) du RGPD). Ce consentement est recueilli de manière claire et distincte avant le début de chaque questionnaire. Vous pouvez retirer ce consentement à tout moment (voir article 9 ci-dessous).
5.2 Nature des données traitées
- Réponses aux questionnaires d'auto-évaluation de pré-dépistage (ASRS, RAADS-R, PHQ-9, MDQ, DSM-5, etc.)
- Scores calculés sur les échelles de dépistage validées
- Analyses personnalisées générées par IA à partir de ces réponses
- Rapports PDF contenant les résultats et l'analyse
5.3 Finalité stricte
Ces données sont traitées exclusivement pour la fourniture du service d'auto-évaluation et de pré-dépistage (génération des scores, analyses IA et rapports PDF). Elles ne sont jamais utilisées à des fins commerciales, publicitaires ou de profilage marketing.
5.4 Mesures de protection renforcées
Par principe de précaution, les mesures de protection suivantes sont appliquées :
- Chiffrement des transmissions (HTTPS/TLS)
- Accès restreint aux données (administrateur uniquement)
- Pseudonymisation des données dans les traitements internes (identifiants UUID)
- Traitement par l'IA (Anthropic, modèle Claude) effectué via des requêtes ponctuelles, sans stockage permanent des données chez le prestataire, et sans transmission de données d'identification directe (pas de nom, pas d'email)
- Pas de croisement avec des données d'identification pour les statistiques anonymisées
5.5 Analyse d'impact (AIPD)
Conformément à l'article 35 du RGPD, une Analyse d'Impact relative à la Protection des Données (AIPD) a été réalisée pour ce traitement. Ce document identifie les risques liés au traitement, évalue leur gravité et décrit les mesures mises en œuvre pour les atténuer. L'AIPD est disponible sur demande auprès de dpo@atypikia.com.
6. Sous-traitants et destinataires des données
Vos données personnelles peuvent être transmises aux sous-traitants suivants, dans le strict cadre des finalités décrites ci-dessus :
| Sous-traitant | Rôle | Données transmises | Localisation |
|---|---|---|---|
| Stripe, Inc. | Prestataire de paiement sécurisé (certifié PCI-DSS) | Email, montant, données bancaires (gérées exclusivement par Stripe) | UE / États-Unis* |
| Anthropic, PBC (modèle Claude) | Génération des analyses personnalisées via API | Réponses pseudonymisées aux questionnaires (UUID uniquement, sans nom, email ni donnée d'identification directe) | États-Unis* |
| Hostinger International Ltd | Hébergement web | Ensemble des données stockées sur le serveur | Union Européenne |
| Google LLC (GA4 / GTM) | Mesure d'audience (avec consentement) | Données de navigation anonymisées | États-Unis* |
* Pour les transferts vers les États-Unis, voir l'article 7 ci-dessous.
Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales ou publicitaires.
7. Transferts de données hors Union Européenne
Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés conformément au chapitre V du RGPD (articles 44 à 49) par les mécanismes suivants :
- EU-US Data Privacy Framework (DPF) : nos prestataires américains (Stripe, Google, Anthropic) sont certifiés au titre du cadre de protection des données UE-États-Unis, reconnu comme offrant un niveau de protection adéquat par la Commission européenne (décision d'adéquation du 10 juillet 2023).
- Clauses Contractuelles Types (CCT) : en complément ou en l'absence de certification DPF, des clauses contractuelles types approuvées par la Commission européenne sont en place.
Les données transmises au prestataire d'intelligence artificielle pour la génération des analyses sont pseudonymisées (UUID, pas de nom ni d'email) et ne contiennent pas de données d'identification directe.
8. Durées de conservation
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte (email, pseudo) | Durée de vie du compte + 3 ans après suppression | Exécution du contrat + prescription civile |
| Réponses aux questionnaires et analyses IA | 3 ans à compter de la génération | Consentement + accès aux résultats |
| Données de paiement (montant, date, type) | 10 ans à compter de la transaction | Obligations comptables et fiscales (Art. L.123-22 Code de commerce) |
| Données de facturation Stripe (stripe_customer_id) | 10 ans | Obligations comptables et fiscales |
| Adresse IP et logs techniques | 12 mois | Sécurité et obligation de conservation (LCEN) |
| Cookies analytiques (GA4) | 13 mois maximum | Recommandation CNIL |
| Données de newsletter | Jusqu'à désinscription + 3 ans | Preuve du consentement |
| Statistiques anonymisées | Sans limitation | Données non identifiantes |
À l'expiration des durées de conservation, les données sont supprimées ou anonymisées de manière irréversible.
9. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
| Droit | Description | Référence |
|---|---|---|
| Accès | Obtenir la confirmation du traitement de vos données et en recevoir une copie | Art. 15 RGPD |
| Rectification | Corriger des données inexactes ou incomplètes | Art. 16 RGPD |
| Effacement | Demander la suppression de vos données (« droit à l'oubli ») | Art. 17 RGPD |
| Limitation | Restreindre le traitement de vos données dans certains cas | Art. 18 RGPD |
| Portabilité | Recevoir vos données dans un format structuré et lisible par machine | Art. 20 RGPD |
| Opposition | Vous opposer au traitement fondé sur l'intérêt légitime | Art. 21 RGPD |
| Retrait du consentement | Retirer votre consentement à tout moment (sans affecter la licéité du traitement antérieur) | Art. 7.3 RGPD |
| Directives post-mortem | Définir des directives relatives au sort de vos données après votre décès | Art. 85 Loi IL |
Comment exercer vos droits
Vous pouvez exercer vos droits par email à dpo@atypikia.com ou via notre formulaire de contact.
Veuillez joindre à votre demande un justificatif d'identité. Nous nous engageons à répondre dans un délai d'un (1) mois à compter de la réception de votre demande (ce délai peut être prolongé de deux mois en cas de complexité, conformément à l'article 12.3 du RGPD).
En cas d'insatisfaction quant au traitement de votre demande, vous pouvez introduire une réclamation auprès de la CNIL (voir article 14).
10. Cookies et technologies similaires
10.1 Qu'est-ce qu'un cookie ?
Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, tablette, smartphone) lors de votre visite sur un site web. Il permet de stocker des informations relatives à votre navigation.
10.2 Cookies strictement nécessaires (exemptés de consentement)
Ces cookies sont indispensables au fonctionnement du site et ne nécessitent pas votre consentement :
| Cookie | Finalité | Durée |
|---|---|---|
| PHPSESSID | Session utilisateur (maintien de la connexion) | Session (supprimé à la fermeture du navigateur) |
| dark_mode | Préférence d'affichage (thème sombre) | 1 an |
| cookie_consent | Mémorisation de votre choix de consentement cookies | 13 mois |
10.3 Cookies analytiques (soumis à consentement)
Ces cookies permettent de mesurer l'audience du site et d'analyser son utilisation. Ils ne sont déposés qu'après recueil de votre consentement :
| Cookie | Fournisseur | Finalité | Durée |
|---|---|---|---|
| _ga, _ga_* | Google Analytics 4 | Distinction des visiteurs, mesure d'audience | 13 mois max |
| _gid | Google Analytics 4 | Distinction des visiteurs (court terme) | 24 heures |
| _gat | Google Analytics 4 | Limitation du taux de requêtes | 1 minute |
10.4 Gestion de vos préférences
Vous pouvez à tout moment gérer vos préférences de cookies via :
- Le bandeau de consentement affiché lors de votre première visite
- Les paramètres de votre navigateur (blocage, suppression des cookies)
Le refus des cookies analytiques n'affecte pas le fonctionnement du site. Seules les statistiques de visite ne seront plus collectées.
11. Sécurité des données
ATYPIKIA met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité de vos données personnelles, conformément à l'article 32 du RGPD :
- Chiffrement en transit : toutes les communications sont sécurisées par HTTPS (TLS 1.2+)
- Mots de passe hashés : les mots de passe sont stockés sous forme de hash irréversible (bcrypt)
- Accès restreint : seul l'administrateur autorisé a accès aux données personnelles
- Pseudonymisation : les données sont référencées par des identifiants UUID internes
- Sauvegardes régulières : protection contre la perte de données
- En-têtes de sécurité HTTP : X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Referrer-Policy
- Paiements sécurisés : aucune donnée bancaire ne transite par nos serveurs (traitement exclusif par Stripe, certifié PCI-DSS)
- Surveillance : monitoring des accès et des tentatives d'intrusion
12. Mineurs
Pour les utilisateurs de moins de 16 ans, le consentement d'un titulaire de la responsabilité parentale est requis pour le traitement des données personnelles, conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés.
Pour les mineurs de 16 à 18 ans, l'utilisation du Service doit s'effectuer sous la supervision d'un parent ou tuteur légal. Les parents ou tuteurs peuvent exercer les droits RGPD au nom de leur enfant mineur en contactant dpo@atypikia.com.
13. Modifications de la politique
La présente Politique de Confidentialité peut être mise à jour à tout moment pour refléter les évolutions légales, réglementaires ou techniques, ou les modifications de nos pratiques.
En cas de modification substantielle affectant vos droits, nous vous en informerons par email ou par une notification visible sur le site. La date de dernière mise à jour est indiquée en haut de cette page.
14. Autorité de contrôle
Si vous estimez que le traitement de vos données personnelles n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française :
CNIL — Commission Nationale de l'Informatique et des Libertés
3, Place de Fontenoy — TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
Formulaire de plainte en ligne : www.cnil.fr/fr/plaintes
Nous vous invitons toutefois à nous contacter en premier lieu à dpo@atypikia.com afin de tenter de résoudre votre préoccupation à l'amiable.
Contact
Pour toute question relative à cette politique ou à vos données personnelles :
Email DPO : dpo@atypikia.com
Email général : contact@atypikia.com
Formulaire : atypikia.com/contact
Dernière mise à jour : 25 mars 2026 — Version 2.0