Politique de Confidentialité

Dernière mise à jour : 11 mars 2026

L'application Pally Plan respecte la vie privée de ses utilisateurs. Cette politique explique comment nous collectons, utilisons et protégeons vos informations.

1. Informations que nous collectons

Informations de compte : nom, prénom, adresse e-mail et mot de passe. Votre mot de passe est stocké sous forme de hachage sécurisé via l'algorithme Argon2 — nous ne conservons jamais votre mot de passe en clair.
Date de naissance : collectée lors de l'inscription afin de vérifier le respect de l'âge minimum légal de 16 ans (RGPD Art. 8). Non partagée avec des tiers.
Données de calendrier : si vous connectez un calendrier externe (Google, Outlook ou iCloud), nous accédons à vos événements uniquement pour afficher vos créneaux de disponibilité.
Numéro de téléphone (optionnel) : stocké au format E.164, jamais partagé avec des tiers, supprimable à tout moment depuis les paramètres.
Matching de contacts (optionnel) : vos contacts sont convertis en empreintes SHA-256 directement sur votre appareil. Seules ces empreintes sont envoyées à nos serveurs — jamais les numéros bruts. Les empreintes ne sont ni stockées ni conservées.
Géolocalisation (optionnelle, avec consentement) : utilisée pour le Signal de Connexion et la suggestion de lieux. Activée manuellement pour 24 heures maximum. Les coordonnées brutes ne sont jamais stockées à long terme.
Token de notifications push : clé VAPID stockée pour vous envoyer des alertes. Révocable à tout moment.
Photos et contenus utilisateurs : stockés sur Google Cloud Storage (europe-west9, France). Accessibles uniquement aux participants autorisés.
Données de coordination sociale : votes de disponibilité (Le Bon Timing), membres des cercles d'amis, participations aux événements.
Données techniques : cookies de session, adresse IP et journaux anonymes pour la performance et la sécurité.

2. Comment nous utilisons vos informations

Vos données sont utilisées uniquement pour :

Créer et gérer votre compte utilisateur.
Afficher vos disponibilités à vos contacts sélectionnés.
Synchroniser vos événements si vous connectez un calendrier externe.
Vous envoyer des e-mails transactionnels (bienvenue, réinitialisation de mot de passe, notifications importantes).
Améliorer la qualité, la sécurité et les fonctionnalités de l'application.

3. Sous-traitants

Nous ne vendons ni ne partageons vos données personnelles à des fins commerciales. Les sous-traitants suivants interviennent dans le traitement de vos données :

Brevo (Sendinblue SAS, France) : envoi des e-mails transactionnels. Conforme au RGPD. Seuls votre e-mail et votre prénom sont transmis.
Stripe (Stripe, Inc., États-Unis) : traitement des paiements. Certifié PCI-DSS, conforme au RGPD via Clauses Contractuelles Types.
Google Cloud Platform (Google LLC, France – europe-west9) : base de données PostgreSQL et stockage photos. Données hébergées en France. Google est signataire des CCT.

4. Sécurité

Hachage Argon2 : vos mots de passe sont protégés par l'algorithme Argon2.
Helmet.js : en-têtes HTTP de sécurité appliqués automatiquement (XSS, clickjacking, injection de contenu).
Rate Limiting : protection contre les attaques par force brute (10 tentatives / 15 minutes).
Sessions sécurisées : cookies httpOnly et secure, stockage serveur dans PostgreSQL.
Chiffrement AES-256-GCM : tokens de synchronisation calendrier chiffrés au repos.

5. Conservation des données

Nous appliquons des durées de rétention strictes conformément au principe de minimisation des données (Art. 5(1)(e) RGPD) :

Notifications lues : supprimées automatiquement après 30 jours.
Notifications non lues : supprimées automatiquement après 90 jours (délai accordé aux utilisateurs temporairement inactifs).
Tokens de réinitialisation de mot de passe : supprimés à expiration (1 heure après création). Un processus automatique purge quotidiennement les tokens expirés.
Données de compte : conservées jusqu'à la suppression du compte.
Journaux techniques : 90 jours.

Pour les durées complètes, consultez la Politique RGPD → Section 5.

6. Vos droits

À tout moment, vous pouvez :

Modifier vos informations personnelles depuis les paramètres de votre profil.
Supprimer votre compte et les données associées via l'application.
Révoquer l'accès de Pally Plan à vos calendriers externes.
Demander une copie de vos données personnelles (droit d'accès RGPD) à admin@pallyplan.com.
Déposer une réclamation auprès de la CNIL (www.cnil.fr).

Pour les utilisateurs de l'Union européenne, consultez notre Politique de Conformité RGPD complète → (bases légales, conservation des données, transferts hors UE, exercice de vos droits).

6. Contact

Ronan BARÉ – admin@pallyplan.com
Site web : https://www.pallyplan.com

🇬🇧 English version

Privacy Policy

Last updated: March 11, 2026

Pally Plan respects the privacy of its users. This policy explains how we collect, use and protect your information.

1. Information we collect

Account information: first name, last name, email address and password. Your password is stored as a secure hash using the Argon2 algorithm — we never store your password in plain text.
Calendar data: if you connect an external calendar (Google, Outlook or iCloud), we access your events solely to display your availability slots.
Phone number (optional): stored in E.164 format, never shared with third parties, deletable at any time from profile settings.
Contact matching (optional): your contacts are converted to SHA-256 fingerprints directly on your device. Only these fingerprints are sent to our servers — never raw numbers. Fingerprints are neither stored nor retained.
Geolocation (optional, with consent): used for Connection Boost and venue suggestions. Manually activated for 24 hours maximum. Raw coordinates are never stored long-term.
Push notification token: VAPID key stored to send you alerts. Revocable at any time.
Photos and user content: stored on Google Cloud Storage (europe-west9, France). Accessible only to authorized participants.
Social coordination data: availability votes (Le Bon Timing), friend circle members, event participations.
Technical data: session cookies, IP address and anonymous logs for performance and security.

2. How we use your information

Your data is used solely to:

Create and manage your user account.
Display your availability to your selected contacts.
Synchronize your events if you connect an external calendar.
Send you transactional emails (welcome, password reset, important notifications).
Improve the quality, security and features of the application.

3. Sub-processors

We do not sell or share your personal data for commercial purposes. The following sub-processors are involved in processing your data:

Brevo (Sendinblue SAS, France): transactional emails. GDPR compliant. Only your email and first name are transmitted.
Stripe (Stripe, Inc., USA): payment processing. PCI-DSS certified, GDPR compliant via Standard Contractual Clauses.
Google Cloud Platform (Google LLC, France – europe-west9): PostgreSQL database and photo storage. Data hosted in France. Google is a signatory to the SCCs.

4. Security

Argon2 hashing: passwords protected by the Argon2 algorithm.
Helmet.js: security HTTP headers applied automatically (XSS, clickjacking, content injection).
Rate Limiting: brute force protection (10 attempts / 15 minutes).
Secure sessions: httpOnly and secure cookies, server-side storage in PostgreSQL.
AES-256-GCM encryption: calendar sync tokens encrypted at rest.

5. Data Retention

We apply strict retention periods in accordance with the data minimisation principle (Art. 5(1)(e) GDPR):

Read notifications: automatically deleted after 30 days.
Unread notifications: automatically deleted after 90 days (allowing for temporarily inactive users).
Password reset tokens: deleted at expiration (1 hour after creation). An automated daily process purges expired tokens.
Account data: retained until account deletion.
Technical logs: 90 days.

For full retention periods, see the GDPR Policy → Section 5.

6. Your rights

At any time, you can:

Update your personal information from your profile settings.
Delete your account and associated data via the application.
Revoke Pally Plan's access to your external calendars.
Request a copy of your personal data (GDPR right of access) at admin@pallyplan.com.
File a complaint with the CNIL (www.cnil.fr).

For users in the European Union, see our full GDPR Compliance Policy → (legal bases, data retention, transfers outside the EU, exercising your rights).

6. Contact

Ronan BARÉ – admin@pallyplan.com
Website: https://www.pallyplan.com