1. Responsable du traitement
Le responsable du traitement des données personnelles est l'éditeur de Spuma, joignable à [email protected].
2. Données collectées
2.1 Données de compte (utilisateurs inscrits)
| Donnée | Source | Finalité |
|---|---|---|
| Inscription / OAuth Google | Authentification, communication transactionnelle | |
| Mot de passe (hashé) | Inscription email/password | Authentification |
| Nom Google / Prénom-Nom modifiable | OAuth Google / Onboarding | Personnalisation de l'interface |
| Date de naissance (optionnel) | Onboarding | Promo anniversaire (à venir Phase 3) |
| Pays (optionnel) | Onboarding | Statistiques de marché, défaut d'unités (g/oz) |
| Niveau de pratique (optionnel) | Onboarding | Adaptation pédagogique de l'app |
| Source d'acquisition (optionnel) | Onboarding | Analytics marketing |
| Langue + unité préférée | Réglages Mon Compte | Personnalisation UX |
| Recettes sauvegardées | Création utilisateur | Synchronisation multi-device |
2.2 Données techniques (tous visiteurs)
- Adresse IP (anonymisée par Cloudflare) : protection anti-abus, statistiques de trafic.
- Type de navigateur, OS, langue : adaptation de l'affichage.
- Données de connexion Supabase : timestamps, ID de session (sécurité).
2.3 Données stockées en local (localStorage)
- Langue choisie : pour conserver votre choix entre visites.
- Recette en cours : pour ne pas perdre votre travail si vous fermez l'onglet.
- Recettes sauvegardées (Utilisateur anonyme) : stockage 100% local dans votre navigateur.
3. Bases légales du traitement (RGPD Art. 6)
- Consentement (art. 6.1.a) : inscription au Service, abonnement à la waitlist Pro/Premium.
- Exécution du contrat (art. 6.1.b) : authentification, fourniture du Service.
- Intérêt légitime (art. 6.1.f) : amélioration du Service, sécurité, statistiques agrégées et anonymisées.
4. Durée de conservation
| Donnée | Durée |
|---|---|
| Données de compte actif | Tant que le compte existe |
| Données après suppression de compte | Effacement immédiat (cascade DB) |
| Logs de connexion (Supabase) | 90 jours maximum |
| Données techniques (IP anonymisée Cloudflare) | 30 jours |
| Données en localStorage | Jusqu'à effacement manuel par l'utilisateur |
5. Sous-traitants et destinataires
Spuma utilise les sous-traitants suivants, tous conformes RGPD :
- Supabase (Singapore Pte. Ltd. / hébergement EU Ireland) — base de données, authentification.
- Cloudflare Inc. (USA, accord transfert SCC) — hébergement front, CDN, DNS, protection anti-abus.
- Resend (USA, accord transfert SCC) — service d'envoi d'emails transactionnels (confirmation, magic link, reset password).
- Google Cloud (USA, accord transfert SCC) — fournisseur OAuth pour la connexion Google (si choisie par l'utilisateur).
Aucune donnée n'est vendue à des tiers commerciaux. Aucune donnée n'est utilisée à des fins publicitaires.
6. Tes droits (RGPD UE, CCPA US, UK GDPR, LGPD Brésil)
Vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès : obtenir une copie de toutes vos données.
- Droit de rectification : corriger des données inexactes (modifiable directement dans Mon Compte).
- Droit à l'effacement (« droit à l'oubli ») : suppression complète de votre compte et de ses données.
- Droit à la portabilité : export de vos recettes au format standard (CSV/JSON).
- Droit d'opposition : refuser le traitement à des fins d'analytics ou de communication.
- Droit de limitation : restreindre temporairement l'usage de certaines données.
- Pour les Californiens (CCPA) : droit de savoir, droit à la suppression, droit de ne pas être discriminé.
- Pour les Brésiliens (LGPD) : droits équivalents au RGPD, contact via le même email.
Pour exercer vos droits : envoyez un email à [email protected] en précisant l'objet de votre demande. Une réponse vous sera apportée sous 30 jours maximum.
En cas de litige ou de réponse insatisfaisante, vous pouvez saisir l'autorité de contrôle compétente :
- France : CNIL
- UE : autorité nationale de protection des données de ton pays
- UK : ICO
- USA / Californie : California Attorney General
- Brésil : ANPD
7. Sécurité
Spuma met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Connexion chiffrée HTTPS (TLS 1.3) sur l'ensemble du Service.
- Hashing des mots de passe (bcrypt via Supabase Auth).
- Row-Level Security (RLS) Postgres : chaque utilisateur ne peut accéder qu'à ses propres données.
- Authentification OAuth 2.0 standard pour Google (pas de stockage du mot de passe Google).
- Sauvegardes automatiques quotidiennes Supabase (récupération possible en cas d'incident).
8. Données des mineurs
Spuma est destiné à un public adulte (16+ en UE, 13+ aux USA). Aucune collecte intentionnelle de données de mineurs en dessous de ces seuils. Si vous pensez qu'un mineur a créé un compte sans autorisation parentale, contactez-nous pour suppression immédiate.
9. Modifications de cette politique
Spuma se réserve le droit de modifier la présente politique. Les modifications substantielles seront notifiées par email aux Utilisateurs inscrits. La date de mise à jour figure en en-tête.
10. Contact
Pour toute question : [email protected]