Politique de confidentialité.
Dernière mise à jour : 12 juin 2026
01Responsable du traitement
Le responsable du traitement est Groupe Kapsule (la « Société »). Pour toute question relative au traitement de tes données, contacte privacy@kapsule.io.
02Données collectées
- →Compte — pseudo, email (optionnel), mot de passe haché (bcrypt cost 12).
- →OAuth— si tu te connectes avec Google / Discord, on récupère ton id, email, nom d'affichage et avatar.
- →Produit— tes setups, bikes, sessions de roulage, notes — créés par toi dans l'app.
- →Paiement— géré par Stripe. On stocke seulement un identifiant client Stripe et l'état de l'abonnement — jamais ton numéro de carte.
- →Logs techniques — adresse IP, user-agent, actions sensibles (auth, billing, suppressions) à des fins de sécurité et de débogage. Conservés 90 jours.
- →Cookies— strictement fonctionnels (session d'authentification, choix d'org actif). Pas de tracking marketing.
03Finalités
- →Te fournir le service (édition setups, export, synchronisation).
- →Gérer ton abonnement et ta facturation via Stripe.
- →Te contacter (transactionnel : vérification d'email, réinitialisation de mot de passe, invitations d'équipe).
- →Détecter et prévenir la fraude / les abus.
- →Respecter nos obligations légales (factures, fiscalité).
04Sous-traitants
Pour faire fonctionner Kapsule MX, on utilise les services suivants :
- →Vercel (USA, hébergement et CDN) — DPA signé, conforme RGPD via SCCs.
- →Neon (USA / UE, base de données Postgres) — DPA signé, données stockées dans la région UE quand possible.
- →Stripe (USA / UE, paiement) — DPA signé, certifié PCI DSS.
- →Resend (USA, emails transactionnels) — DPA signé.
- →Sentry(UE, suivi des erreurs applicatives) — DPA signé ; peut traiter ton adresse IP et des métadonnées techniques lors d'une erreur.
- →Google / Discord (USA, OAuth — facultatif).
05Durées de conservation
- →Données de compte — tant que ton compte est actif.
- →Données produit — tant que ton compte est actif.
- →Logs d'audit — 180 jours.
- →Facturation — conservée 10 ans (obligation comptable française), même après suppression du compte.
- →Backups DB — 30 jours après suppression du compte, puis effacés.
06Tes droits (RGPD)
- →Accès— tu peux voir l'essentiel de tes données dans l'app (Profil, Setups, Bikes, Sessions).
- →Rectification — modifie ton pseudo, email, etc. dans Profil.
- →Effacement — Settings → Mon compte → « Supprimer mon compte définitivement ». Effacement immédiat sauf obligations légales (factures).
- →Portabilité — sur demande à privacy@kapsule.io, on te fournit un export JSON de tes données dans les 30 jours.
- →Opposition— on n'utilise pas tes données pour du marketing direct ni du profilage.
- →Réclamation — auprès de la CNIL.
07Sécurité
Chiffrement TLS partout, mots de passe hachés (bcrypt 12), tokens device hachés en SHA-256, headers de sécurité stricts (HSTS, CSP, X-Frame-Options), rate-limit sur les endpoints sensibles, audit log des actions critiques. Voir SECURITY.md pour le détail.
08Mineurs
Kapsule MX n'est pas destiné aux moins de 15 ans. Si tu es mineur, demande à tes parents avant de créer un compte.
09Modifications
On peut mettre à jour cette politique. Les changements majeurs te seront notifiés par email si tu as fourni une adresse.