Politique de conservation des données

1. Objet et portée

La présente Politique de conservation et de destruction des données (la « Politique ») décrit la durée pendant laquelle Renji Labs, Inc. (« Renji Labs », « nous », « notre » ou « nos ») conserve chaque catégorie de renseignements personnels traités dans le cadre de Kaiary, et la manière dont ces renseignements sont définitivement supprimés lorsqu'ils ne sont plus nécessaires.

La présente Politique vise à satisfaire nos obligations en vertu des lois applicables, notamment : le Children's Online Privacy Protection Rule (COPPA), qui interdit la conservation indéfinie des renseignements personnels des enfants ; l'Illinois Biometric Information Privacy Act (BIPA), qui exige un calendrier écrit, accessible au public, de conservation et de destruction des identifiants biométriques ; les obligations équivalentes en vertu d'autres lois américaines (Texas CUBI, Washington RCW 19.375), du California Consumer Privacy Act (modifié par le CPRA), du Règlement général sur la protection des données de l'UE (RGPD), ainsi que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (modifiée par la Loi 25).

Résumé en langage clair : le contenu familial est conservé aussi longtemps que votre compte est actif et est supprimé dans les 30 jours suivant la fermeture du compte. Les données biométriques (faciales) sont détruites lorsque vous désactivez la reconnaissance faciale, supprimez les photos sous-jacentes ou fermez votre compte — selon ce qui survient en premier — et sont en tout état de cause détruites dans les trois ans suivant votre dernière interaction avec la fonction. Les journaux et les analyses sont conservés pour des périodes définies et limitées. Certains documents financiers sont conservés plus longtemps lorsque la loi fiscale l'exige. Nous ne conservons aucune donnée indéfiniment.

2. Définitions

Renseignements personnels. Tels que définis dans notre Politique de confidentialité.
Contenu familial. Les entrées de journal, photos, vidéos, enregistrements audio, légendes, événements marquants et autres contenus que les utilisateurs créent ou téléversent.
Données biométriques. Vecteurs de géométrie faciale (incrustations de visage) extraits des photos lorsqu'un utilisateur active la reconnaissance faciale. Les images brutes du visage sont stockées comme contenu familial ordinaire ; seul le vecteur d'incrustation est traité comme donnée biométrique aux fins de la présente Politique.
Renseignements personnels d'enfants. Renseignements personnels de toute personne âgée de moins de 18 ans, y compris les images, l'audio, les noms, les dates de naissance et les données biométriques des mineurs qui apparaissent comme sujets dans le contenu familial. Les titulaires de compte doivent avoir 18 ans ou plus ; cette catégorie concerne donc les renseignements relatifs à des mineurs que les utilisateurs adultes fournissent.
Compte actif. Compte qui n'a pas été supprimé, que ce soit par l'utilisateur ou par nous en application de nos conditions.
Suppression définitive. Retrait des systèmes de production et de toutes les copies de sauvegarde conservées dans les délais indiqués dans la présente Politique, d'une manière qui empêche la reconstruction des données.

3. Principes de conservation

Nos pratiques de conservation sont guidées par quatre principes :

Limitation des finalités. Nous conservons les renseignements personnels uniquement pour la durée nécessaire à la finalité pour laquelle ils ont été recueillis, plus toute période requise ou permise par la loi.
Aucune conservation indéfinie. Chaque catégorie de renseignements personnels a une durée maximale de conservation définie.
Contrôle par l'utilisateur. Les utilisateurs peuvent supprimer des éléments de contenu individuels, désactiver les fonctions facultatives ou supprimer leur compte en tout temps.
Protection accrue pour les catégories sensibles. Les renseignements personnels d'enfants et les données biométriques sont soumis aux périodes de conservation les plus courtes possibles et aux exigences de destruction les plus strictes.

4. Calendrier de conservation

Le tableau ci-dessous précise, pour chaque catégorie de renseignements personnels, l'événement déclencheur, la durée maximale de conservation et la justification. Sauf indication contraire, tous les délais courent à partir de l'événement déclencheur.

Catégorie de données

Durée de conservation

Déclencheur et justification

Renseignements de compte (nom, courriel, téléphone, identifiants d'authentification, profil)

Pendant toute la durée du Compte actif ; supprimés dans les 30 jours suivant la suppression du compte.

Déclencheur : suppression du compte. Justification : nécessaire pour fournir le service tant que le compte est actif ; période raisonnable de clôture après la suppression.

Contenu familial (photos, vidéos, entrées de journal, enregistrements audio, légendes, événements marquants)

Pendant toute la durée du Compte actif, ou jusqu'à ce que l'utilisateur supprime l'élément ; supprimé dans les 30 jours suivant la suppression du compte.

Déclencheur : suppression de l'élément par l'utilisateur, ou suppression du compte. Justification : finalité centrale du service.

Données biométriques (incrustations de visage)

Jusqu'à la première des éventualités suivantes : (a) l'utilisateur désactive la reconnaissance faciale, (b) l'utilisateur supprime les photos associées, (c) suppression du compte, ou (d) trois (3) ans après la dernière interaction de l'utilisateur avec la fonction de reconnaissance faciale. Détruites dans les 30 jours suivant l'un quelconque de ces événements.

Déclencheur : l'un quelconque de (a)–(d). Justification : BIPA (maximum de 3 ans depuis la dernière interaction), lois biométriques d'État, et notre propre engagement en matière de confidentialité.

Renseignements personnels d'enfants (images, audio, noms, données biographiques, données biométriques représentant des mineurs)

Mêmes que la catégorie sous-jacente (Contenu familial ou Données biométriques) mais jamais plus longtemps que le Compte actif ; supprimés dans les 30 jours suivant la suppression du compte.

Déclencheur : suppression par l'utilisateur ou suppression du compte. Justification : interdiction COPPA de la conservation indéfinie ; principe de minimisation des données pour les mineurs.

Jetons de notification poussée

Pendant toute la durée du Compte actif ou jusqu'à ce que les notifications poussées soient désactivées ; supprimés dans les 30 jours.

Déclencheur : notifications poussées désactivées ou suppression du compte. Justification : nécessaire pour livrer les notifications demandées.

Données de localisation précise (liées aux entrées de journal)

Pendant la durée de l'entrée, ou jusqu'à ce que l'utilisateur supprime l'entrée ou révoque l'autorisation de localisation. Liées à la conservation du Contenu familial.

Déclencheur : suppression de l'entrée, révocation de l'autorisation, ou suppression du compte. Justification : fonctionnalité du service.

Dossiers d'abonnement, de facturation et d'achat

Jusqu'à sept (7) ans après la transaction ou la fin de l'abonnement.

Déclencheur : fin de la transaction ou de l'abonnement. Justification : exigences fiscales fédérales et état-uniennes en matière de tenue de registres.

Journaux d'authentification et d'audit de sécurité

Jusqu'à douze (12) mois.

Déclencheur : création du journal. Justification : enquêtes de sécurité, détection de la fraude et réponse aux incidents.

Journaux applicatifs et d'infrastructure (non-sécurité)

Jusqu'à 90 jours.

Déclencheur : création du journal. Justification : débogage opérationnel.

Données de diagnostic de plantage et de performance (Sentry)

Jusqu'à 90 jours.

Déclencheur : capture de l'événement. Justification : enquête sur les erreurs et qualité du produit.

Événements d'analyse de produit (PostHog)

Jusqu'à vingt-quatre (24) mois.

Déclencheur : capture de l'événement. Justification : analyse longitudinale du produit ; minimisation des données au-delà de cette période.

Données d'attribution publicitaire et de conversion partagées avec les partenaires publicitaires (Google Ads, Meta, AppsFlyer)

Selon la politique de conservation publiée par chaque partenaire (généralement de 90 jours à 540 jours). Sur nos systèmes, les enregistrements d'événements de conversion sont conservés jusqu'à vingt-quatre (24) mois.

Déclencheur : capture de l'événement. Justification : mesure et reporting des campagnes.

Listes de courriels marketing

Jusqu'à ce que l'utilisateur se désabonne. Les enregistrements de désabonnement sont conservés indéfiniment, comme requis pour empêcher tout nouveau contact.

Déclencheur : désabonnement. Justification : CAN-SPAM, Article 17 du RGPD et exigences équivalentes en matière de listes de suppression.

Billets de soutien à la clientèle et correspondance

Jusqu'à trois (3) ans après la résolution.

Déclencheur : résolution du billet. Justification : règlement des différends et amélioration de la qualité.

Enregistrements de consentement (acceptation de la politique de confidentialité, consentement biométrique)

Pendant toute la durée du Compte actif, plus cinq (5) ans après la suppression du compte ou la révocation du consentement.

Déclencheur : suppression du compte ou révocation du consentement. Justification : capacité de défense juridique du consentement en vertu de BIPA, du RGPD et des lois biométriques d'État.

Enregistrements de suppression de compte (le fait qu'un compte ait été supprimé, plus des métadonnées minimales)

Jusqu'à douze (12) mois.

Déclencheur : suppression du compte. Justification : prévention de la fraude et audit.

Sauvegardes chiffrées (base de données et stockage)

Conservation glissante de 30 jours. Les données supprimées par l'utilisateur peuvent persister dans les sauvegardes jusqu'à 30 jours après la suppression.

Déclencheur : création de la sauvegarde. Justification : continuité des activités, reprise après sinistre, et limites pratiques des obligations de « droit à l'oubli ».

Données agrégées et anonymisées ne pouvant pas être liées à un individu

Peuvent être conservées indéfiniment à des fins d'analyse, de recherche et d'amélioration du produit.

Déclencheur : anonymisation. Justification : les données ne sont plus des renseignements personnels.

5. Méthodes de destruction

À la fin d'une période de conservation, nous supprimons les données concernées au moyen de méthodes adaptées au support de stockage :

Enregistrements de base de données. Supprimés définitivement de la base de données de production. La suppression douce n'est pas utilisée comme état final.
Stockage d'objets (photos, vidéos, audio). Supprimés d'Amazon S3 de façon à ce que les objets ne soient plus récupérables. Les copies d'objets versées sont purgées au même calendrier.
Incrustations biométriques. Supprimées de l'index pgvector dans PostgreSQL.
Copies en cache et de diffusion de contenu. Invalidées et purgées de CloudFront.
Journaux. Vieillissent hors du stockage de journaux selon les périodes de conservation ci-dessus.
Sauvegardes. Les sauvegardes chiffrées contenant des données supprimées sont retirées par rotation dans la fenêtre de conservation documentée. Les clés de chiffrement des sauvegardes retirées sont également détruites.
Sous-traitants tiers. Lorsque les données sont détenues par un fournisseur (ex. : Sentry, PostHog, AppsFlyer, RevenueCat, SendGrid), nous propageons les demandes de suppression au fournisseur et nous appuyons sur son processus de suppression documenté. Les fenêtres de conservation des fournisseurs sont indiquées ci-dessus lorsqu'elles diffèrent des nôtres.

6. Suppression initiée par l'utilisateur

6.1 Suppression de contenu individuel

Vous pouvez supprimer en tout temps des photos, vidéos, enregistrements audio, entrées de journal et autres éléments individuels depuis l'application. Les éléments supprimés sont retirés immédiatement des systèmes actifs et des sauvegardes dans la fenêtre standard de rotation des sauvegardes de 30 jours.

6.2 Suppression des données biométriques

Vous pouvez désactiver la reconnaissance faciale ou supprimer vos données de reconnaissance faciale en tout temps depuis Paramètres > Compte > Reconnaissance faciale. Supprimer les données biométriques ne supprime pas les photos sous-jacentes. La suppression biométrique est propagée dans les 30 jours.

6.3 Suppression de votre compte

La suppression de compte est disponible depuis Paramètres > Compte > Supprimer le compte. Le processus de suppression guide les titulaires dans les décisions de transfert de propriété ou de suppression familiale et nécessite une confirmation explicite. Une fois confirmée, toutes les renseignements personnels associés à votre compte — y compris le Contenu familial, les Données biométriques et les métadonnées de compte — sont supprimées des systèmes actifs et propagées par les sauvegardes dans les 30 jours.

Vous pouvez aussi demander la suppression en écrivant à privacy@kaiary.ai ou à support@kaiary.ai.

7. Dispositions spéciales pour les données biométriques

Conformément à l'Illinois Biometric Information Privacy Act (740 ILCS 14/) et aux lois d'État analogues, Renji Labs s'engage à ce qui suit en ce qui concerne les données de géométrie faciale :

Finalité. Les données biométriques sont recueillies dans le seul but d'effectuer l'étiquetage automatique des visages et l'organisation des photos au sein du groupe familial de l'utilisateur.
Conservation. Les données biométriques sont conservées jusqu'à la première des éventualités suivantes : (a) l'utilisateur désactive la reconnaissance faciale, (b) l'utilisateur supprime les photos associées, (c) suppression du compte, ou (d) trois ans depuis la dernière interaction de l'utilisateur avec la fonction.
Destruction. À la suite de l'un de ces événements, les données biométriques sont détruites dans les 30 jours selon les méthodes décrites à la section 5.
Aucune vente. Nous ne vendons, ne louons, n'échangeons ni ne tirons profit des données biométriques d'aucune autre façon.
Aucun partage avec des tiers. Les données biométriques sont traitées exclusivement sur l'infrastructure auto-hébergée de Renji Labs et ne sont partagées avec aucun tiers, y compris les partenaires publicitaires, les fournisseurs d'analyse ou les services d'IA tiers.
Piste d'audit. Le consentement à la collecte biométrique est enregistré avec horodatage, adresse IP, agent utilisateur, source du consentement et acceptations spécifiques fournies.

8. Dispositions spéciales pour les renseignements personnels d'enfants

Même si seul un adulte de 18 ans ou plus peut créer un compte Kaiary, le contenu familial inclut souvent des images, des enregistrements audio et des données biographiques sur des mineurs. Conformément au Children's Online Privacy Protection Rule, nous appliquons les pratiques de conservation accrues suivantes :

Aucune conservation indéfinie. Les renseignements personnels d'enfants ne sont jamais conservés indéfiniment. Leur conservation est régie par la règle du Compte actif ci-dessus et par la suppression initiée par l'utilisateur.
Suppression à la demande parentale. Le titulaire de compte adulte peut supprimer en tout temps tout élément représentant son enfant — ou tous ces éléments — depuis l'application. L'adulte peut aussi demander la suppression à privacy@kaiary.ai.
Aucune utilisation publicitaire ou analytique. Les renseignements personnels d'enfants ne sont jamais partagés avec des partenaires publicitaires ou d'analyse.
Traitement auto-hébergé uniquement. Les fonctions d'IA qui traitent du contenu représentant des enfants — reconnaissance faciale, légendage, recherche — fonctionnent exclusivement sur l'infrastructure de Renji Labs. Aucun service d'IA tiers ne reçoit d'images, d'audio ou de vidéos représentant des enfants.

9. Exception de préservation légale

Si la loi nous oblige à préserver des données — par exemple, en réponse à une assignation, une ordonnance judiciaire ou une demande réglementaire valides — les données visées peuvent être conservées au-delà des périodes prévues dans la présente Politique pour la durée de la préservation. Nous limitons la portée de toute préservation et reprenons la suppression normale dès la fin de l'obligation.

10. Sauvegardes et « droit à l'oubli »

Les sauvegardes chiffrées sont essentielles à la reprise après sinistre. Lorsque vous supprimez des données ou fermez votre compte, ces données sont retirées immédiatement des systèmes actifs, mais des copies peuvent demeurer dans les sauvegardes courantes jusqu'à 30 jours. Les sauvegardes sont chiffrées, à accès contrôlé et utilisées uniquement pour des opérations de reprise. Nous ne restaurons pas les données supprimées des sauvegardes, sauf en cas d'incident documenté de reprise après sinistre, et toute donnée restaurée est resupprimée dès la résolution de l'incident.

11. Transferts internationaux de données

Les données sont stockées aux États-Unis. Si nous transférons des données hors de leur pays d'origine, nous le faisons au moyen de mécanismes de transfert légaux (comme les clauses contractuelles types pour les transferts depuis l'Espace économique européen). Les périodes de conservation prévues dans la présente Politique s'appliquent peu importe l'endroit de stockage des données.

12. Révision et mise à jour de la politique

La présente Politique est révisée au moins une fois par an et mise à jour lors de tout changement important à nos activités de traitement, à notre infrastructure, à nos relations avec les fournisseurs ou aux lois applicables. La date de « Dernière mise à jour » en haut de ce document reflète la révision la plus récente. Les changements importants sont résumés dans notre Politique de confidentialité et peuvent être communiqués aux utilisateurs par l'application ou par courriel.

13. Nous joindre

Pour toute question sur la présente Politique ou pour exercer vos droits de suppression de données, communiquez avec :

Confidentialité

Renji Labs, Inc.

2093 Philadelphia Pike #6689

Claymont, DE 19703

Courriel : privacy@kaiary.ai