Politique de Confidentialité
Article 1 — Responsable du traitement
Le responsable du traitement des données personnelles est :
CES Venture SAS (nom commercial : Hello Mira)
Siège social : Euratechnologies, 165 avenue de Bretagne, 59000 Lille, France
SIREN : 991 370 115
Représentant légal : Cédric Tumminello, Président
Délégué à la Protection des Données (DPO) :
Cédric Tumminello
Email : [email protected]
Article 2 — Champ d'application
La présente Politique de Confidentialité s'applique à l'ensemble des données personnelles collectées et traitées dans le cadre de :
- l'utilisation de la Plateforme Hello Mira (application mobile Mira Nomad, site web hello-mira.com, Mira Chat) ;
- la souscription et l'utilisation du Mira Pass ;
- la réservation et l'exécution des Mira Trips ;
- les interactions avec les Mira Agents et Mira Brain ;
- la participation aux Mira Tribes et à la communauté Mira ;
- les échanges avec le service client.
Article 3 — Données collectées et finalités
3.1 Données d'inscription et de profil
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom | Identification, personnalisation | Exécution du contrat |
| Adresse email | Communication, authentification | Exécution du contrat |
| Mot de passe (hashé) | Authentification | Exécution du contrat |
| Date de naissance | Vérification d'âge (18 ans), éligibilité destinations | Exécution du contrat |
| Nationalité | Éligibilité destinations (visa), personnalisation | Exécution du contrat |
| Numéro de téléphone portable | Communication, notifications, assistance d'urgence | Exécution du contrat |
| Pays de résidence fiscale (demandé au moment du paiement) | Application du taux de TVA | Obligation légale |
| Métier / activité professionnelle | Personnalisation, attribution de Mira Tribes | Consentement |
| Photo de profil | Identification communautaire | Consentement |
| Préférences de voyage | Personnalisation, recommandations IA | Consentement |
3.2 Données de réservation et de voyage
| Donnée | Finalité | Base légale |
|---|---|---|
| Scan du passeport | Vérification d'identité (KYC) | Exécution du contrat + obligation légale |
| Données MRZ extraites du passeport (nom, nationalité, date de naissance, date d'expiration, numéro de document) | KYC, éligibilité destinations | Exécution du contrat |
| Ville de départ | Calcul du prix (supplément vol) | Exécution du contrat |
| Historique de réservations | Gestion du compte, réductions fidélité | Exécution du contrat |
| Preuve d'assurance voyage | Vérification du prérequis de réservation | Exécution du contrat |
| Données de paiement | Traitement des transactions (via Stripe) | Exécution du contrat |
3.3 Données d'utilisation de la Plateforme
| Donnée | Finalité | Base légale |
|---|---|---|
| Logs de connexion | Sécurité, prévention de fraude | Intérêt légitime |
| Conversations avec les Mira Agents et Mira Brain | Fonctionnement du service, amélioration des modèles IA | Exécution du contrat (fonctionnement) / Intérêt légitime (amélioration) |
| Messages dans les Mira Tribes | Fonctionnement du service, modération | Exécution du contrat |
| Messages privés (DM) | Fonctionnement du service | Exécution du contrat |
| Données de navigation (analytics) | Amélioration de l'UX | Consentement (Clarity) / Exempt (Plausible) |
3.4 Données de communication
| Donnée | Finalité | Base légale |
|---|---|---|
| Historique des échanges avec le support | Service client | Exécution du contrat |
| Préférences de notification | Communication ciblée | Consentement |
| Adresse email (newsletters) | Prospection commerciale | Consentement (opt-in) |
Article 4 — Base légale de l'amélioration des modèles IA
Les conversations de l'Utilisateur avec les Mira Agents et Mira Brain peuvent être utilisées pour améliorer la qualité des réponses et enrichir Mira Knowledge (base de connaissances propriétaire).
Ce traitement repose sur l'intérêt légitime de Hello Mira (article 6.1.f du RGPD), après mise en balance avec les droits et libertés des Utilisateurs :
- Intérêt poursuivi : amélioration continue de la pertinence et de la fiabilité des informations fournies aux Nomads, dans un domaine (voyage, visa, santé, fiscalité) où la qualité de l'information est critique ;
- Mesures de protection : anonymisation des données avant utilisation pour l'entraînement, minimisation des données, droit d'opposition de l'Utilisateur.
L'Utilisateur peut à tout moment s'opposer à l'utilisation de ses conversations pour l'amélioration des modèles, depuis les paramètres de son compte ou par email à [email protected]. Cette opposition s'applique aux conversations futures.
Article 5 — Destinataires des données
5.1 En interne
Les données sont accessibles aux équipes opérationnelles de Hello Mira (support client, opérations voyage, technique, marketing) dans la stricte mesure nécessaire à l'exercice de leurs fonctions.
5.2 Sous-traitants techniques
Hello Mira fait appel aux sous-traitants suivants pour le traitement des données personnelles :
| Sous-traitant | Service | Localisation des données | Transfert hors UE |
|---|---|---|---|
| OVHcloud | Hébergement, infrastructure | France / UE | Non |
| Supabase (AWS Stockholm) | Base de données, authentification | Suède (UE) | Non |
| Stripe | Paiements, Stripe Connect (séquestre) | UE (siège US) | Possible (CCT) |
| Brevo | Emailing, newsletters | France | Non |
| Cloudflare | CDN, protection DDoS | Caches UE (siège US) | Possible (CCT) |
| Duffel | API vols | Royaume-Uni | Non (décision d'adéquation) |
| Vonage | Communications (SMS, voix) | Siège US | Probable (CCT) |
| Firebase (Google) | Notifications push | Siège US | Probable (CCT) |
| Plausible | Analytics web | UE | Non |
| Microsoft Clarity | Analytics comportemental (heatmaps, replays) | Siège US | Probable (CCT) |
| Google Gemini | IA générative (Mira Brain) | Siège US | Probable (CCT) |
| Anthropic (Claude) | IA générative (Mira Brain) | Siège US | Probable (CCT) |
| OpenAI (GPT) | IA générative (KYC investigation, Mira Brain) | Siège US | Probable (CCT) |
| Mistral AI | IA générative (Mira Brain) | France | Non |
Note : Hello Mira s'inscrit dans une démarche progressive de souveraineté technologique, avec le développement de modèles d'IA propriétaires hébergés en UE, visant à réduire la dépendance aux fournisseurs extra-européens.
Chaque sous-traitant est lié par un contrat de sous-traitance conforme à l'article 28 du RGPD.
5.3 Partenaires voyage (phase de vente effective)
Dans le cadre de l'exécution d'un Mira Trip, certaines données peuvent être transmises aux prestataires du voyage :
- Hébergeurs (coliving, hôtels) : données strictement nécessaires à la réservation (nom, dates, préférences) ;
- Compagnies aériennes : données passagers requises par la réglementation aérienne ;
- Mira Amigos : données limitées (prénom, centres d'intérêt).
Transmission du passeport aux prestataires : avec le consentement explicite du Voyageur, Hello Mira peut transmettre les données de passeport aux opérateurs du voyage (compagnies aériennes, hébergeurs) qui en ont besoin pour les formalités. Ce consentement est facultatif, séparé et révocable à tout moment.
5.4 Autorités
Les données peuvent être communiquées aux autorités compétentes en réponse à une obligation légale (administration fiscale, autorités judiciaires, etc.).
5.5 Partage marketing
Hello Mira peut partager des données anonymisées et agrégées (ne permettant pas l'identification des Utilisateurs) avec des partenaires marketing à des fins d'analyse statistique et d'amélioration des campagnes.
Aucune donnée personnelle identifiable n'est partagée avec des partenaires marketing sans le consentement exprès de l'Utilisateur.
Article 6 — Transferts hors Union Européenne
Certains sous-traitants de Hello Mira sont établis en dehors de l'Union Européenne, principalement aux États-Unis (Stripe, Cloudflare, Vonage, Firebase, Google Gemini, Anthropic, OpenAI, Microsoft Clarity).
Ces transferts sont encadrés par les garanties suivantes :
- Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, intégrées aux contrats avec les sous-traitants concernés ;
- Décisions d'adéquation de la Commission européenne, le cas échéant (ex : Royaume-Uni pour Duffel) ;
- Mesures supplémentaires : chiffrement des données en transit et au repos, minimisation des données transmises.
Hello Mira veille à ne transmettre que les données strictement nécessaires à la finalité du traitement. En particulier, les données sensibles (scan de passeport) ne sont pas transmises aux fournisseurs d'IA, sauf pour le processus de KYC (investigation des noms via OpenAI GPT-4.1 Vision), pour lequel les données transmises sont limitées au strict nécessaire et soumises aux CCT d'OpenAI.
Article 7 — Durées de conservation
| Type de donnée | Durée de conservation |
|---|---|
| Données de compte actif | Durée de la relation contractuelle |
| Données de compte après suppression | 3 ans (prescription, gestion des contentieux) |
| Données de compte après inactivité (sans suppression) | Archivage après 24 mois d'inactivité, suppression après 36 mois |
| Données de réservation | Durée du contrat + 5 ans (obligations comptables) |
| Factures et données de paiement | 10 ans (obligation comptable, art. L123-22 Code de commerce) |
| Scan de passeport — rejeté/échoué | 24 heures après le rejet |
Scan de passeport — validé, retain_document = false | Image supprimée 30 jours après validation ; données MRZ conservées tant que le Mira Pass est actif |
Scan de passeport — validé, retain_document = true | Conservé tant que le Mira Pass est actif + 90 jours de grâce après expiration |
| Scan de passeport — droit à l'oubli | Soft delete immédiat + suppression physique sous 30 jours |
| Conversations IA (compte actif) | Durée de la relation contractuelle |
| Conversations IA (après suppression de compte) | Anonymisées sous 30 jours (contenu conservé de manière anonyme pour l'amélioration du service) |
| Messages Mira Tribes / DM | Anonymisés après suppression du compte |
| Logs de connexion | 1 an (recommandation CNIL) |
| Données de prospection | 3 ans après le dernier contact |
| Cookies et traceurs | 13 mois maximum (recommandation CNIL) |
| Crédits promotionnels | 12 mois à compter de l'attribution |
Article 8 — Sécurité des données
8.1 Mesures techniques
Hello Mira met en œuvre les mesures de sécurité suivantes :
- chiffrement des données en transit (TLS/SSL) et au repos ;
- contrôle d'accès strict basé sur les rôles (RBAC) ;
- journalisation de tous les accès aux fichiers sensibles (notamment les scans de passeport), avec traçabilité complète ;
- URLs pré-signées à durée de vie limitée (15 minutes) pour l'accès aux fichiers sensibles ;
- hébergement sur des serveurs certifiés (OVHcloud) situés en France et en UE ;
- pseudonymisation des données lorsque cela est techniquement possible.
8.2 Mesures organisationnelles
- politique de sécurité interne ;
- sensibilisation des équipes aux enjeux de la protection des données ;
- accès aux données limité aux personnes habilitées, dans le respect du principe de minimisation.
8.3 Notification des violations
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes :
- la CNIL est notifiée dans un délai de 72 heures ;
- les personnes concernées sont informées dans les meilleurs délais si le risque est élevé.
Article 9 — Droits des Utilisateurs
Conformément aux articles 15 à 22 du RGPD, l'Utilisateur dispose des droits suivants :
| Droit | Description |
|---|---|
| Droit d'accès (art. 15) | Obtenir une copie de l'ensemble de ses données personnelles |
| Droit de rectification (art. 16) | Corriger des données inexactes ou incomplètes |
| Droit à l'effacement (art. 17) | Demander la suppression de ses données (« droit à l'oubli ») |
| Droit à la limitation (art. 18) | Limiter le traitement dans certains cas (contestation, illicéité) |
| Droit à la portabilité (art. 20) | Récupérer ses données dans un format structuré et lisible par machine |
| Droit d'opposition (art. 21) | S'opposer au traitement pour des raisons légitimes (notamment à l'utilisation des conversations pour l'amélioration de l'IA) |
| Droit de retirer son consentement | À tout moment, sans affecter la licéité du traitement antérieur |
| Droit de ne pas faire l'objet d'une décision automatisée (art. 22) | Ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs |
9.1 Décisions automatisées
Hello Mira utilise un système automatisé pour la vérification d'identité (KYC) : le scan du passeport est analysé par une IA qui compare les données MRZ aux informations de profil. Ce système peut valider ou rejeter automatiquement une vérification d'identité.
L'Utilisateur a le droit de contester toute décision automatisée et de demander une intervention humaine en contactant le support client à [[email protected]]. Un système d'investigation manuelle est prévu pour les cas litigieux.
9.2 Exercice des droits
L'Utilisateur peut exercer ses droits :
- par email à [email protected] ;
- par courrier à CES Venture SAS — Euratechnologies, 165 avenue de Bretagne, 59000 Lille, France.
Hello Mira s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas l'Utilisateur est informé du délai supplémentaire.
Une vérification d'identité du demandeur peut être requise pour traiter la demande.
9.3 Suppression de l'historique de conversations IA
L'Utilisateur peut demander la suppression de son historique de conversations avec les Mira Agents et Mira Brain en contactant [email protected].
Article 10 — Cookies et traceurs
10.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement de la Plateforme (authentification, sécurité, gestion de session). Ils ne nécessitent pas le consentement de l'Utilisateur.
10.2 Cookies analytiques
Plausible : outil d'analytics respectueux de la vie privée, qui ne dépose pas de cookies et ne collecte pas de données personnelles. Aucun consentement n'est requis.
Microsoft Clarity : outil d'analyse comportementale (heatmaps, replays de session). Clarity dépose des cookies et traite des données personnelles. Son activation est soumise au consentement préalable de l'Utilisateur via le bandeau cookies.
10.3 Gestion du consentement
Lors de sa première visite, l'Utilisateur est invité à exprimer son choix via un bandeau cookies. Le refus est aussi facile que l'acceptation. Les traceurs soumis à consentement ne sont activés qu'après acceptation explicite.
L'Utilisateur peut modifier ses préférences à tout moment depuis les paramètres de la Plateforme.
Les cookies ont une durée de vie maximale de 13 mois conformément aux recommandations de la CNIL.
Article 11 — Données des mineurs
La Plateforme n'est pas destinée aux mineurs de moins de 18 ans. Hello Mira ne collecte pas intentionnellement de données personnelles de mineurs.
Si Hello Mira prend connaissance de la collecte de données d'un mineur, ces données seront supprimées dans les meilleurs délais.
Article 12 — Modification de la Politique de Confidentialité
Hello Mira se réserve le droit de modifier la présente Politique de Confidentialité. En cas de modification substantielle, les Utilisateurs seront informés par email et/ou par notification in-app au moins 30 jours avant l'entrée en vigueur.
Article 13 — Contact et réclamation
Point de contact données personnelles : [email protected]
En cas de réclamation non résolue, l'Utilisateur peut saisir l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Site web : www.cnil.fr
Les Utilisateurs résidant dans un autre État membre de l'UE peuvent également saisir l'autorité de protection des données de leur pays de résidence.