Politique de confidentialité

👤1. Responsable du traitement

Le responsable du traitement (« data controller » au sens du RGPD) est Amina Ba, particulière établie en Irlande.

📋2. Données collectées

• Compte (obligatoire pour utiliser le Service) : adresse email, pseudo (@username choisi une seule fois après confirmation de l'email), mot de passe haché (Argon2id, géré par Supabase Auth), date d'inscription, date de naissance (vérification que l'utilisateur a au moins 15 ans, majorité numérique française).
• Compte (optionnel) : photo de profil, biographie, paramètre de confidentialité du profil.
• Paniers et produits : URL des produits sauvegardés, titres, prix scrapés, dates de mise à jour, catégorie, niveau de visibilité (privé, amis, public).
• Interactions sociales : likes, abonnements, commentaires, opinions de débat éphémère (48 heures).
• Signalements et modération : contenu signalé, motif, identifiant du signalant, décisions de modération automatique ou humaine, recours formés.
• Données techniques : adresse IP (utilisée brute uniquement pour la protection anti-abus pendant 30 jours puis purgée, anonymisée chez Umami), logs serveur Supabase (conservés 30 jours), identifiant de session.
• Notifications push : token APNs (Apple Push Notification service) uniquement si tu actives explicitement les notifications dans Réglages. Le token est supprimé lorsque tu désactives les notifications.

Si tu refuses de fournir les données obligatoires (email + date de naissance), l'inscription est impossible. Tu peux utiliser le site web en visiteur (lecture des paniers publics) sans créer de compte.

⚖️3. Finalités et bases légales

• Création et fonctionnement du compte, mise à disposition du Service → exécution du contrat (article 6.1.b RGPD).
• Vérification de l'âge minimum (15 ans) → obligation légale (article 6.1.c RGPD, loi Informatique et Libertés article 7-1).
• Notifications de baisse de prix et alertes liées aux paniers → consentement explicite (article 6.1.a RGPD), retirable à tout moment dans Réglages.
• Mesure d'audience anonymisée (Umami sans cookie, sans identifiant persistant) → intérêt légitime (article 6.1.f RGPD).
• Modération des contenus et protection contre les abus → obligation légale au titre du Digital Services Act (article 6.1.c RGPD).
• Sécurité technique, prévention de la fraude, des intrusions et des comportements abusifs → intérêt légitime (article 6.1.f RGPD).
• Réponse aux demandes des autorités compétentes → obligation légale (article 6.1.c RGPD).

Les opinions de débat peuvent occasionnellement révéler des préférences personnelles. En les publiant, tu donnes ton consentement explicite à leur traitement (article 9.2.a RGPD si elles entrent dans les catégories particulières). Tu peux les supprimer à tout moment.

⏳4. Durées de conservation

• Compte : conservé tant que tu utilises le Service. La suppression de ton compte (Réglages → Supprimer mon compte) déclenche une période de grâce de 30 jours, puis l'effacement définitif.
• Logs serveur : 30 jours.
• Logs de sécurité et audit administrateur : 12 mois.
• Signalements, décisions de modération et recours : 5 ans après la décision, durée minimale exigée par le DSA pour permettre les recours et les audits réglementaires.
• Données fiscales et comptables liées aux affiliations (si applicable) : 10 ans, obligation comptable irlandaise.
• Token APNs : supprimé immédiatement à la désactivation des notifications ou à la suppression de compte.

Lorsque ton compte est supprimé, ton contenu public (paniers publics, commentaires, opinions de débat) est soit anonymisé (l'auteur devient « Utilisateur supprimé »), soit définitivement supprimé selon le contexte de modération. Les agrégats statistiques anonymisés (compteurs de likes, vues) peuvent être conservés.

🔗5. Destinataires et sous-traitants

Tes données peuvent être transmises aux sous-traitants suivants, strictement pour l'exécution du Service :

• Supabase (entité Supabase Inc., USA ; instance d'hébergement à Francfort, Allemagne) : base de données, authentification, stockage des photos de profil, fonctions serveur.
• Vercel (USA, edge en Europe) : hébergement et exécution de l'application web app.monpanierapp.com.
• Netlify (USA, edge en Europe) : hébergement du site vitrine monpanierapp.com.
• Brevo (France) : emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications par email).
• Firecrawl (USA) : service tiers d'extraction des informations produits à partir des URL que tu colles dans MonPanier.
• OpenAI (USA) : modération automatisée des textes (titres, commentaires, opinions de débat) via l'API « Moderation ».
• Google Safe Browsing (USA) : vérification que les URL produits que tu sauvegardes ne pointent pas vers des sites malveillants.
• Apple (USA) : Sign in with Apple (si tu choisis cette méthode de connexion) et acheminement des notifications push via APNs.
• Cookiebot (Danemark, UE) : recueil et journalisation de ton consentement aux cookies sur le site web.
• Umami Cloud (entité Umami Software Inc., USA) : statistiques d'audience anonymisées, sans cookie ni identifiant persistant.

Tous ces sous-traitants sont liés par un accord de traitement (Data Processing Agreement) conforme à l'article 28 du RGPD.

🌍6. Transferts hors UE

Certains sous-traitants opèrent depuis les États-Unis (Supabase, Vercel, Netlify, Firecrawl, OpenAI, Google Safe Browsing, Apple, Umami Cloud). Ces transferts sont encadrés par :

• les Clauses Contractuelles Types de la Commission européenne, décision (UE) 2021/914 du 4 juin 2021 ;
• le Data Privacy Framework UE-USA lorsque le prestataire y est certifié (notamment Google et Apple) ;
• des mesures techniques supplémentaires conformes à l'arrêt Schrems II : chiffrement TLS de bout en bout pour tous les flux, pseudonymisation lorsque techniquement possible, journalisation des accès administrateurs.

Aucun transfert n'est effectué vers un pays dont la Commission européenne n'a pas reconnu un niveau de protection adéquat ou pour lequel aucune garantie appropriée n'est en place.

🍪7. Cookies et traceurs

MonPanier utilise deux catégories de cookies et traceurs strictement limitées :

• Cookies strictement nécessaires (exemptés de consentement, directive ePrivacy article 5.3) :
  • Cookies de session Supabase Auth : authentification et maintien de la session, expiration une heure renouvelable, supprimés à la déconnexion ;
  • Cookie Cookiebot : mémorisation de ton choix de consentement, expiration un an.
• Mesure d'audience anonymisée :
  • Umami Cloud n'utilise aucun cookie ni identifiant persistant. Les visites sont comptées par hash quotidien anonyme. Cette mesure relève de l'intérêt légitime (article 6.1.f RGPD) et est documentée comme exemptée par la CNIL.

MonPanier n'utilise aucun cookie publicitaire, aucun pixel de tracking tiers, aucun outil de retargeting. Tu peux à tout moment revoir ton choix de consentement en cliquant sur l'icône Cookiebot en bas à gauche de chaque page.

🤖8. Modération automatisée et droit au recours

Pour respecter ses obligations au titre du Digital Services Act et protéger sa communauté, MonPanier soumet certains contenus à une modération automatisée avant publication :

• Quels contenus ? Titres et descriptions de paniers, commentaires sur les paniers, opinions de débat, biographies de profil.
• Comment ? Une liste de motifs locaux (insultes, menaces, incitation au suicide) filtre rapidement les cas évidents. Les autres textes sont analysés par l'API OpenAI Moderation, qui catégorise sur 11 axes (haine, harcèlement, menaces, contenu sexuel mineur, automutilation, etc.).
• Conséquences automatiques : un contenu jugé non conforme est refusé à la publication avec un message explicatif. Aucun bannissement ou suspension n'est prononcé automatiquement.
• Décisions humaines de modération (suspension de compte, retrait de panier) ne sont prises qu'après examen par un membre de l'équipe MonPanier.

Droit au recours (DSA article 17 + RGPD article 22) : pour chaque décision de modération qui te concerne, tu peux :

• consulter la décision et son motif dans Réglages → Décisions de modération ;
• former un recours écrit pendant six mois à compter de la décision, depuis la même section ;
• demander à tout moment l'examen par une personne physique en écrivant à contact@monpanierapp.com.

Si tu estimes qu'une plateforme externe de règlement extrajudiciaire des litiges devrait être saisie, tu peux contacter un organisme certifié au titre de l'article 21 du DSA.

🧒9. Protection des mineurs

MonPanier est strictement réservé aux personnes âgées de 15 ans ou plus, conformément à l'article 7-1 de la loi française Informatique et Libertés qui fixe l'âge du consentement numérique en France. La date de naissance est demandée à l'inscription et un contrôle serveur empêche la création de comptes pour les utilisateurs n'ayant pas atteint cet âge.

Si tu es l'un des parents ou tuteur légal d'un mineur de moins de 15 ans et que tu constates qu'un compte a été ouvert sans ton autorisation, écris à contact@monpanierapp.com : le compte sera supprimé sans délai et les données associées effacées.

Pour les utilisateurs résidant hors de France, l'âge minimum applicable est celui prévu par leur droit national (16 ans par défaut au titre de l'article 8 du RGPD, sauf abaissement national).

🛡️10. Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

• Accès à tes données : export structuré au format JSON disponible dans Réglages → Confidentialité → Exporter mes données. L'export contient ton profil, tes paniers, tes produits, tes commentaires et opinions, l'historique de tes interactions sociales.
• Rectification : la plupart de tes données (photo, biographie, bio, paramètres) sont modifiables directement dans Réglages. Pour le reste, écris à contact@monpanierapp.com.
• Effacement (« droit à l'oubli ») : Réglages → Supprimer mon compte. Effet immédiat puis effacement définitif après 30 jours de grâce.
• Portabilité : le format JSON fourni en accès est lisible par machine et transférable à un autre service.
• Opposition au profilage et aux recommandations algorithmiques : écris à contact@monpanierapp.com en précisant ta demande. Note que sans recommandations, ton feed sera limité aux paniers des comptes que tu suis explicitement.
• Limitation du traitement : sur demande motivée, ton compte est mis en mode « lecture seule » le temps de l'examen.
• Retrait du consentement : à tout moment et sans justification, depuis Réglages (notifications push, alertes prix) ou par email pour les autres consentements.

Pour exercer ces droits : contact@monpanierapp.com. Une réponse te sera apportée dans un délai maximum d'un mois, prolongeable de deux mois en cas de demande complexe (article 12.3 RGPD).

⚖️11. Droit de plainte

Le responsable du traitement étant établi en Irlande, l'autorité de contrôle principale (« lead supervisory authority » au sens du guichet unique RGPD) est la Data Protection Commission (DPC) : 6 Pembroke Row, Dublin 2, D02 X963, Irlande, www.dataprotection.ie.

Conformément à l'article 77 du RGPD, tu peux également introduire une réclamation auprès de l'autorité de contrôle de ton pays de résidence habituelle. Pour les utilisateurs résidant en France : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, 75007 Paris, www.cnil.fr.

🔒12. Sécurité

MonPanier met en œuvre des mesures techniques et organisationnelles appropriées :

• Chiffrement TLS 1.3 pour tous les flux client-serveur ;
• Mots de passe hachés avec Argon2id (Supabase Auth) ;
• Sign in with Apple disponible comme alternative au mot de passe ;
• Row Level Security PostgreSQL : isolation stricte des données par utilisateur ;
• Journalisation des accès aux opérations administratives ;
• Sauvegardes chiffrées quotidiennes de la base de données (Supabase) ;
• Audit de sécurité du code avant chaque mise en production des composants critiques.

Notification en cas de violation de données (articles 33 et 34 RGPD) : si une violation est susceptible d'engendrer un risque pour tes droits et libertés, l'autorité de contrôle compétente (DPC ou CNIL) est notifiée dans les 72 heures. Si le risque est élevé, tu seras également notifié individuellement par email dans les meilleurs délais, avec la description de la nature de la violation, les conséquences probables et les mesures prises ou recommandées.

🔄13. Droit applicable et modifications

La présente politique est régie par le droit irlandais et par le Règlement Général sur la Protection des Données (UE 2016/679), directement applicable dans l'ensemble de l'Union européenne. Pour les utilisateurs résidant en France, les dispositions impératives du droit français en matière de protection des données restent applicables (notamment l'âge de consentement à 15 ans, article 7-1 de la loi Informatique et Libertés, et la clause Rome I article 6 préservant les droits impératifs des consommateurs).

Toute modification substantielle de la présente politique sera notifiée par email aux utilisateurs et un nouveau consentement leur sera demandé si nécessaire. La version actuelle est datée du 25 mai 2026.

✉️Contact RGPD

Pour toute question relative à la présente politique de confidentialité ou à l'exercice de tes droits :