Mentions légales

Politique de confidentialité

Dernière mise à jour : 20 avril 2026

Nos engagements en trois points

1. Vos données ne sont jamais vendues ni louées à aucun tiers, à aucune fin.

2. Vos données ne sont jamais utilisées pour entraîner des modèles d'intelligence artificielle , y compris ceux de notre prestataire IA, qui s'engage contractuellement à ne pas réutiliser les contenus envoyés via son API pour l'entraînement.

3. Aucun profilage publicitaire imposé sans consentement : les éventuels outils de mesure et de publicité ne sont activés que si vous y consentez via notre bannière cookies.

1. Responsable du traitement

RootsAI traite les données personnelles des Utilisateurs dans le strict respect du Règlement (UE) 2016/679 (RGPD) et de la loi Informatique et Libertés modifiée. Le responsable de traitement peut être contacté à privacy@rootsai.co.

2. Données collectées

  • Email (authentification)
  • Données généalogiques que vous saisissez (noms, dates, lieux, notes)
  • Informations de paiement (traitées par le prestataire, non stockées chez nous)
  • Données de connexion (IP, navigateur) à des fins de sécurité

3. Bases légales de chaque traitement (RGPD art. 13)

Chaque traitement repose sur une base légale identifiée : (a) exécution du contrat pour la création de compte, la génération de récits et la fourniture du service ; (b) obligation légale pour la facturation et la conservation comptable (10 ans) ; (c) intérêt légitime pour la sécurité du service et la prévention de la fraude ; (d) consentement pour toute communication non indispensable et pour les éventuels traceurs publicitaires ou de mesure d'audience.

4. Données de tiers vivants

Lorsque l'Utilisateur saisit dans son arbre des informations relatives à une personne tierce vivante, RootsAI agit comme sous-traitant de l'Utilisateur (lui-même responsable de ces données) pour la seule fin d'hébergement et de présentation. Toute personne vivante identifiée peut exercer ses droits RGPD directement auprès de RootsAI (privacy@rootsai.co) : un processus de vérification d'identité est mis en œuvre, puis la donnée est masquée ou supprimée dans un délai maximum de 30 jours, l'Utilisateur détenteur de l'arbre étant informé.

5. Personnes décédées

Les données des personnes décédées ne sont pas couvertes par le RGPD (Considérant 27), mais RootsAI respecte les directives post-mortem prévues à l'article 85 de la loi Informatique et Libertés. Les héritiers d'une personne décédée peuvent solliciter la rectification ou la suppression de données la concernant sur présentation d'un justificatif de qualité d'héritier.

6. Mineurs

Le service n'est pas destiné aux enfants de moins de 15 ans. En cas d'ouverture d'un compte entre 15 et 18 ans, RootsAI peut vérifier l'existence d'une autorisation parentale. Toute donnée concernant un mineur figurant dans l'arbre d'un Utilisateur est soumise au consentement du titulaire de l'autorité parentale ; à défaut, elle est masquée sur demande.

7. Hébergement et sécurité

Les données sont hébergées en Union européenne (Irlande). Aucun transfert hors UE sans garanties appropriées. Les données sont chiffrées en transit (TLS 1.3) et au repos. L'accès aux bases est restreint à un nombre limité d'opérateurs authentifiés. RootsAI applique les recommandations de l'ANSSI et du référentiel CNIL en matière de sécurité.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, RootsAI notifie la CNIL sous 72 heures et les Utilisateurs concernés sans délai injustifié.

8. Transferts hors UE (modèle d'IA narrative)

Le service d'intelligence artificielle utilisé pour la narration peut traiter, le temps d'une génération de récit, des données textuelles issues de l'arbre de l'Utilisateur. Ce transfert est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914) et par des engagements contractuels de non-réutilisation des données et de suppression sous 30 jours maximum. Aucun autre transfert hors UE n'a lieu.

9. Durée de conservation après suppression de compte

À la suppression du compte, l'arbre et les récits associés sont supprimés sous 30 jours. Certaines données sont conservées au-delà :

  • Données de facturation pendant 10 ans (obligation comptable).
  • Logs de sécurité pendant 12 mois (recommandation CNIL).
  • Sauvegardes chiffrées pendant 90 jours maximum avant écrasement.

Au-delà, aucune donnée personnelle n'est conservée. L'Utilisateur peut demander l'export GEDCOM complet de son arbre à tout moment avant suppression.

10. Vos droits

Vous disposez des droits d'accès, de rectification, de suppression, de portabilité et d'opposition prévus par le RGPD. Pour exercer ces droits : privacy@rootsai.co. Vous pouvez à tout moment déposer une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).

11. Sous-traitants

Nous faisons appel à des prestataires techniques spécialisés pour :

  • Hébergement et base de données (Union européenne)
  • Hébergement applicatif et réseau de diffusion (avec garanties RGPD)
  • Traitement des paiements (prestataire certifié PCI-DSS)
  • Envoi d'emails transactionnels
  • Modèles d'intelligence artificielle pour la narration (transfert encadré par clauses contractuelles types, cf. section 8)

La liste détaillée et nominative des sous-traitants est disponible sur demande à privacy@rootsai.co, conformément à l'article 28 du RGPD.