Politique de Confidentialité

Le Service est exploité par VSB Serviços de Informação e Tecnologia Ltda. (CNPJ 36.997.903/0001-36), personne morale de droit privé dont le siège social est situé au Brésil. Nous agissons en qualité de responsable du traitement des données à caractère personnel au sens de la loi brésilienne nº 13.709/2018 (LGPD) et du Règlement (UE) 2016/679 (RGPD). Pour toute question relative à la confidentialité, à l'exercice de vos droits, à des demandes ou réclamations, écrivez à contact@bigduckai.com. Notre Délégué à la Protection des Données (DPO) est joignable à la même adresse.

Nous traitons les données à caractère personnel sur les fondements suivants, selon le cas : (a) exécution du contrat (LGPD Art. 7º, V ; RGPD Art. 6, paragraphe 1, point b), pour fournir et exploiter le Service, traiter des demandes et des paiements ; (b) intérêts légitimes (LGPD Art. 7º, IX ; RGPD Art. 6, paragraphe 1, point f), incluant la sécurité de la plateforme, la prévention de la fraude et de l'abus, l'amélioration du produit, l'analytique agrégée, la prospection directe non intrusive, la défense en justice et dans les procédures administratives, et le développement de nouvelles fonctionnalités ; (c) consentement (LGPD Art. 7º, I ; RGPD Art. 6, paragraphe 1, point a), pour les cookies non essentiels, la publicité comportementale, la personnalisation avancée et les communications de marketing par e-mail ; (d) respect d'une obligation légale ou réglementaire (LGPD Art. 7º, II ; RGPD Art. 6, paragraphe 1, point c), incluant la conservation fiscale et la réponse aux autorités ; (e) exercice régulier de droits dans des procédures judiciaires, administratives ou arbitrales (LGPD Art. 7º, VI). Lorsque nous nous fondons sur l'intérêt légitime, nous procédons à un test de mise en balance, et vous pouvez vous y opposer à tout moment, comme détaillé ci-après.

Nous traitons les catégories de données suivantes : (a) Données d'utilisation et d'interaction : réponses aux tests, scores calculés, événements de navigation, durée de session, schémas de clics, sources de trafic, langue et localité ; (b) Identifiants techniques : adresse IP, user agent, identifiants d'appareil, type et version de navigateur, système d'exploitation, résolution d'écran, fuseau horaire, identifiants de cookies, identifiants publicitaires (Google Ad ID, IDFA le cas échéant), empreinte anonyme du navigateur ; (c) Données de compte, lorsqu'un compte est créé : email, nom, hash de mot de passe, préférences, historique de tests, dates de connexion ; (d) Données de paiement, le cas échéant : données de transaction, statut, passerelle, identifiant, montant, devise, 4 derniers chiffres et marque de la carte (nous ne stockons pas les données complètes de carte de crédit) ; (e) Données de communication : e-mails envoyés à contact@bigduckai.com, retours optionnels sur les tests, tickets de support ; (f) Données inférées et agrégées : caractéristiques dérivées de vos modèles d'utilisation, profils de personnalité calculés, segmentations marketing ; (g) Journaux de sécurité : enregistrements d'authentification, activités suspectes, tentatives de fraude. Les résultats des tests ne constituent pas des catégories particulières de données, des données de santé ni des données biométriques au sens de l'Article 9 du RGPD ou de l'Article 5º, II de la LGPD, étant donné qu'ils sont issus d'auto-déclaration sur des instruments d'auto-réflexion et ne constituent pas un diagnostic clinique.

Nous utilisons les données pour : (i) exploiter, maintenir, fournir et personnaliser le Service, y compris générer des résultats et des rapports ; (ii) prévenir la fraude, l'abus, le spam, les attaques et les violations des Conditions ; (iii) garantir la sécurité de la plateforme, des utilisateurs et de notre infrastructure ; (iv) réaliser des analytiques agrégées, des A/B tests, des métriques produit et le développement de nouvelles fonctionnalités ; (v) personnaliser le contenu, les recommandations et l'expérience d'utilisation ; (vi) afficher de la publicité contextuelle et, sous réserve de consentement, de la publicité comportementale ; (vii) effectuer du marketing direct sur nos propres produits et services, sur la base de l'intérêt légitime, avec possibilité d'opt-out gratuit à tout moment ; (viii) communiquer avec vous concernant les mises à jour du Service, les modifications des Conditions ou de cette Politique, les alertes opérationnelles et les réponses à vos demandes ; (ix) respecter les obligations légales, fiscales, comptables et réglementaires, en conservant les enregistrements pour les périodes exigées par la loi ; (x) entraîner, valider et améliorer des modèles internes de génération de contenu, de scoring, de qualité des tests et d'analyse de schémas, toujours via des données agrégées ou anonymisées ; (xi) défendre des droits dans des procédures judiciaires, administratives ou arbitrales ; (xii) mener des recherches internes et des études statistiques sur des données anonymisées ou agrégées ; (xiii) constater, exercer ou défendre tout droit, en justice ou en dehors.

Nous utilisons des cookies de première et de tierce partie, des web beacons, des pixels, du local storage, du session storage et des technologies de suivi similaires. Catégories : (a) Strictement nécessaires : indispensables au fonctionnement du Service, incluant l'authentification, la sécurité, la prévention de la fraude, la répartition de charge, l'enregistrement du consentement, l'atténuation des bots, les paramètres d'accessibilité et les fonctionnalités essentielles. Ils ne nécessitent pas de consentement préalable au sens de l'Art. 5(3) de la directive ePrivacy 2002/58/CE ; (b) Analytiques : mesurent l'usage agrégé et les performances, incluant Google Tag Manager, PostHog et Sentry. Dans les juridictions exigeant un consentement préalable, ils ne sont activés qu'après votre autorisation ; (c) Publicitaires : permettent l'affichage, la personnalisation et la mesure des annonces, incluant Google AdSense, AdSense Offerwall, Google Ads, Meta Pixel le cas échéant, Ezoic et des partenaires programmatiques. Activés uniquement avec consentement explicite ; (d) Personnalisation : stockent préférences et historique pour adapter le contenu, les recommandations et l'expérience. Activés avec consentement. Vous pouvez gérer vos préférences à tout moment via la bannière de consentement affichée lors de la première visite ou via un lien en pied de page. Certaines fonctionnalités peuvent être limitées si vous refusez les cookies non essentiels. Nous opérons sous Google Consent Mode v2 et prenons en charge le IAB Transparency and Consent Framework (TCF) v2.3 lorsque les réseaux partenaires l'exigent.

Sous réserve de votre consentement, nous affichons des publicités fournies par : Google AdSense (incluant Auto Ads, in-content et Offerwall), Google Ads, Ezoic et d'autres réseaux programmatiques et partenaires de header bidding qui pourraient être ajoutés, conformément à notre liste de sous-traitants à jour. Ces partenaires peuvent collecter des données (IP, user agent, identifiant publicitaire, comportement de navigation, contexte de la page) à des fins de personnalisation, de capping de fréquence, de mesure, d'attribution et de prévention de la fraude. Nous pouvons partager, sous réserve de votre consentement, des hachages anonymisés (SHA-256) d'adresses email avec nos partenaires publicitaires pour la construction d'audiences similaires (lookalike), d'audiences de remarketing et de Customer Match. Vous pouvez vous opposer à la publicité personnalisée Google sur adssettings.google.com, à celle de la NAI sur optout.networkadvertising.org, de la DAA sur optout.aboutads.info et de l'EDAA sur youronlinechoices.eu. Une publicité contextuelle non personnalisée peut être affichée sur la base de l'intérêt légitime même sans consentement, sauf lorsque la législation locale exige également un consentement préalable pour cette modalité.

Nous partageons les données à caractère personnel, strictement lorsque nécessaire, avec les catégories de tiers suivantes : (a) prestataires d'infrastructure, hébergement, CDN, base de données et stockage (notamment Vercel, Coolify, MongoDB Atlas, Cloudflare, Amazon Web Services) ; (b) prestataires d'envoi d'e-mails transactionnels et de messagerie (notamment Resend, Nodemailer, prestataires SMTP) ; (c) prestataires d'analytique et d'observabilité (notamment Google, PostHog, Sentry, Vercel Analytics) ; (d) prestataires de paiement (notamment Stripe, MercadoPago et similaires) ; (e) régies publicitaires et processeurs média (Google AdSense, Google Ads, Ezoic, Meta et d'autres partenaires programmatiques) ; (f) prestataires d'IA et de traitement de contenu (notamment OpenAI, Anthropic et partenaires équivalents) ; (g) prestataires de prévention de la fraude et de sécurité ; (h) conseillers juridiques, comptables et fiscaux soumis à un devoir de confidentialité ; (i) autorités publiques, réglementaires ou judiciaires, lorsque la loi, une décision de justice ou la défense de droits légitimes l'exige ; (j) acquéreurs, successeurs ou investisseurs en cas de fusion, acquisition, restructuration, vente d'actifs, faillite ou processus similaire. Les transferts internationaux vers des pays hors Brésil ou hors Espace économique européen sont effectués sur la base d'une décision d'adéquation, de Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ou d'autres garanties prévues par la législation applicable. La liste à jour des sous-traitants est disponible sur demande par email.

Nous conservons les données à caractère personnel pour la durée nécessaire à la réalisation des finalités décrites et au respect des obligations légales. Durées typiques : (a) données d'utilisation et d'interaction anonymes : jusqu'à 38 mois, conformément aux durées standards d'analytique ; (b) données de compte et de profil : tant que le compte est actif et jusqu'à 5 ans après inactivité ou résiliation, à des fins de défense d'éventuelles réclamations et de respect d'obligations légales ; (c) données de transaction, de paiement et fiscales : 5 ans à compter de la transaction, conformément à la loi brésilienne nº 9.430/96, au décret nº 9.580/2018 (RIR) et à la législation européenne équivalente ; (d) registres de consentement : pendant la durée de validité du consentement et pendant 5 ans après sa révocation, à titre de preuve en cas de litige ; (e) e-mails et communications : 3 ans à compter du dernier contact ; (f) journaux de sécurité et de prévention de la fraude : 12 mois, prorogeables en cas d'enquête active ; (g) données soumises à un blocage ou à une conservation imposés par une autorité : pour la durée requise. À l'issue de ces durées, nous anonymisons ou supprimons les données. L'anonymisation irréversible est considérée comme équivalente à l'effacement aux fins de la présente Politique, conformément à la LGPD et au considérant 26 du RGPD.

Vous disposez des droits suivants sur vos données à caractère personnel, sous réserve de la législation applicable : (a) confirmation du traitement ; (b) accès aux données ; (c) rectification de données incomplètes, inexactes ou obsolètes ; (d) anonymisation, blocage ou effacement de données inutiles ou excessives, ou traitées en violation de la loi ; (e) portabilité des données, limitée aux données que vous avez activement fournies, dans un format structuré et couramment utilisé ; (f) opposition au traitement fondé sur l'intérêt légitime, sans préjudice de notre droit de poursuivre le traitement lorsque nous démontrons des motifs légitimes impérieux ou pour la défense de droits ; (g) révocation du consentement à tout moment, sans effet rétroactif, sans porter atteinte à la licéité du traitement antérieur ; (h) information sur les entités publiques et privées avec lesquelles nous partageons des données ; (i) examen des décisions automatisées qui affectent vos intérêts, conformément à l'Art. 20 de la LGPD ; (j) introduction d'une réclamation auprès de l'autorité de protection des données compétente. Pour exercer ces droits, envoyez un email à contact@bigduckai.com en vous identifiant de manière à permettre une vérification raisonnable. Nous répondrons dans les délais légaux applicables : jusqu'à 15 jours pour la plupart des demandes au titre de la LGPD, et jusqu'à 1 mois au titre du RGPD, prorogeables jusqu'à 2 mois dans des cas complexes avec notification motivée. Les demandes manifestement infondées, excessives ou répétitives peuvent être refusées ou soumises à des frais raisonnables correspondant aux coûts administratifs, dans la limite maximale autorisée par l'Art. 12, paragraphe 5 du RGPD et la législation équivalente. Nous satisfaisons au droit à l'effacement de préférence par anonymisation irréversible lorsque cela répond à l'objet de la demande et est techniquement approprié, en préservant les journaux agrégés, les registres légalement requis et les données nécessaires à l'exercice des droits.

Le Service n'est ni destiné, ni adressé aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel auprès de mineurs de moins de 16 ans sans consentement des responsables légaux. Pour les utilisateurs au Brésil, conformément à l'Art. 14 de la LGPD, le traitement des données des enfants (de moins de 12 ans) est effectué sur la base d'un consentement spécifique et mis en évidence donné par au moins un parent ou le responsable légal, et le traitement des données d'adolescents respecte l'intérêt supérieur. Pour l'Espace économique européen, l'âge minimal pour consentir au traitement sans assistance varie de 13 à 16 ans selon les États membres (Art. 8 du RGPD) ; nous appliquons 16 ans par défaut, par sécurité. Si vous identifiez un traitement abusif de données d'un mineur, contactez contact@bigduckai.com et nous prendrons des mesures pour anonymiser ou supprimer ces données dans un délai raisonnable.

Nous pouvons mettre à jour la présente Politique à tout moment, à notre seule discrétion, afin de refléter les évolutions du Service, de nos pratiques, partenaires ou exigences légales. Les modifications prennent effet à la date indiquée dans 'Dernière mise à jour' en haut de cette page. Les changements substantiels seront signalés par un avis bien visible dans le Service ou par notification par email aux titulaires de compte au moins 30 jours avant leur entrée en vigueur, sauf délai différent imposé par la loi. La poursuite de l'utilisation du Service après la date d'entrée en vigueur vaut acceptation tacite des modifications. Si vous n'êtes pas d'accord, vous devez cesser d'utiliser le Service avant la date d'entrée en vigueur et, le cas échéant, exercer vos droits conformément à la présente Politique. Les versions antérieures sont disponibles sur demande par email.

Pour toute question relative à la confidentialité, à l'exercice de vos droits, à des demandes ou réclamations, contactez-nous à contact@bigduckai.com. Sans préjudice de la tentative de résolution directe avec nous, vous pouvez introduire une réclamation auprès de l'autorité compétente : au Brésil, auprès de l'Autoridade Nacional de Proteção de Dados (ANPD), sur gov.br/anpd ; en France, auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) ; au Portugal, auprès de la Comissão Nacional de Proteção de Dados (CNPD) ; en Allemagne, auprès du Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ou de l'autorité du Land compétente ; en Italie, auprès du Garante per la protezione dei dati personali ; en Espagne, auprès de l'Agencia Española de Protección de Datos (AEPD) ; au Japon, auprès de la Personal Information Protection Commission (PPC) ; ou auprès de l'autorité de protection des données de votre État membre ou pays de résidence habituelle.