This is a translation of the English original. In case of discrepancy, the English version prevails, except where local law requires otherwise.

Politique de Confidentialité

Date d'entrée en vigueur : 6 avril 2026 Version : 1.1.0

---

1. Identité du responsable du traitement

HearQA est exploité par HC DESENVOLVIMENTO DE SOFTWARES LTDA, une société constituée conformément aux lois de la République fédérative du Brésil. Nous sommes le responsable du traitement de vos données personnelles au sens du Règlement général sur la protection des données de l'UE (RGPD), de la Loi générale brésilienne sur la protection des données (LGPD, Lei nº 13.709/2018) et de la Loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Pour le traitement des paiements, nous utilisons Paddle.com en tant que Marchand Officiel (Merchant of Record). Paddle traite toutes les transactions par carte, collecte les taxes et gère les remboursements, et apparaît comme vendeur sur votre relevé de carte. Voir §6 pour la liste complète des sous-traitants tiers.

• Contact vie privée : legal@hearqa.com
• Signalements de sécurité : security@hearqa.com
• Adresse du siège social : Rua Guaicui, 715, CEP 30.380-342, Bairro Luxemburgo, Belo Horizonte, MG, Brésil

---

2. Quelles données nous collectons

HearQA collecte et traite les catégories de données suivantes :

2.1 Audio

Le microphone de votre appareil capture l'audio via l'API Microphone du navigateur. L'audio est transmis directement à l'API Groq Whisper pour une transcription en temps réel. L'audio n'est jamais stocké, téléchargé sur les serveurs de HearQA ni conservé. Il est supprimé immédiatement après la transcription par le sous-traitant tiers.

2.2 Texte de transcription

Texte produit par Groq à partir de votre flux audio. Ce texte est envoyé à des services d'IA (AWS Bedrock Claude 3.5 Haiku, ou Google Vertex AI Gemini en solution de secours) pour générer des réponses d'accompagnement. Le texte de transcription est conservé uniquement pendant une session active dans notre base de données. Il n'est pas stocké de manière permanente après la fin de la session, sauf si vous choisissez de conserver un résumé de session.

2.3 Photos et images

Images téléchargées via la caméra de votre appareil ou le sélecteur de fichiers. Celles-ci sont traitées pour l'extraction de texte par OCR (reconnaissance optique de caractères). Les images sont stockées temporairement dans AWS S3 pendant une session active et sont supprimées automatiquement lorsque la session se termine.

2.4 Captures d'écran

Sur les appareils de bureau, le contenu de l'écran peut être capturé via l'API getDisplayMedia du navigateur. Les captures d'écran sont traitées pendant la session pour l'extraction de texte par OCR. Les captures d'écran ne sont ni conservées ni stockées.

2.5 Enregistrements vidéo

Courts clips vidéo (jusqu'à 20 secondes) enregistrés via la caméra de votre appareil, l'enregistrement d'écran, la webcam ou téléchargés depuis votre appareil. Les vidéos sont téléchargées vers AWS S3, traitées par Google Vertex AI (Gemini 2.5 Flash) pour l'extraction de texte, puis traitées par AWS Bedrock (Claude) pour l'accompagnement IA. Les fichiers vidéo sont automatiquement supprimés de S3 dans un délai de 24 heures via la politique de cycle de vie du bucket. Seul le texte extrait est conservé pendant la session.

2.6 Informations du compte

Votre adresse e-mail et votre nom, fournis via la connexion Google ou l'inscription par e-mail/mot de passe. Ces données sont stockées dans AWS Cognito (pour l'authentification) et AWS DynamoDB (pour votre profil utilisateur).

2.7 Métadonnées de session

Informations sur vos sessions, y compris le type de session, le modèle utilisé, la durée, le nombre de réponses IA et les horodatages. Stockées dans DynamoDB jusqu'à ce que vous supprimiez votre compte.

2.8 Résumés de session

Bilans de performance générés par l'IA créés à la fin d'une session. Stockés dans DynamoDB. Vous pouvez supprimer des résumés individuels à tout moment, ou tous les résumés sont supprimés lorsque vous supprimez votre compte.

2.9 Documents

Fichiers que vous téléchargez (PDF, fichiers texte) pour les utiliser comme contexte IA via la génération augmentée par récupération (RAG). Stockés dans un bucket AWS S3 dédié. Vous pouvez supprimer tout document à tout moment via les paramètres de votre compte.

2.10 Informations de paiement

L'ensemble du traitement des paiements est géré intégralement par Paddle. HearQA ne voit, ne stocke ni ne traite jamais les données de votre carte de paiement. Nous recevons uniquement votre e-mail client et la confirmation d'intention de paiement de Paddle pour gérer votre abonnement.

---

3. Base juridique du traitement

Nous traitons vos données personnelles sur les bases juridiques suivantes, conformément aux exigences du RGPD (Article 6) et de la LGPD (Article 7) :

| Type de données | Base juridique | Justification | |-----------|-------------|---------------| | Informations du compte | Exécution du contrat | Nécessaire pour créer et maintenir votre compte et fournir le service auquel vous avez souscrit. | | Flux audio | Exécution du contrat | Nécessaire pour fournir la transcription en temps réel, une fonctionnalité essentielle du service. | | Texte de transcription | Exécution du contrat | Nécessaire pour générer des réponses d'accompagnement IA pendant votre session. | | Photos et images | Exécution du contrat | Nécessaire pour fournir les fonctionnalités d'OCR et d'IA basée sur les documents que vous initiez. | | Captures d'écran | Exécution du contrat | Nécessaire pour fournir les fonctionnalités d'OCR basées sur l'écran que vous initiez. | | Enregistrements vidéo | Exécution du contrat | Nécessaire pour fournir l'extraction de texte basée sur la vidéo et l'accompagnement IA que vous initiez. | | Métadonnées de session | Exécution du contrat ; Intérêt légitime | Nécessaire pour appliquer les limites du forfait et améliorer la fiabilité du service. | | Résumés de session | Exécution du contrat | Générés à votre demande pour fournir des bilans de performance de session. | | Documents | Exécution du contrat | Téléchargés par vous pour utilisation comme contexte IA dans vos sessions. | | Données de paiement (via Paddle) | Exécution du contrat | Nécessaire pour traiter les paiements de votre abonnement. | | E-mails transactionnels | Exécution du contrat ; Intérêt légitime | Nécessaire pour communiquer les informations relatives au compte (par ex., reçus de paiement, changements de forfait). | | Suivi des erreurs (Sentry) | Intérêt légitime | Données non personnellement identifiables utilisées pour maintenir la stabilité du service et diagnostiquer les problèmes. |

Lorsque nous nous appuyons sur l'intérêt légitime, nous avons effectué des tests de mise en balance pour garantir que nos intérêts ne prévalent pas sur vos droits et libertés fondamentaux. Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime à tout moment en contactant legal@hearqa.com.

---

4. Comment nous utilisons vos données

Nous utilisons vos données aux fins suivantes :

• Fourniture du service — Fournir la transcription en temps réel, l'accompagnement IA, l'OCR et les réponses fondées sur les documents pendant vos sessions.
• Accompagnement IA — Envoyer le texte de transcription et le contexte documentaire aux modèles d'IA (AWS Bedrock, Google Vertex AI) pour générer une assistance pertinente et contextuelle.
• Gestion du compte — Authentifier votre identité, gérer votre profil et maintenir votre historique de sessions et vos documents.
• Suivi d'utilisation et application du forfait — Surveiller le nombre de sessions, les durées et les volumes de réponses IA pour appliquer les limites de votre forfait d'abonnement (Free, Pro, Session Pack ou Annual).
• E-mails transactionnels — Envoyer des confirmations de paiement, des notifications de changement de forfait et des communications essentielles relatives au compte via AWS SES.
• Amélioration du service — Analyser les données d'erreur non personnellement identifiables (via Sentry) et les tendances d'utilisation agrégées pour améliorer la fiabilité et les performances.

Nous n'utilisons pas vos données à des fins publicitaires, de profilage, de prise de décision automatisée produisant des effets juridiques, ni de vente à des tiers.

---

5. Partage de données et sous-traitants

Nous partageons vos données uniquement avec les sous-traitants nécessaires à la fourniture du service. Nous ne vendons, ne louons ni n'échangeons vos données personnelles.

| Service | Finalité | Données reçues | Région de traitement | |---------|---------|---------------|-------------------| | Groq (Whisper API) | Transcription audio | Flux audio (supprimé immédiatement après la transcription) | Infrastructure Groq | | AWS Bedrock (Claude 3.5 Haiku) | Réponses d'accompagnement IA | Transcription textuelle, contexte documentaire | us-east-1 (N. Virginie, États-Unis) | | Google Vertex AI (Gemini) | Accompagnement IA (secours) + extraction de texte vidéo | Transcription textuelle, contexte documentaire, images vidéo | us-central1 (Iowa, États-Unis) | | Paddle | Traitement des paiements | E-mail client, intention de paiement | Infrastructure Paddle | | AWS Cognito | Authentification des utilisateurs | E-mail, nom, jetons OAuth | us-east-1 (N. Virginie, États-Unis) | | AWS DynamoDB | Stockage de données | Données de compte, métadonnées de session, résumés | us-east-1 (N. Virginie, États-Unis) | | AWS S3 | Stockage de documents et téléchargements | Documents utilisateur, téléchargements de session | us-east-1 (N. Virginie, États-Unis) | | AWS SES | E-mail transactionnel | E-mail du destinataire, contenu du message | us-east-1 (N. Virginie, États-Unis) | | Sentry (optionnel) | Suivi des erreurs | Données d'erreur non personnellement identifiables, traces de pile | Infrastructure Sentry |

Chaque sous-traitant est lié par des accords de traitement de données qui l'obligent à traiter les données uniquement selon les instructions, à mettre en œuvre des mesures de sécurité appropriées et à ne pas utiliser les données à ses propres fins.

---

6. Transferts internationaux de données

HearQA est exploité depuis le Brésil, mais la majorité du traitement des données a lieu aux États-Unis (AWS us-east-1, N. Virginie). Si vous êtes situé au Brésil, dans l'Espace économique européen (EEE) ou dans d'autres juridictions imposant des restrictions aux transferts de données, vos données seront transférées aux États-Unis.

Nous assurons la licéité des transferts par les garanties suivantes :

• Brésil (LGPD) : Les transferts internationaux sont effectués conformément à l'Article 33 de la Lei nº 13.709/2018 et à la Résolution CD/ANPD nº 19/2024, en s'appuyant sur les clauses contractuelles types et l'adéquation des mesures de protection des données mises en œuvre par nos sous-traitants.
• UE/EEE (RGPD) : Les transferts vers des sous-traitants situés en dehors de l'EEE sont régis par les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément au Chapitre V du RGPD, garantissant un niveau adéquat de protection des données.
• Général : Toutes les données en transit sont chiffrées à l'aide de TLS. Toutes les données au repos sont chiffrées à l'aide du chiffrement géré par AWS. Nos sous-traitants (AWS, Paddle, Groq, Sentry) maintiennent leurs propres certifications de conformité (SOC 2, ISO 27001 ou équivalent).

---

7. Conservation des données

Nous conservons vos données uniquement pendant la durée nécessaire aux finalités décrites dans la présente politique. Les durées de conservation varient selon le type de données :

| Type de données | Durée de conservation | |-----------|-----------------| | Audio | Jamais stocké. Supprimé immédiatement après la transcription en temps réel par Groq. | | Texte de transcription | Session active uniquement. Supprimé à la fin de la session, sauf si l'utilisateur conserve un résumé de session. | | Photos et images | Session active uniquement. Supprimés de S3 à la fin de la session. | | Captures d'écran | Jamais stockées. Traitées pendant la session uniquement. | | Enregistrements vidéo | Automatiquement supprimés dans un délai de 24 heures. Seul le texte extrait est conservé pendant la session active. | | Informations du compte | Jusqu'à la suppression de votre compte. | | Métadonnées de session | Jusqu'à la suppression de votre compte. | | Résumés de session | Jusqu'à la suppression du résumé ou de votre compte. | | Documents | Jusqu'à la suppression du document ou de votre compte. | | Enregistrements de paiement | Conservés par Paddle conformément à sa politique de conservation. HearQA conserve uniquement le statut de l'abonnement et le type de forfait. | | Journaux d'erreurs (Sentry) | Conformément à la politique de conservation de Sentry (généralement 90 jours). Ne contiennent aucune information personnellement identifiable. |

Lorsque vous supprimez votre compte, votre Contenu Utilisateur reste disponible pour exportation pendant 30 jours après la demande de suppression, comme décrit à la Section 17 de nos Conditions d'Utilisation. Après cette fenêtre de 30 jours, toutes vos données sont définitivement purgées de DynamoDB et S3. Cette purge est irréversible.

Vous pouvez également demander une purge immédiate et irrévocable (en ignorant la fenêtre d'exportation de 30 jours) en envoyant un e-mail à legal@hearqa.com. Nous confirmerons la demande avant de l'exécuter.

---

8. Vos droits

Quel que soit votre lieu de résidence, nous accordons les droits suivants à tous les utilisateurs de HearQA :

• Droit d'accès — Vous pouvez consulter votre profil et les données de votre compte à tout moment via les paramètres de votre compte, ou en demandant une copie à legal@hearqa.com.
• Droit à la portabilité des données — Vous pouvez exporter toutes vos données personnelles au format JSON via la fonction d'exportation des données dans les Paramètres.
• Droit de rectification — Vous pouvez mettre à jour les informations de votre profil à tout moment via les paramètres de votre compte.
• Droit à l'effacement (suppression) — Vous pouvez supprimer entièrement votre compte via les Paramètres. Cela supprime définitivement toutes vos données de nos systèmes (DynamoDB, S3, Cognito). Vous pouvez également supprimer des résumés de session individuels ou des documents sans supprimer l'ensemble de votre compte.
• Droit à la limitation du traitement — Vous pouvez demander que nous limitions la manière dont nous traitons vos données en contactant legal@hearqa.com.
• Droit d'opposition — Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime en contactant legal@hearqa.com.
• Droit de retirer le consentement — Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment. Le retrait n'affecte pas la licéité du traitement effectué avant le retrait.

Pour exercer l'un de ces droits, contactez-nous à legal@hearqa.com. Nous répondrons dans un délai de 15 jours pour les demandes au titre de la LGPD, 30 jours pour les demandes au titre du RGPD et 45 jours pour les demandes au titre de la CCPA, conformément à la législation applicable.

---

9. Pour les utilisateurs au Brésil (LGPD)

Si vous êtes situé au Brésil, cette section fournit des informations complémentaires requises par la Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

• Responsable du traitement : HC DESENVOLVIMENTO DE SOFTWARES LTDA, Rua Guaicui, 715, CEP 30.380-342, Bairro Luxemburgo, Belo Horizonte, MG, Brésil.
• Délégué à la protection des données (Encarregado) : Joignable à legal@hearqa.com. L'Encarregado est chargé de recevoir les communications des personnes concernées et de l'ANPD.
• Bases juridiques : Le traitement est fondé sur l'Article 7 de la LGPD, en particulier : exécution du contrat (inciso V), intérêt légitime (inciso IX) et consentement le cas échéant (inciso I).
• Autorité de contrôle : L'Autoridade Nacional de Proteção de Dados (ANPD) est l'autorité compétente en matière de LGPD. Vous avez le droit de saisir l'ANPD si vous estimez que vos droits en matière de protection des données ont été violés.
  • Site web de l'ANPD : https://www.gov.br/anpd
• Transferts internationaux : Vos données sont transférées aux États-Unis conformément à l'Article 33 de la LGPD et à la Résolution CD/ANPD nº 19/2024.
• Délai de réponse : Nous répondrons à vos demandes dans un délai de 15 jours, conformément à la LGPD.

---

10. Pour les utilisateurs dans l'UE/EEE (RGPD)

Si vous êtes situé dans l'Union européenne ou l'Espace économique européen, cette section fournit des informations complémentaires requises par le Règlement général sur la protection des données (UE 2016/679).

• Bases juridiques : Nos activités de traitement et leurs bases juridiques sont détaillées dans la Section 3 ci-dessus. Les bases principales sont l'exécution du contrat (Article 6(1)(b)) et l'intérêt légitime (Article 6(1)(f)).
• Droit d'introduire une réclamation : Vous avez le droit d'introduire une réclamation auprès de votre autorité de contrôle locale en matière de protection des données. La liste des autorités de contrôle de l'UE/EEE est disponible à l'adresse https://edpb.europa.eu/about-edpb/about-edpb/members_en.
• Transferts internationaux : Les données sont transférées aux États-Unis en vertu des clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément au Chapitre V du RGPD.
• Délégué à la protection des données : Pour les demandes relatives au RGPD, contactez legal@hearqa.com.
• Prise de décision automatisée : HearQA ne procède pas à une prise de décision automatisée ni à un profilage produisant des effets juridiques ou des effets significatifs similaires vous concernant. Les réponses d'accompagnement IA sont fournies à titre informatif uniquement et ne constituent pas des décisions automatisées au sens de l'Article 22.
• Délai de réponse : Nous répondrons à vos demandes dans un délai de 30 jours, avec une prolongation possible de 60 jours supplémentaires pour les demandes complexes, conformément à l'Article 12(3).

---

11. Pour les utilisateurs en Californie (CCPA)

Si vous êtes résident de Californie, cette section fournit des informations complémentaires requises par la Loi californienne sur la protection de la vie privée des consommateurs (Cal. Civ. Code Section 1798.100 et seq.) et la Loi californienne sur les droits en matière de vie privée (CPRA).

• Nous ne vendons pas d'informations personnelles. HearQA n'a jamais vendu et ne vendra jamais vos informations personnelles à des tiers.
• Nous ne partageons pas d'informations personnelles à des fins de publicité comportementale inter-contextes.
• Droit de savoir : Vous avez le droit de demander les catégories et les données spécifiques d'informations personnelles que nous avons collectées à votre sujet au cours des 12 derniers mois.
• Droit de suppression : Vous avez le droit de demander la suppression de vos informations personnelles. Vous pouvez le faire directement via les paramètres de votre compte ou en contactant legal@hearqa.com.
• Droit de rectification : Vous avez le droit de demander la correction d'informations personnelles inexactes.
• Droit de refuser la vente : Puisque nous ne vendons pas d'informations personnelles, il n'y a pas de vente à refuser.
• Non-discrimination : Nous ne vous discriminerons pas pour l'exercice de l'un de vos droits au titre de la CCPA. Vous ne recevrez pas de tarification différente, une qualité de service différente, et le service ne vous sera pas refusé pour avoir exercé vos droits.
• Délai de réponse : Nous répondrons aux demandes vérifiables des consommateurs dans un délai de 45 jours, conformément à la CCPA.

Catégories d'informations personnelles collectées (selon les catégories de la CCPA) :

| Catégorie CCPA | Exemples | Collectée | |---------------|----------|-----------| | Identifiants | Adresse e-mail, nom | Oui | | Informations commerciales | Forfait d'abonnement, historique de paiement (via Paddle) | Oui | | Activité Internet ou réseau | Métadonnées de session (type, durée, horodatages) | Oui | | Informations audio | Audio du microphone (transmis, jamais stocké) | Transitoire uniquement | | Informations audiovisuelles | Enregistrements vidéo (jusqu'à 20 secondes, supprimés automatiquement dans un délai de 24 heures) | Transitoire uniquement | | Informations professionnelles | Contenu de session lié aux entretiens, examens, certifications | Oui (durée de session uniquement) | | Inférences | Résumés de session générés par l'IA | Oui (initiés par l'utilisateur) |

---

12. Vie privée des mineurs

HearQA n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment d'informations personnelles auprès de mineurs de moins de 16 ans.

• Conformément à la Loi américaine sur la protection de la vie privée des enfants en ligne (COPPA), nous ne collectons pas de données auprès de mineurs de moins de 13 ans.
• Conformément au RGPD, nous ne traitons pas les données de personnes de moins de 16 ans sans consentement parental, et nous ne disposons pas de mécanisme pour obtenir un tel consentement.
• Conformément à la LGPD, le traitement des données d'enfants et d'adolescents nécessite le consentement spécifique et mis en évidence d'un parent ou d'un tuteur légal (Article 14).

Si nous prenons connaissance du fait que nous avons collecté des données personnelles d'un mineur de moins de 16 ans, nous supprimerons ces données immédiatement. Si vous pensez qu'un mineur de moins de 16 ans nous a fourni des informations personnelles, veuillez nous contacter à legal@hearqa.com.

---

13. Cookies et technologies de suivi

HearQA n'utilise pas de cookies, de balises web, de pixels ni de technologies de suivi similaires.

Nous n'utilisons aucun cookie de première partie ni de tiers. Nous ne pratiquons pas de suivi inter-sites, de publicité comportementale ni de collecte d'empreintes numériques. Les jetons d'authentification sont stockés dans le sessionStorage de votre navigateur, qui est effacé lorsque vous fermez l'onglet de votre navigateur et n'est pas accessible par d'autres sites web.

Puisque nous n'utilisons ni cookies ni technologies de suivi, il n'y a pas de bandeau de consentement aux cookies et aucun mécanisme de refus n'est nécessaire.

---

14. Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles :

• Chiffrement au repos : Toutes les données stockées dans DynamoDB et S3 sont chiffrées à l'aide de clés de chiffrement gérées par AWS (AES-256).
• Chiffrement en transit : Toutes les données transmises entre votre navigateur, nos serveurs et les sous-traitants sont chiffrées à l'aide de TLS 1.2 ou supérieur.
• Contrôles d'accès : L'accès aux systèmes de production et aux données est restreint au personnel autorisé à l'aide de contrôles d'accès basés sur les rôles et d'une authentification multifacteur.
• Sécurité de l'infrastructure : Tous les services fonctionnent sur l'infrastructure AWS, qui maintient les certifications de conformité SOC 1/2/3, ISO 27001 et autres.
• Sécurité de l'authentification : Les mots de passe des utilisateurs sont gérés par AWS Cognito avec un hachage conforme aux standards de l'industrie. Les jetons OAuth suivent le flux PKCE (Proof Key for Code Exchange) pour une sécurité renforcée.
• Isolation des données : Les données des utilisateurs sont logiquement isolées dans DynamoDB à l'aide de la conception par clé de partition. Chaque utilisateur ne peut accéder qu'à ses propres données.
• Revues régulières : Nous effectuons des revues de sécurité périodiques et surveillons les vulnérabilités dans nos dépendances et notre infrastructure.

Divulgation de vulnérabilités : Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler à security@hearqa.com. Nous prenons tous les signalements au sérieux et répondrons rapidement.

---

15. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de Confidentialité périodiquement pour refléter les changements dans nos pratiques, notre technologie, les exigences légales ou d'autres facteurs.

• Modifications substantielles : Pour les changements significatifs affectant vos droits ou la manière dont nous traitons vos données, nous vous informerons au moins 30 jours à l'avance par e-mail à l'adresse associée à votre compte.
• Modifications non substantielles : Les clarifications mineures ou les mises à jour de mise en forme peuvent être effectuées sans préavis.
• Historique des versions : La date de « Dernière mise à jour » en haut de cette politique reflète la date de la révision la plus récente. Le numéro de version suit le versionnement sémantique.

Nous vous encourageons à consulter cette politique régulièrement. Votre utilisation continue de HearQA après l'entrée en vigueur des modifications constitue l'acceptation de la politique mise à jour.

---

16. Contact

Pour toute question, préoccupation ou demande relative à la présente Politique de Confidentialité ou à vos données personnelles :

• Questions relatives à la vie privée et au droit : legal@hearqa.com
• Signalements de vulnérabilités de sécurité : security@hearqa.com

Pour les questions d'assistance concernant votre abonnement ou le service, les abonnés Pro et Session Pack actifs peuvent utiliser le formulaire de contact dans leur portail.

Adresse postale : HC DESENVOLVIMENTO DE SOFTWARES LTDA Rua Guaicui, 715 CEP 30.380-342, Bairro Luxemburgo Belo Horizonte, MG, Brésil

Nous nous efforçons de répondre à toutes les demandes relatives à la vie privée dans un délai de 15 jours.