Politique de confidentialité

Dernière mise à jour : 8 juin 2026 Version : 1.0

Cette politique explique quelles données personnelles NEXYA AI collecte, pourquoi, avec qui elles sont partagées, combien de temps elles sont conservées, comment elles sont protégées, et quels sont tes droits. Elle est rédigée pour être lisible par tout le monde, pas seulement par des juristes.

1Qui sommes-nous (responsable du traitement)

NEXYA AI (« NEXYA », « l'application », « le service ») est édité par :

Éditeur / Responsable du traitement : Loth Ivan Ngassa Yimga, entrepreneur individuel, exerçant sous le nom commercial « Nexyalabs »
Adresse : Bonandjo, Douala, Cameroun
Pays d'établissement : Cameroun
Contact vie privée : dpo@nexyalabs.com
Délégué à la protection des données (DPO) : non désigné à ce jour (la désignation d'un DPO n'est pas obligatoire pour un éditeur individuel n'effectuant pas de traitement à grande échelle de données sensibles ; un contact vie privée est assuré ci-dessus)

Le responsable du traitement est l'entité qui décide pourquoi et comment tes données personnelles sont traitées.

2Champ d'application

Cette politique s'applique à l'application mobile NEXYA AI (Android et iOS), à son interface web le cas échéant, et aux services backend associés (API hébergée sur api.nexyalabs.com).

NEXYA est un assistant conversationnel mobile multi-expert et multi-modèles fondé sur l'intelligence artificielle générative. Il propose du chat IA, des modes experts spécialisés, la génération d'images, l'analyse d'images, la transcription et la synthèse vocale, la gestion de projets et de fichiers, une mémoire IA, un planificateur de tâches, et des notifications.

NEXYA s'adresse à des utilisateurs en Afrique et au-delà, y compris dans l'Union européenne. Comme nous proposons activement nos services à des personnes situées dans l'UE, nous appliquons le Règlement général sur la protection des données (RGPD, UE 2016/679) comme norme de référence, en plus des lois applicables localement.

3Définitions utiles

Données personnelles : toute information se rapportant à une personne identifiée ou identifiable (ton email, tes messages, ton appareil, etc.).
Traitement : toute opération sur des données (collecte, stockage, consultation, transmission, suppression, etc.).
Sous-traitant : un prestataire tiers qui traite des données pour notre compte et selon nos instructions (par exemple un fournisseur de modèle IA ou un service d'envoi d'emails).
Fournisseur de modèle IA : une société qui exécute les modèles d'intelligence artificielle que NEXYA utilise pour générer ses réponses.

4Quelles données nous collectons

Nous collectons uniquement les données nécessaires au fonctionnement du service. Voici le détail, par catégorie.

4.1 Données de compte (que tu fournis)

Adresse email
Nom d'utilisateur (username)
Nom affiché (display name)
Mot de passe (jamais stocké en clair : il est haché avec bcrypt, donc nous ne pouvons pas le lire)
Genre (valeurs possibles : Masculin ou Féminin), si renseigné
Biographie courte (bio), si renseignée
Photo de profil (avatar), si fournie

4.2 Contenu que tu crées et envoies

Tes messages de conversation (prompts) et les réponses générées par l'IA
Les fichiers que tu téléverses (PDF, DOCX, images, audio, etc.) dans tes projets
Les images que tu envoies pour analyse (mode Vision)
Les enregistrements audio que tu envoies pour transcription (fonction vocale Pro)
Les images, audio et documents générés par NEXYA et enregistrés dans ta bibliothèque
Les tâches planifiées que tu crées (planificateur)
Tes signalements de contenu et tes retours (feedback like / dislike), tes suggestions

4.3 Mémoire IA

NEXYA peut conserver des « faits durables » sur toi pour personnaliser ses réponses dans le temps (par exemple : « l'utilisateur développe une application en Flutter »). Ces faits sont soit ajoutés manuellement par toi, soit extraits automatiquement de tes conversations longues par un modèle d'IA.

Nous appliquons un filtre automatique qui exclut les catégories sensibles au sens de l'Article 9 du RGPD (santé, finances privées, religion, opinions politiques, orientation sexuelle, appartenance syndicale). Tu peux consulter, ajouter et supprimer ces faits à tout moment depuis Paramètres > Mémoire IA, et tu peux désactiver entièrement la mémoire.

4.4 Données techniques et d'usage (collectées automatiquement)

Identifiant d'appareil (généré par l'application au premier lancement, utilisé pour limiter les abus et les inscriptions automatisées)
Jeton de notification push (FCM), si tu actives les notifications
Adresse IP et type d'appareil / version de l'application (dans nos journaux techniques de sécurité)
Journaux d'événements d'authentification (connexion, inscription, déconnexion, réinitialisation de mot de passe), à des fins de sécurité et de prévention de la fraude. L'adresse IP y est conservée sous forme anonymisée dans les exports
Préférences de notifications, langue, thème, et autres réglages que tu choisis
Rapports d'erreurs et de plantage techniques (avec un nettoyage automatique des informations personnelles avant transmission)

4.5 Consentements

Nous enregistrons les consentements que tu donnes ou retires (acceptation des conditions, politique de confidentialité, traitement par IA, utilisation de tes données pour l'entraînement de modèles, emails marketing, statistiques d'usage), avec la date, la version du document concerné et une empreinte cryptographique du document, à titre de preuve.

4.6 Données de paiement (fonction à venir)

Les paiements et abonnements (Mobile Money, carte bancaire) ne sont pas activés dans la version actuelle de l'application. Lorsqu'ils le seront, les données de paiement seront traitées directement par des prestataires de paiement agréés (par exemple CinetPay, NotchPay, Stripe) et nous ne stockerons jamais le numéro complet de ta carte bancaire. Cette politique sera mise à jour en conséquence avant l'activation des paiements.

4.7 Données que nous ne collectons pas

NEXYA ne collecte pas ta géolocalisation précise, ne lit pas tes contacts, ne scanne pas ta galerie sans ton action explicite, et n'accède à la caméra ou au microphone que lorsque tu déclenches toi-même la fonction concernée (photo, analyse d'image, dictée vocale).

5Comment ton contenu est utilisé par l'intelligence artificielle

C'est le point le plus important pour un assistant IA, donc nous le détaillons clairement.

5.1 Envoi aux fournisseurs de modèles IA

Pour générer une réponse, NEXYA transmet le contenu nécessaire (ton message, et selon la fonction, le fichier, l'image ou l'audio concerné, ainsi que le contexte pertinent de ta conversation et de ta mémoire IA) à un ou plusieurs fournisseurs de modèles d'intelligence artificielle. Ce sont des prestataires techniques qui exécutent le calcul du modèle et nous renvoient la réponse. La liste de ces fournisseurs figure à la section 8.

5.2 Pas d'entraînement par défaut

Par défaut, tes données ne sont pas utilisées pour entraîner des modèles d'IA. Le consentement « utilisation de mes données pour l'entraînement de modèles » est désactivé par défaut et distinct des autres. Nous demandons par contrat à nos fournisseurs de modèles d'IA de ne pas utiliser le contenu transmis via leurs API pour entraîner leurs modèles, conformément à leurs conditions API standard.

5.3 Modération et sécurité

Pour des raisons de sécurité et de conformité, certains contenus peuvent être analysés automatiquement par des outils de modération (par exemple pour détecter des demandes dangereuses). NEXYA applique aussi des règles métier (par exemple refuser une prescription médicale nominative ou la rédaction d'un acte juridique engageant).

5.4 Transparence sur le contenu généré par IA (AI Act)

NEXYA génère du contenu par intelligence artificielle. Conformément à l'esprit du Règlement européen sur l'intelligence artificielle (AI Act, UE 2024/1689, dont l'Article 13 sur la transparence devient applicable en août 2026) :

les contenus produits par NEXYA sont identifiés comme générés par IA,
les images générées peuvent porter un marquage visuel NEXYA et, à terme, des métadonnées de provenance cryptographiques (norme C2PA / Content Credentials),
nous tenons un registre interne des appels aux modèles d'IA (modèle utilisé, base légale, catégories de données, durée de conservation) à des fins de conformité.

5.5 Limites

NEXYA est un assistant. Ses réponses peuvent contenir des erreurs et ne remplacent pas un avis professionnel (médical, juridique, financier). Pour les situations d'urgence vitale, contacte les services d'urgence de ton pays.

6Pourquoi nous traitons tes données (finalités et bases légales)

Chaque traitement repose sur une base légale du RGPD (Article 6).

Finalité	Base légale
Créer et gérer ton compte, t'authentifier	Exécution du contrat (Art. 6.1.b)
Te fournir les fonctionnalités IA que tu demandes (chat, vision, voix, images, projets, mémoire, planificateur)	Exécution du contrat (Art. 6.1.b)
Sécuriser le service, prévenir la fraude et les abus	Intérêt légitime (Art. 6.1.f)
Envoyer des emails transactionnels (réinitialisation de mot de passe, confirmations)	Exécution du contrat (Art. 6.1.b)
Envoyer des notifications push liées à tes tâches et au service	Contrat / consentement selon le type (Art. 6.1.b / 6.1.a)
Envoyer des emails marketing	Consentement (Art. 6.1.a), retirable à tout moment
Mesurer l'usage et améliorer le produit (statistiques anonymisées, rapports de plantage)	Consentement ou intérêt légitime selon le cas (Art. 6.1.a / 6.1.f)
Utiliser tes données pour entraîner des modèles	Consentement explicite (Art. 6.1.a), désactivé par défaut
Respecter nos obligations légales	Obligation légale (Art. 6.1.c)

Tu peux retirer ton consentement à tout moment pour les traitements qui en dépendent, sans que cela affecte la licéité des traitements effectués avant le retrait.

7Combien de temps nous conservons tes données

Donnée	Durée de conservation
Compte et contenu associé (conversations, projets, fichiers, bibliothèque)	Tant que ton compte est actif
Après une demande de suppression de compte	Délai de grâce de 30 jours, puis suppression définitive
Mémoire IA supprimée par toi	Suppression définitive immédiate (pas de corbeille)
Journaux des appels aux modèles d'IA	90 jours
Jetons de session (refresh tokens)	Supprimés à expiration et peu après révocation
Résultats des tâches planifiées	30 jours
Journaux d'événements d'authentification (sécurité)	Durée nécessaire à la sécurité, puis anonymisés ou supprimés
Preuves de consentement	Durée légale de preuve

Les contenus supprimés sont d'abord marqués comme supprimés puis effacés physiquement de nos stockages dans un délai raisonnable.

8Avec qui nous partageons tes données (sous-traitants et destinataires)

Nous ne vendons pas tes données personnelles. Nous les partageons uniquement avec des sous-traitants qui nous aident à faire fonctionner le service, dans la limite du nécessaire, et sous contrat les obligeant à protéger tes données.

8.1 Fournisseurs de modèles d'intelligence artificielle

Sous-traitant	Rôle	Localisation
Google (Gemini / Vertex AI / Imagen)	Texte, analyse d'images, génération d'images, embeddings	États-Unis / UE
OpenAI	Texte, transcription (Whisper), synthèse vocale, embeddings, modération	États-Unis
Anthropic (Claude)	Génération de texte	États-Unis
Alibaba (Qwen, via DashScope International)	Génération de texte	États-Unis (région internationale)
OpenRouter	Agrégateur d'accès à divers modèles de texte	États-Unis
Replicate (Flux)	Génération d'images (solution de repli)	États-Unis

8.2 Infrastructure et services techniques

Sous-traitant	Rôle	Localisation
Hetzner	Hébergement des serveurs et de la base de données	Union européenne (Allemagne / Finlande)
Cloudflare	Sécurité réseau, protection anti-attaques, distribution	Mondial
Google Firebase (Cloud Messaging)	Notifications push	États-Unis / mondial
Brevo (ex-Sendinblue)	Emails transactionnels et marketing	Union européenne (France)
hCaptcha	Protection anti-robots à l'inscription	États-Unis
Sentry	Surveillance des erreurs (avec nettoyage des données personnelles)	États-Unis / UE selon configuration
Kroki.io	Rendu de diagrammes (uniquement si tu en demandes un)	Service externe
Stockage objet (MinIO / S3 compatible)	Stockage des fichiers et médias	Hébergé avec notre infrastructure

Cette liste peut évoluer. Nous la mettrons à jour en cas de changement de sous-traitant important.

8.3 Autres destinataires

Nous pouvons divulguer des données si la loi l'exige (demande d'une autorité judiciaire ou administrative compétente) ou pour faire valoir nos droits.

9Transferts de données hors de l'Union européenne

Tes données de compte et tes contenus sont stockés sur une infrastructure hébergée dans l'Union européenne (Hetzner, Allemagne / Finlande). Toutefois, certains de nos sous-traitants, notamment les fournisseurs de modèles d'IA, sont situés en dehors de l'Union européenne (principalement aux États-Unis) : le contenu nécessaire à la génération d'une réponse leur est transmis le temps du traitement. Lorsque tes données sont transférées hors de l'UE, nous nous appuyons sur les garanties prévues par le RGPD, par exemple :

les clauses contractuelles types de la Commission européenne (Standard Contractual Clauses),
ou tout autre mécanisme de transfert reconnu (décision d'adéquation, certification applicable).

Tu peux nous contacter pour obtenir plus d'informations sur ces garanties.

10Comment nous protégeons tes données (sécurité)

chiffrement des communications (HTTPS / TLS),
mots de passe stockés uniquement sous forme hachée (bcrypt), jamais en clair,
authentification par jetons signés (JWT RS256) avec rotation et durée de vie courte,
limitation du débit (rate limiting) et quotas anti-abus,
contrôle strict des fichiers téléversés (vérification du type réel, taille maximale, analyse antivirus),
protection contre les requêtes serveur malveillantes (anti-SSRF),
nettoyage automatique des informations personnelles dans les rapports d'erreurs,
filtrage des données sensibles avant stockage dans la mémoire IA,
isolation des données entre utilisateurs.

Aucun système n'est sûr à 100 %, mais nous nous engageons à protéger tes données et à te notifier en cas de violation de données présentant un risque pour toi, conformément à la loi.

11Tes droits

Conformément au RGPD, tu disposes des droits suivants :

Droit d'accès (Art. 15) : obtenir une copie de tes données. NEXYA propose un export complet depuis l'application (Paramètres > Vie privée > Télécharger mes données).
Droit de rectification (Art. 16) : corriger tes données inexactes, depuis ton profil.
Droit à l'effacement (Art. 17) : demander la suppression de ton compte (Paramètres > Vie privée > Supprimer mon compte), après un délai de grâce de 30 jours annulable.
Droit à la portabilité (Art. 20) : récupérer tes données dans un format structuré et réutilisable (via l'export ci-dessus).
Droit d'opposition (Art. 21) et de limitation (Art. 18).
Droit de retirer ton consentement (Art. 7) : à tout moment (Paramètres > Vie privée > Mes consentements).
Droit de ne pas faire l'objet d'une décision entièrement automatisée produisant des effets juridiques : NEXYA ne prend pas de décision de ce type à ton sujet.

Pour exercer un droit qui ne serait pas directement accessible dans l'application, écris-nous à dpo@nexyalabs.com. Nous répondons dans les délais prévus par la loi (en principe sous un mois).

12Mineurs

NEXYA n'est pas destiné aux enfants en dessous de l'âge minimum requis. Tu dois avoir au moins 13 ans pour utiliser le service. Si tu as entre 13 ans et l'âge du consentement numérique applicable dans ton pays (qui varie de 13 à 16 ans selon les pays de l'Union européenne), tu dois disposer de l'autorisation d'un parent ou tuteur légal. Si nous apprenons qu'un compte a été créé par un enfant de moins de 13 ans, ou sans l'autorisation requise, nous le supprimerons.

13Cookies et traceurs

NEXYA est principalement une application mobile et n'utilise pas de cookies publicitaires. L'application utilise un stockage local sur ton appareil pour ton confort (préférences, cache hors-ligne, session). Les outils de mesure d'usage et de plantage décrits ci-dessus sont soumis à ton consentement lorsque la loi l'exige. Si une version web utilise des cookies, un bandeau dédié te le signalera.

14Modifications de cette politique

Nous pouvons modifier cette politique pour refléter des évolutions du service ou de la réglementation. En cas de changement important, nous t'en informerons (dans l'application ou par email) et mettrons à jour la date en haut du document. La poursuite de l'utilisation du service après notification vaut prise de connaissance.

15Nous contacter et réclamations

Pour toute question relative à tes données : dpo@nexyalabs.com
Adresse postale : Bonandjo, Douala, Cameroun

Si tu estimes que le traitement de tes données ne respecte pas la réglementation, tu as le droit d'introduire une réclamation auprès d'une autorité de contrôle : dans l'Union européenne, l'autorité de protection des données de ton pays (par exemple la CNIL en France) ; au Cameroun, l'autorité compétente en matière de protection des données et de communications électroniques.