Politique de Confidentialité
Application : Cocottes Rooms
Dernière mise à jour : 14 janvier 2025
Version : 1.0
Résumé (TL;DR)
Cocottes Rooms collecte uniquement les données nécessaires à son fonctionnement (compte, recettes, salons collaboratifs).
Vos données sont utilisées pour fournir le service, améliorer l’application et garantir sa sécurité.
Certaines données sont traitées par des sous-traitants situés hors de l’Union européenne, avec des garanties appropriées.
Vous disposez de droits complets sur vos données (accès, suppression, portabilité, opposition).
Contact : marvin.frachet@gmail.com
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via l’application Cocottes Rooms est :
Marvin Frachet – Auto-entrepreneur
France
Email : marvin.frachet@gmail.com
2. Données personnelles collectées
Dans le cadre de l’utilisation de l’application Cocottes Rooms, nous collectons les catégories de données suivantes :
2.1 Données d’identification et de compte
- Nom complet
- Adresse email
- Photo de profil (optionnelle)
- Identifiant utilisateur unique
- Dates de création et de mise à jour du compte
- Statut de vérification de l’email
2.2 Données d’authentification
- Mot de passe (haché de manière irréversible, jamais stocké en clair)
- Jetons d’authentification OAuth (Google)
- Jetons de session
2.3 Données de contenu
- Recettes créées (nom, description, ingrédients, ustensiles, étapes, difficulté, durée, portions)
- Images des recettes et images de couverture
- Salons (rooms) créés et adhésions
- Rôles dans les salons (propriétaire, administrateur, membre)
- Invitations envoyées et reçues
2.4 Données techniques
- Adresse IP (utilisée à des fins de sécurité et de journalisation)
- Agent utilisateur (navigateur, appareil)
- Informations sur l’appareil et le système d’exploitation
- Jetons de notification push (Expo)
- Date de dernière connexion
2.5 Données d’utilisation et analytiques
- Événements d’utilisation de l’application
- Interactions avec les fonctionnalités
- Statistiques d’utilisation
Les identifiants utilisés à des fins analytiques sont pseudonymisés et ne permettent pas une identification directe.
2.6 Données issues des permissions
- Photos prises avec l’appareil photo
- Images sélectionnées depuis la galerie photo
3. Finalités et bases légales du traitement
| Finalité | Base légale (Article 6 RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (Art. 6.1.b) |
| Authentification et sécurité des sessions | Exécution du contrat (Art. 6.1.b) |
| Stockage et synchronisation des recettes | Exécution du contrat (Art. 6.1.b) |
| Gestion des salons collaboratifs | Exécution du contrat (Art. 6.1.b) |
| Partage de recettes | Exécution du contrat (Art. 6.1.b) |
| Emails transactionnels | Exécution du contrat (Art. 6.1.b) |
| Stockage et affichage des images | Exécution du contrat (Art. 6.1.b) |
| Notifications push | Consentement (Art. 6.1.a) |
| Extraction de texte depuis les images (IA) | Consentement (Art. 6.1.a) |
| Analyse et amélioration du service | Intérêt légitime (Art. 6.1.f) |
| Feature flags et déploiements progressifs | Intérêt légitime (Art. 6.1.f) |
| Sécurité et prévention de la fraude | Intérêt légitime (Art. 6.1.f) |
Les traitements fondés sur l’intérêt légitime ont un impact limité sur la vie privée et sont strictement nécessaires au bon fonctionnement et à l’évolution du service.
4. Destinataires des données
4.1 Hébergement et infrastructure
| Sous-traitant | Rôle | Données concernées |
|---|---|---|
| Cloudflare (États-Unis) | Hébergement, cache, stockage d’images | Images, données techniques |
| Neon (États-Unis) | Base de données PostgreSQL | Données utilisateur |
4.2 Authentification
| Sous-traitant | Rôle | Données concernées |
|---|---|---|
| Authentification OAuth | Nom, email, photo de profil |
4.3 Communications
| Sous-traitant | Rôle | Données concernées |
|---|---|---|
| Resend | Emails transactionnels | Adresse email |
| Expo | Notifications push | Jetons de notification |
4.4 Intelligence artificielle
| Sous-traitant | Rôle | Données concernées |
|---|---|---|
| Google Gemini | Extraction de texte depuis images | Images |
4.5 Analyse et mesure d’audience
| Sous-traitant | Rôle | Données concernées |
|---|---|---|
| PostHog | Analytics et feature flags | Identifiant pseudonymisé, événements |
4.6 Autres destinataires
- Autorités administratives ou judiciaires si requis par la loi
- Autres utilisateurs (uniquement les données partagées volontairement dans les salons)
5. Transferts de données hors Union Européenne
Certains sous-traitants sont situés hors de l’Union européenne.
Ces transferts reposent sur :
- Le Data Privacy Framework (DPF) lorsque le sous-traitant est certifié
- Les Clauses Contractuelles Types (CCT) accompagnées de mesures techniques et organisationnelles supplémentaires dans les autres cas
Vous pouvez obtenir une copie des garanties mises en place en nous contactant.
6. Durée de conservation des données
| Type de données | Durée |
|---|---|
| Données de compte actives | Jusqu’à suppression du compte |
| Données archivées (obligations légales) | 3 ans maximum |
| Données de session | Jusqu’à expiration ou déconnexion |
| Jetons de vérification | 24 heures |
| Invitations | 7 jours |
| Recettes et images | Jusqu’à suppression par l’utilisateur |
| Jetons push | Jusqu’à suppression ou révocation |
| Données analytiques | 26 mois (pseudonymisées) |
| Logs techniques | 12 mois |
| Images supprimées | 30 jours (suppression différée) |
Après suppression du compte, les données actives sont supprimées sous 30 jours, hors archivage légal.
7. Vos droits
Vous disposez des droits suivants :
- Accès (Art. 15)
- Rectification (Art. 16)
- Effacement (Art. 17)
- Limitation (Art. 18)
- Portabilité (Art. 20)
- Opposition (Art. 21)
- Retrait du consentement à tout moment
Vous pouvez également définir des directives relatives au sort de vos données après votre décès.
Exercice des droits
- Via les paramètres de l’application
- Par email : marvin.frachet@gmail.com
8. Sécurité des données
Mesures techniques
- Hachage irréversible des mots de passe
- Chiffrement des communications (HTTPS/TLS)
- Signatures cryptographiques sécurisées pour l’accès aux images
- Jetons générés de manière cryptographiquement sécurisée
- Stockage chiffré des données sensibles
Mesures organisationnelles
- Isolation stricte des données entre utilisateurs
- Accès limité selon le principe du besoin d’en connaître
- Procédures de gestion des incidents
- Suppression sécurisée et différée
9. Cookies et technologies similaires
Cookies de session
Cookies strictement nécessaires au fonctionnement du service.
Analytics (PostHog)
Les données analytiques sont pseudonymisées.
Vous pouvez vous opposer à la collecte analytique à tout moment depuis les paramètres de l’application.
10. Protection des mineurs
L’application n’est pas destinée aux personnes de moins de 16 ans.
Nous ne procédons pas à une vérification systématique de l’âge, mais supprimons tout compte concerné dès que nous en avons connaissance.
11. Permissions de l’application
| Permission | Utilisation |
|---|---|
| Appareil photo | Création de recettes |
| Galerie photos | Import d’images |
| Notifications | Invitations et mises à jour |
12. Modifications
Toute modification substantielle fera l’objet d’une notification in-app ou par email.
Un nouveau consentement sera sollicité si nécessaire.
13. Contact
Email : marvin.frachet@gmail.com
14. Réclamation CNIL
CNIL
3 Place de Fontenoy
75334 Paris Cedex 07
https://www.cnil.fr
15. Services tiers
- Google : https://policies.google.com/privacy
- PostHog : https://posthog.com/privacy
- Expo : https://expo.dev/privacy
- Cloudflare : https://www.cloudflare.com/privacypolicy/
- Neon : https://neon.tech/privacy
- Resend : https://resend.com/legal/privacy-policy
Document conforme au RGPD (UE 2016/679) et à la loi Informatique et Libertés.