Votre vie privée est au cœur de tout ce que nous faisons. Cette politique explique, en langage clair, quelles données nous collectons, pourquoi et comment nous les protégeons — conformément au Règlement Général sur la Protection des Données (RGPD) et au droit luxembourgeois et européen applicable.
Dernière mise à jour : 7 février 2026
Vos souvenirs sont chiffrés en AES-256 avec une clé unique par utilisateur
Nous ne vendons, ne louons et n'échangeons jamais vos données personnelles
Accédez, exportez, rectifiez ou supprimez vos données à tout moment
Conçu selon les principes de protection de la vie privée dès la conception et par défaut (Art. 25 RGPD)
Le responsable du traitement de vos données personnelles est :
Hailoom S.à r.l.
Luxembourg
Contact : support@hailoom.com ou via notre formulaire de contact sur la page Support
Délégué à la protection des données : joignable via le formulaire de contact
Nous collectons différentes catégories de données personnelles selon votre utilisation de la plateforme. Nous appliquons le principe de minimisation des données (Art. 5(1)(c) RGPD) : nous ne collectons que les données strictement nécessaires à chaque finalité.
Lors de la création et de l'utilisation de votre compte Hailoom :
Le contenu que vous créez volontairement dans vos coffres de souvenirs :
Important : Vos entrées de coffre peuvent contenir des données personnelles sensibles (Art. 9 RGPD) telles que des informations de santé, des croyances religieuses ou des réflexions profondément personnelles. Ce contenu est traité sur la base juridique de votre consentement explicite et est chiffré en permanence.
Lorsque vous désignez des bénéficiaires pour recevoir votre contenu d'héritage, nous collectons à leur sujet :
Conformément à l'Art. 14 du RGPD, les bénéficiaires sont informés dans un délai d'un mois que leurs données ont été collectées, de la finalité du traitement et de leurs droits. Ils peuvent exercer leurs droits de manière indépendante en nous contactant.
Pour assurer la sécurité et améliorer le service :
Lorsque vous souscrivez à un plan payant, traité via Stripe :
En vertu de l'Art. 6 du RGPD, chaque activité de traitement doit avoir une base juridique. Nous utilisons une seule base juridique par finalité — elles ne sont jamais combinées. Le tableau ci-dessous associe chaque activité de traitement à sa base juridique.
| Activité de traitement | Base juridique (Art. 6 RGPD) | Finalité |
|---|---|---|
| Création de compte et gestion du profil | Contrat (Art. 6(1)(b)) | Nécessaire à la fourniture du service Hailoom |
| Stockage et chiffrement des entrées de coffre | Contrat (Art. 6(1)(b)) | Service principal : stocker et protéger vos souvenirs |
| Désignation et gestion des bénéficiaires | Contrat (utilisateur) / Intérêt légitime (bénéficiaire) | Exécuter les instructions d'héritage numérique de l'utilisateur |
| Livraison de contenu post-mortem | Contrat (utilisateur) / Intérêt légitime (bénéficiaire) | Livrer le contenu aux bénéficiaires désignés |
| Notification et vérification de décès | Intérêt légitime (Art. 6(1)(f)) | Prévention des déclarations frauduleuses, protection de l'héritage des utilisateurs |
| Traitement des abonnements et paiements | Contrat (Art. 6(1)(b)) | Gestion des abonnements payants via Stripe |
| Assistance IA à l'écriture | Consentement (Art. 6(1)(a)) | Fonctionnalité optionnelle activée par choix de l'utilisateur |
| E-mails transactionnels | Contrat (Art. 6(1)(b)) | Notifications liées au service (sécurité, livraison, facturation) |
| Analytics (Google Analytics) | Consentement (Art. 6(1)(a)) | Comprendre les modèles d'utilisation anonymisés pour améliorer le service |
| Journalisation de sécurité et suivi d'erreurs | Intérêt légitime (Art. 6(1)(f)) | Détection et prévention de la fraude, maintien de l'intégrité du système |
Pour le contenu de coffre susceptible de contenir des données sensibles (Art. 9 RGPD), la base juridique complémentaire est votre consentement explicite (Art. 9(2)(a)). Vous pouvez retirer ce consentement à tout moment en supprimant le contenu concerné ou votre compte.
Nous traitons vos données personnelles exclusivement pour les finalités suivantes :
Nous ne ferons jamais :
Hailoom propose une assistance optionnelle à l'écriture par IA pour vous aider à rédiger vos souvenirs. Lorsque vous utilisez cette fonctionnalité :
L'assistance IA est entièrement optionnelle. Vous pouvez rédiger toutes vos entrées sans jamais utiliser cette fonctionnalité. La base juridique de ce traitement est votre consentement (Art. 6(1)(a) RGPD), que vous donnez en choisissant activement d'utiliser le coach IA.
Nous partageons des données personnelles avec les sous-traitants suivants, chacun lié par un accord de traitement des données (Art. 28 RGPD) :
| Fournisseur | Finalité | Données traitées | Localisation |
|---|---|---|---|
| Supabase (PostgreSQL) | Hébergement de base de données, authentification, stockage | Toutes les données utilisateur (chiffrées au repos) | UE (Francfort, Allemagne) |
| Stripe | Traitement des paiements, abonnements | Identifiant client, données d'abonnement, infos de facturation | USA (CCT UE en place) |
| Resend | Envoi d'e-mails transactionnels | E-mail du destinataire, nom, contenu de l'e-mail | USA (CCT UE en place) |
| Anthropic (Claude) | Assistance IA à l'écriture (utilisateurs premium) | Prompts textuels, type de souvenir, contexte du contenu | USA (CCT UE en place) |
| OpenAI | Assistance IA à l'écriture (utilisateurs gratuits) | Prompts textuels, type de souvenir, contexte du contenu | USA (CCT UE en place) |
| Google Analytics | Analytics d'utilisation anonymisées (basé sur consentement) | IP anonymisée, pages vues, type d'appareil | USA (CCT UE en place) |
| Sentry | Suivi d'erreurs et monitoring | Journaux d'erreurs, traces de pile (anonymisés dans la mesure du possible) | USA (CCT UE en place) |
Chaque sous-traitant est contractuellement tenu de traiter les données uniquement selon nos instructions, de maintenir des mesures de sécurité appropriées et de nous assister dans l'exercice de vos droits. Nous vérifions régulièrement leur conformité.
Certains de nos sous-traitants sont situés en dehors de l'Espace Économique Européen (EEE). Lorsque des données personnelles sont transférées hors de l'EEE, nous veillons à ce que des garanties appropriées soient en place :
Vous pouvez demander une copie des garanties de transfert applicables en contactant notre Délégué à la protection des données via le formulaire de contact sur notre page Support.
Tout le contenu des coffres est chiffré en AES-256 avec un sel de chiffrement unique par utilisateur généré à la création du compte. Vos clés de chiffrement sont dérivées de vos identifiants et ne sont jamais stockées en clair sur nos serveurs. Les données sont chiffrées en transit (TLS 1.3) et au repos.
Nous maintenons des contrôles d'accès internes stricts selon le principe du moindre privilège. L'accès administratif est limité au personnel autorisé, tous les accès sont journalisés, et nous utilisons des permissions basées sur les rôles (utilisateur/admin) appliquées au niveau de la base de données.
En cas de violation de données personnelles, nous notifierons l'autorité de contrôle compétente (CNPD) dans les 72 heures (Art. 33 RGPD). Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les 30 jours suivant la découverte de la violation (Art. 34 RGPD), avec les détails de la violation et les mesures de protection recommandées. Ce délai satisfait également les lois applicables de notification de violation de données des États américains.
Nous conservons les données personnelles uniquement aussi longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées (Art. 5(1)(e) RGPD). Le tableau suivant précise nos durées de conservation :
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte et de profil | Durée du compte + 30 jours après suppression | Nécessaire à la fourniture du service ; supprimé à la clôture du compte |
| Contenu des coffres (souvenirs) | Durée du compte + achèvement de la livraison post-mortem | Finalité principale : préservation de l'héritage et livraison aux bénéficiaires |
| Données des bénéficiaires | Tant que le compte de l'utilisateur désignant est actif + fenêtre de livraison | Nécessaire pour exécuter les instructions d'héritage |
| Données de paiement et factures | 5 ans après la dernière transaction | Obligation légale : droit fiscal et commercial luxembourgeois |
| Journaux d'authentification et sessions | 7 jours (jetons de session) | Sécurité : détecter les accès non autorisés |
| Rapports de sécurité et journaux d'erreurs | 12 mois | Intérêt légitime : surveillance de sécurité et réponse aux incidents |
| Files d'attente d'e-mails | 30 jours après livraison réussie | Opérationnel : résolution de problèmes de livraison |
| Préférences de consentement aux cookies | 13 mois (recommandation CNIL) | Conformité : preuve de consentement, cycle de re-consentement |
Lorsque vous supprimez votre compte, toutes les données personnelles et le contenu des coffres sont définitivement effacés dans les 30 jours via une suppression en cascade dans la base de données. Les sauvegardes contenant vos données sont purgées dans les 90 jours. Les données requises par la loi (ex. : factures) sont déplacées vers un stockage d'archivage à accès restreint.
Nous suivons le cycle de vie des données en trois phases recommandé par la CNIL : base de données active (usage opérationnel), archivage intermédiaire (accès restreint pour obligations légales), et suppression ou anonymisation finale.
La vocation première de Hailoom est la gestion de l'héritage numérique. Cela implique un traitement de données unique lorsqu'un utilisateur décède. Nous sommes transparents sur le cycle de vie complet des données.
Lors du processus de vérification, nous collectons le nom, l'email, le téléphone, le lieu de décès et l'adresse IP du déclarant (pour la prévention de la fraude). Les documents justificatifs sont analysés pour vérifier leur authenticité. Si des informations sur les pompes funèbres sont fournies, nous pouvons contacter les pompes funèbres pour vérifier indépendamment le décès. Ces données sont traitées sur la base juridique de l'intérêt légitime (Art. 6(1)(f) RGPD) — spécifiquement la prévention des réclamations frauduleuses de décès et la protection du patrimoine numérique de nos utilisateurs.
Les bénéficiaires désignés par les utilisateurs disposent de droits indépendants en vertu du RGPD. Ils peuvent nous contacter pour : accéder aux données que nous détenons à leur sujet, demander la rectification ou la suppression de leurs données personnelles (nom, e-mail, lien de parenté), ou s'opposer à leur désignation. Toutefois, le contenu des coffres appartient au créateur et est livré conformément aux instructions du créateur — les bénéficiaires ne peuvent pas modifier le contenu du créateur.
Lorsqu'un déclarant fournit des informations sur les pompes funèbres (nom, numéro de téléphone, adresse, personne de contact), nous traitons ces données en vertu de l'article 6(1)(f) du RGPD — intérêt légitime à vérifier les déclarations de décès et à prévenir la fraude. Ces données sont : utilisées uniquement à des fins de vérification, partagées uniquement avec le personnel de vérification autorisé, conservées pendant 7 ans pour la conformité légale et supprimées de manière sécurisée après la période de conservation. Les pompes funèbres contactées pour vérification sont informées de l'objectif et ne reçoivent aucune information sur le contenu des coffres-forts ou les bénéficiaires.
En vertu du RGPD et du droit luxembourgeois, vous disposez des droits suivants concernant vos données personnelles :
Pour exercer vos droits, utilisez les options en libre-service dans les paramètres de votre compte (export de données, modification du profil, suppression du compte) ou contactez-nous via le formulaire de contact sur notre page Support. Nous pourrons être amenés à vérifier votre identité avant de traiter votre demande.
Nous répondrons à votre demande dans un délai d'un mois (Art. 12(3) RGPD). Si votre demande est complexe, nous pourrons prolonger ce délai de deux mois supplémentaires, auquel cas nous vous en informerons dans le premier mois.
Droit d'introduire une réclamation
Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD), l'autorité de contrôle luxembourgeoise, ou auprès de l'autorité de contrôle de votre pays de résidence. CNPD : 15, Boulevard du Jazz, L-4370 Belvaux, Luxembourg — www.cnpd.lu
Nous utilisons des cookies et des technologies similaires sur notre plateforme. Conformément aux recommandations de la CNIL et à l'Art. 5(3) de la directive ePrivacy, nous obtenons votre consentement avant de déposer tout cookie non essentiel.
| Nom du cookie | Catégorie | Finalité | Durée |
|---|---|---|---|
| sb-*-auth-token | Essentiel | Session d'authentification Supabase | 7 jours |
| hailoom_theme | Fonctionnel (consentement requis) | Mémoriser votre préférence de thème | 1 an |
| hailoom_language | Fonctionnel (consentement requis) | Mémoriser votre préférence linguistique | 1 an |
| hailoom_timezone | Fonctionnel (consentement requis) | Mémoriser votre fuseau horaire | 1 an |
| hailoom_preferences | Fonctionnel (consentement requis) | Préférences générales de l'interface | 1 an |
| _ga, _gid | Analytique (consentement requis) | Google Analytics : distinguer les utilisateurs et sessions | _ga : 2 ans, _gid : 24h |
| _ga_* | Analytique (consentement requis) | Google Analytics : suivi spécifique à la propriété | 2 ans |
Lors de votre première visite sur Hailoom, un bandeau de consentement vous permet d'accepter tous les cookies, de refuser tous les cookies non essentiels, ou de personnaliser vos préférences par catégorie. Votre choix de consentement est stocké localement et vous pouvez le modifier à tout moment via le lien Paramètres des cookies en pied de page.
Les cookies essentiels ne peuvent pas être désactivés car ils sont strictement nécessaires au fonctionnement de la plateforme. Tous les autres cookies nécessitent votre consentement préalable. Vous pouvez également gérer les cookies via les paramètres de votre navigateur. Le site est entièrement fonctionnel avec uniquement les cookies essentiels — le refus des cookies optionnels ne limite pas votre accès aux fonctionnalités de Hailoom.
Hailoom ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 16 ans (Art. 8 RGPD). Si vous avez moins de 16 ans, vous ne pouvez pas créer de compte. Si nous découvrons que nous avons collecté par inadvertance des données d'un enfant de moins de 16 ans, nous supprimerons rapidement ces données et le compte associé. Si vous pensez qu'un enfant nous a fourni des données personnelles, veuillez nous contacter via le formulaire de contact sur notre page Support.
Si vous résidez dans certains États américains, vous pouvez disposer de droits supplémentaires en matière de confidentialité en vertu des lois de protection de la vie privée de votre État, notamment le California Consumer Privacy Act (CCPA/CPRA), le Virginia Consumer Data Protection Act (VCDPA), le Colorado Privacy Act (CPA) et le Connecticut Data Privacy Act (CTDPA).
Hailoom ne vend pas vos informations personnelles. Nous ne partageons pas vos informations personnelles à des fins de publicité comportementale inter-contextes. Nous n'utilisons ni ne divulguons d'informations personnelles sensibles à d'autres fins que la fourniture du Service.
Pour exercer vos droits, utilisez les options en libre-service dans les paramètres de votre compte ou contactez-nous à support@hailoom.com. Nous vérifierons votre identité avant de traiter votre demande et répondrons dans les 45 jours (extensible de 45 jours supplémentaires pour les demandes complexes).
Les résidents californiens peuvent désigner un agent autorisé pour soumettre des demandes en leur nom. L'agent doit fournir une preuve d'autorisation.
Nous pouvons mettre à jour cette Politique de confidentialité pour refléter des changements dans nos pratiques, notre technologie, les exigences légales ou pour d'autres raisons opérationnelles. La date de « Dernière mise à jour » en haut de cette page indique la date de la dernière révision.
Pour les modifications substantielles affectant le traitement de vos données personnelles, nous vous informerons par e-mail et/ou par un avis visible sur la plateforme au moins 30 jours avant l'entrée en vigueur des modifications. Lorsque la loi l'exige, nous obtiendrons votre consentement pour les changements importants. Si la version de notre politique de cookies change, il vous sera demandé de re-consentir.
Si vous avez des questions sur cette Politique de confidentialité, souhaitez exercer vos droits ou avez des préoccupations concernant nos pratiques de confidentialité, contactez-nous à support@hailoom.com ou utilisez notre formulaire de contact :
Pour toute question relative à la confidentialité, demande d'exercice de droits ou question générale, envoyez un e-mail à support@hailoom.com ou utilisez notre formulaire de contact.
Accéder au formulaire de contactNotre Délégué à la protection des données est joignable via le formulaire de contact. Veuillez sélectionner « Confidentialité / RGPD » comme catégorie de sujet pour que votre demande soit transmise au DPO.
Commission Nationale pour la Protection des Données (CNPD) — 15, Boulevard du Jazz, L-4370 Belvaux, Luxembourg — www.cnpd.lu. Vous pouvez également contacter l'autorité de contrôle de votre pays de résidence.
