Politique de Conformité RGPD

Dernière mise à jour : 11 mars 2026

Cette politique détaille le traitement des données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) pour les utilisateurs de l'Union européenne. Pour une vue d'ensemble, consultez notre Politique de Confidentialité.

1. Responsable du traitement

Responsable : Ronan BARÉ
Contact : admin@pallyplan.com
Application : Pally Plan — www.pallyplan.com

2. Bases légales du traitement

Consentement (Art. 6(1)(a)) : création de compte, géolocalisation (Signal de Connexion) et notifications push — trois consentements indépendants, révocables à tout moment.
Exécution du contrat (Art. 6(1)(b)) : fourniture des services de partage de calendrier, coordination sociale et gestion d'événements.
Intérêts légitimes (Art. 6(1)(f)) : amélioration de la sécurité, détection des fraudes et amélioration des fonctionnalités.

3. Catégories de données et finalités

Catégorie	Données	Base légale	Finalité
Identité	Nom, prénom, e-mail, pseudo	Contrat	Gestion du compte
Authentification	Hash Argon2, cookies de session	Contrat	Sécurité de la connexion
Âge (vérification)	Date de naissance — collectée lors de l'inscription afin de vérifier le respect de l'âge minimum légal de 16 ans (RGPD Art. 8). Non partagée avec des tiers.	Obligation légale	Vérification de l'âge minimum légal (16 ans, RGPD Art. 8)
Téléphone (opt.)	Numéro E.164	Consentement	Recherche d'amis
Contact matching (opt.)	Hash SHA-256 des contacts, comparé en mémoire uniquement	Consentement	Trouver des amis sur Pally Plan
Localisation (opt.)	GPS temporaire, 24h max, non stocké à long terme	Consentement	Signal de Connexion, suggestions de lieux
Notifications push	Token VAPID	Consentement	Alertes messages, invitations, bon timing
Photos et médias	Photos de profil et albums d'événements (GCS, france)	Contrat	Affichage aux participants autorisés
Coordination sociale	Votes Le Bon Timing, cercles, participations	Contrat	Détection des disponibilités communes
Données techniques	IP, navigateur, journaux anonymes	Intérêts légitimes	Sécurité, performance

4. Sous-traitants et transferts hors UE

Sous-traitant	Finalité	Localisation	Garanties
Brevo (Sendinblue SAS)	E-mails transactionnels	France (UE)	RGPD natif
Stripe, Inc.	Paiements	États-Unis	PCI-DSS + CCT
Google Cloud Platform	BDD + stockage photos (prod.)	France (europe-west9)	RGPD, hébergement UE, CCT

Pour les transferts hors EEE (Stripe), nous assurons une protection via les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

5. Durées de conservation

Données de compte : conservées jusqu'à la suppression du compte.
Hash du mot de passe : conservé jusqu'à la suppression ou réinitialisation.
Tokens de réinitialisation de mot de passe : supprimés automatiquement à expiration (1 heure). Un cron quotidien purge également les tokens expirés non utilisés.
Notifications in-app lues : supprimées automatiquement après 30 jours.
Notifications in-app non lues : supprimées automatiquement après 90 jours (principe de minimisation RGPD — délai suffisant pour les utilisateurs inactifs).
Messages et disponibilités : 2 ans après la dernière activité ou jusqu'à la suppression du compte.
Journaux techniques : 90 jours.
Données de sauvegarde : supprimées dans les 30 jours suivant la suppression du compte.

6. Vos droits RGPD

Art. 15

Droit d'accès

Demander une copie de toutes vos données personnelles.

Art. 16

Droit de rectification

Mettre à jour vos informations depuis les paramètres du profil.

Art. 17

Droit à l'effacement

Supprimer votre compte et toutes les données associées.

Art. 18

Droit à la limitation

Demander la limitation du traitement dans certaines circonstances.

Art. 20

Droit à la portabilité

Exporter vos données dans un format structuré.

Art. 21

Droit d'opposition

Vous opposer aux traitements fondés sur intérêts légitimes.

Art. 7(3)

Retrait du consentement

Retirer votre consentement à tout moment depuis les paramètres.

Pour exercer vos droits, écrivez à admin@pallyplan.com (objet : Demande RGPD – [type de demande]). Réponse sous 30 jours (3 mois pour les demandes complexes).

7. Notification de violation de données

En cas de violation présentant un risque élevé pour vos droits et libertés :

Notification à la CNIL dans les 72 heures.
Information des utilisateurs concernés dans les meilleurs délais.
Communication claire sur la nature de la violation et les mesures correctives prises.

8. Protection des mineurs

Pally Plan n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données auprès de mineurs de moins de 16 ans. Si nous en apprenons l'existence, ces données seront supprimées immédiatement.

9. Autorité de contrôle

Vous avez le droit de déposer une réclamation auprès de l'autorité de protection des données de votre pays. Pour les utilisateurs en France :

CNIL (Commission Nationale de l'Informatique et des Libertés)
Site web : www.cnil.fr

10. Mises à jour

Cette politique peut être mise à jour pour refléter les changements dans nos pratiques ou les exigences légales. Les utilisateurs seront informés des changements significatifs par e-mail ou notification dans l'application.

11. Contact

Ronan BARÉ – admin@pallyplan.com
Site web : https://www.pallyplan.com

← Retour à la Politique de Confidentialité