Politique de Confidentialité

Dernière mise à jour : 5 juin 2026 — Version : 2026-06-05-v1

La présente Politique de Confidentialité décrit la manière dont les données personnelles sont traitées dans le cadre du service Roro Vision, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

1. Responsable de traitement

Le responsable de traitement est Alexandre Khalifé, entrepreneur individuel exerçant sous le nom commercial « Roro Vision », SIREN 989 113 352 (RCS de Créteil), dont le siège est situé 29 Boulevard Henri Ruel, 94120 Fontenay-sous-Bois, France.

Pour toute question relative à vos données ou pour exercer vos droits : support@roro.vision — Téléphone : +33 7 82 03 85 21.

2. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

fournir le service d'assistant vocal d'aide à la lecture pour les personnes malvoyantes (description vocale de documents et d'objets photographiés) ;
créer et gérer votre compte et vous authentifier ;
gérer les crédits, abonnements et achats ;
améliorer et sécuriser le service ;
respecter nos obligations légales (notamment la conservation des registres de consentement).

3. Bases légales

Conformément à l'article 6, paragraphe 1 du RGPD, les traitements reposent, selon la finalité, sur :

le consentement (article 6.1.a) — notamment pour le consentement recueilli avant la première utilisation et, le cas échéant, l'analytique d'usage ;
l'exécution du contrat (article 6.1.b) — traitement nécessaire à la fourniture du service que vous demandez ;
l'intérêt légitime (article 6.1.f) — amélioration et sécurité du service.

4. Données collectées

Données de compte : adresse e-mail (authentification), nom d'affichage (optionnel), préférences de voix (vitesse, genre) et de langue, indicateur d'activation de la biométrie ;
Photos de session : les photos que vous prenez pendant une session sont transmises pour traitement et stockées de façon sécurisée ;
Transcription audio en session : le flux audio n'est pas conservé en tant que tel ; seule la transcription nécessaire au fonctionnement et à la synthèse est traitée ;
Métadonnées de session : horodatage, crédits consommés, type d'usage, langue, instantané des préférences de voix.

5. Données susceptibles de relever de la santé (article 9 du RGPD)

Le service ne sollicite ni n'exige de données concernant la santé. Toutefois, dans le cadre d'un usage généraliste (par exemple la lecture d'une posologie de médicament), l'utilisateur peut volontairement fournir des informations susceptibles de relever de l'article 9 du RGPD (catégories particulières de données). Ces informations ne sont traitées que pour répondre à la demande ponctuelle de l'utilisateur.

6. Sous-traitants (article 28 du RGPD)

Nous faisons appel aux sous-traitants suivants, qui n'agissent que sur nos instructions documentées :

Sous-traitant	Rôle	Localisation / transfert	Encadrement du transfert
Google (Gemini / Cloud / Vertex AI)	Intelligence artificielle générative (photos et transcription en session)	Régions UE disponibles ; inférence susceptible d'avoir lieu hors UE	EU-US Data Privacy Framework (DPF) et clauses types de protection des données (SCC)
LiveKit Cloud	Infrastructure audio/vidéo temps réel	Confinement régional possible ; observabilité hors UE	DPF, clauses types (SCC) et clauses britanniques (IDTA)
Supabase	Base de données, stockage et authentification	Région UE (Francfort)	Clauses types de protection des données (SCC)
Fly.io	Hébergement du backend et du worker	Région UE (Paris)	EU-US Data Privacy Framework (DPF)
RevenueCat	Gestion des abonnements et achats	Infrastructure aux États-Unis	Clauses types de protection des données (SCC)
Sentry	Surveillance des erreurs techniques	Option de résidence UE	DPF et clauses types (SCC)
PostHog	Analytique d'usage (activable / désactivable)	PostHog Cloud UE (Francfort)	Clauses types de protection des données (SCC)

7. Transferts de données hors Union européenne

Lorsqu'un traitement implique un transfert de données vers un pays tiers, celui-ci est encadré par les garanties appropriées prévues aux articles 44 à 49 du RGPD : clauses types de protection des données adoptées par la Commission européenne (article 46) et, le cas échéant, adhésion d'un sous-traitant à l'EU-US Data Privacy Framework (décision d'adéquation).

8. Durées de conservation

Données de compte : conservées tant que le compte est actif ;
Photos de session : purgées au plus tard 45 jours après la demande de suppression du compte ;
Synthèses et transcriptions (accès administrateur) : purgées au plus tard 45 jours après la demande de suppression du compte ;
Registres de consentement : conservés conformément à la loi (piste d'audit en ajout seul).

La suppression du compte est précédée d'un délai de réflexion de 30 jours, pendant lequel le compte peut être réactivé.

9. Vos droits

Conformément aux articles 15 à 21 du RGPD, vous disposez des droits suivants :

droit d'accès (article 15) ;
droit de rectification (article 16) ;
droit à l'effacement, dit « droit à l'oubli » (article 17) ;
droit à la limitation du traitement (article 18) ;
droit à la portabilité des données (article 20) ;
droit d'opposition (article 21).

Pour exercer ces droits, contactez support@roro.vision.

10. Délégué à la protection des données (DPO)

Les fonctions de délégué à la protection des données sont assurées par le dirigeant de Roro Vision, joignable à support@roro.vision.

11. Autorité de contrôle

Conformément à l'article 77 du RGPD, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. En France, l'autorité compétente est la Commission nationale de l'informatique et des libertés (CNIL) — cnil.fr.

12. Mineurs

Le service n'est pas destiné aux mineurs de moins de 15 ans. En France, le consentement au traitement des données dans le cadre des services en ligne requiert un âge minimal de 15 ans (article 8 de la loi Informatique et Libertés).

13. Résidence des données

Au lancement, les données sont hébergées dans l'Union européenne (région unique). Les éventuels transferts vers des sous-traitants situés hors UE sont encadrés conformément à la section 7.

14. Cookies et traceurs

L'application mobile Roro Vision n'utilise pas de cookies. Les usages au sein de l'application sont mesurés à l'aide de PostHog (au moyen d'un identifiant de suivi) et les erreurs techniques sont collectées via Sentry. La mesure d'audience peut être désactivée dans les réglages de l'application.

15. Mises à jour

La présente politique peut être mise à jour. Les utilisateurs sont informés des modifications significatives au sein de l'application.

Notes et références

Références officielles applicables.

RGPD, article 6 (licéité), article 9 (catégories particulières) — CNIL, chapitre II.
RGPD, articles 12 et 13 (information) ; articles 15 à 21 (droits) — CNIL, chapitre III.
RGPD, article 28 (sous-traitant), article 37 (DPO) — CNIL, chapitre IV.
RGPD, articles 44 à 49 (transferts hors UE) — CNIL, chapitre V.
RGPD, article 77 (réclamation auprès d'une autorité de contrôle) — CNIL, chapitre VIII.
Loi n° 78-17 du 6 janvier 1978 (Informatique et Libertés) — Légifrance.
Addenda de traitement (DPA) des sous-traitants : Google Cloud, LiveKit, Supabase, Fly.io, RevenueCat, Sentry, PostHog.