Dernière mise à jour : 24 mai 2026
Champ d'application : L'application mobile « Journeys » (iOS) et le site web associé à l'adresse https://getjourneys.app

Cette Politique de Confidentialité t'informe sur le traitement de tes données à caractère personnel lors de l'utilisation de l'application Journeys et des services en ligne associés — conformément aux articles 13 et 14 du Règlement général sur la protection des données (RGPD) et aux autres lois applicables en matière de protection des données (notamment la loi fédérale allemande sur la protection des données, BDSG).

Nous avons essayé de rédiger ce document dans un langage aussi clair que possible. Si tu as des questions, écris-nous à support@getjourneys.app.

Note sur les versions linguistiques : Cette version française est fournie à titre informatif. La version juridiquement contraignante de cette Politique est l'original allemand publié sur https://getjourneys.app/privacy-de. En cas d'incohérence entre l'original allemand et cette traduction, la version allemande prévaut.

Article 1 — Responsable du traitement

Lukas Seitz
Siemensstraße 1
93055 Regensburg
Allemagne

E-mail (assistance et demandes en matière de protection des données) : support@getjourneys.app

Nous ne sommes pas tenus de désigner un délégué à la protection des données, car nous ne remplissons pas les critères du § 38 de la loi fédérale allemande sur la protection des données (BDSG) : nous n'employons pas régulièrement 20 personnes ou plus pour le traitement automatisé de données à caractère personnel, et nous ne traitons pas non plus de catégories particulières de données au sens de l'article 9 du RGPD à titre principal. Les demandes en matière de protection des données sont traitées directement par Lukas Seitz à l'adresse e-mail ci-dessus et reçoivent une réponse dans un délai d'un mois (article 12, paragraphe 3 du RGPD).

Article 2 — Catégories de données à caractère personnel que nous traitons

Nous traitons les catégories suivantes de données à caractère personnel :

2.1 Données de compte et d'identification

• Adresse e-mail (via Apple Sign-In ou Magic Link)

• Nom d'affichage optionnel (transmis par Apple Sign-In ou choisi par toi)

• ID utilisateur pseudonyme (UUID Supabase, utilisé en interne comme identifiant technique)

• Avec Apple Sign-In : identifiant utilisateur Apple (identifiant anonyme généré par Apple)

2.2 Données de contenu (saisies ou créées par toi)

• Noms de trips, noms d'étapes, notes, entrées de journal

• Photos téléversées (y compris les tâches du Photo Bingo, voir Article 3.4)

• Documents de voyage (PDF, billets, confirmations de réservation)

• Listes d'affaires, rappels, informations d'urgence, adresses enregistrées, phrases personnalisées

• Avis, tags d'avis et signalements (lorsque tu utilises les fonctions communautaires)

• Liens vers les réseaux sociaux (TikTok, Instagram) que tu ajoutes pour la fonction d'import, voir Article 5

2.3 Données de localisation

• Coordonnées géographiques des étapes du trip (choisies par toi ou déterminées via Google Places)

• Traces GPS, si tu utilises activement la fonction optionnelle d'enregistrement d'itinéraire

• Centre approximatif de la carte (pour les requêtes de tuiles cartographiques à Mapbox)

• Lieu de prise de vue dans le mode Photo Bingo (voir Article 3.4)

• Position actuelle de l'appareil (uniquement pendant une session active, lorsque tu utilises une fonction basée sur la localisation — par exemple « à proximité », suivi de trip)

2.4 Données techniques et de télémétrie

• Compteurs d'événements anonymes (par exemple « Trip créé », « Étape ajoutée ») via PostHog

• Rapports d'incidents et erreurs non fatales via Sentry

• Informations sur l'appareil (version iOS, modèle d'appareil, version de l'application, ID d'installation anonymes) dans le cadre des diagnostics Sentry

• Journaux d'erreurs de synchronisation (anonymisés, conservés 30 jours)

• Compteurs de limitation de débit (anonymisés, conservés environ 10 minutes)

2.5 Données de notifications push

• Jeton d'appareil Apple Push Notification Service (jeton APNs)

• Pour les notifications configurées : association du jeton avec ton ID utilisateur

2.6 Données de communication

• Demandes d'assistance, y compris les pièces jointes

• Journaux de consentement (quelle version des CGU et de la Politique de Confidentialité tu as acceptée, et quand)

Ce que nous ne collectons PAS

Nous renonçons explicitement aux catégories suivantes :

• Identifiants publicitaires (IDFA, IDFV)

• Identifiants de suivi inter-applications de toute nature

• Historique de navigation en dehors de l'application

• Numéro de téléphone

• Données de paiement (l'application ne propose actuellement aucune fonction payante)

• Carnet d'adresses / contacts / calendrier

• Enregistrements de microphone ou suivi de localisation continu en arrière-plan

Article 3 — Traitement de données dans le cadre de la fonction Trip

Lorsque tu crées un trip dans Journeys, les données suivantes sont stockées dans notre base de données hébergée dans l'UE (Supabase, région de Francfort) et liées à ton compte.

3.1 Données du trip et des étapes

Données principales du trip : nom du trip, période de voyage, lieu de destination et ses coordonnées géographiques, éventuellement informations sur l'hébergement (nom, adresse, code de réservation, notes), paramètres de budget, informations sur le transport.

Données des étapes : nom, catégorie et coordonnées géographiques de chaque étape, notes optionnelles, pièces jointes et ordre de tri, galerie photo par étape.

3.2 Pièces jointes et documents

Les notes, photos et PDF que tu ajoutes sont stockés dans un bucket de stockage privé protégé par Row-Level Security (RLS) de sorte que seul toi et les compagnons de voyage que tu as invités puissent y accéder. L'accès au bucket nécessite une session d'authentification valide — des tiers ne peuvent pas récupérer les fichiers même s'ils en connaissent l'URL.

3.3 Trips partagés

Si tu partages un trip avec d'autres personnes, ces compagnons de voyage voient toutes les données de ce trip (étapes, notes, pièces jointes, entrées de journal, etc.). Les compagnons sont liés par leur ID utilisateur. Tu peux à tout moment retirer un compagnon d'un trip — cela met fin à son accès immédiatement.

3.4 Photo Bingo et données EXIF dans les photos

Les photos téléversées (dans les entrées de journal, les cellules de Bingo, les documents de trip) contiennent généralement des métadonnées EXIF, parmi lesquelles :

• Date et heure de prise de vue

• Coordonnées GPS du lieu de prise de vue (si la capture de localisation était activée sur ton appareil à ce moment-là)

• Modèle d'appareil photo, valeurs d'exposition

Nous ne supprimons délibérément pas ces métadonnées avant le téléversement, car la fonction Photo Bingo affiche le lieu de prise de vue sur la carte (« Ici, j'ai accompli la tâche »). Si tu ne veux pas que la position GPS d'une photo spécifique soit stockée, tu peux :

• désactiver la capture de localisation dans les paramètres de la caméra iOS (avant la prise de vue)

• supprimer les données EXIF d'une photo à l'aide d'un outil tiers avant le téléversement

Les données EXIF ne sont pas extraites dans notre base de données structurée — elles restent exclusivement dans le fichier image téléversé dans le bucket de stockage, visible uniquement par toi et les compagnons de voyage que tu as invités.

3.5 Données d'activité de voyage

Les traces GPS que tu enregistres éventuellement dans l'application sont traitées localement sur l'appareil et, si nécessaire, envoyées à l'API Mapbox Map Matching pour être « accrochées » au réseau routier le plus proche. Le résultat n'est stocké que sur ton appareil et dans ton ensemble de données de trip.

Base juridique : Article 6, paragraphe 1, point b) du RGPD (exécution du contrat — les fonctions de l'application sont l'objet du contrat).

Article 4 — Connexion et envoi d'e-mails

Tu peux te connecter à Journeys de deux manières :

4.1 Apple Sign-In (recommandé)

• Authentification via le système Apple

• Apple nous fournit un jeton d'identité de courte durée, que nous échangeons contre une session Supabase

• Apple peut éventuellement transmettre ton nom et ton adresse e-mail (ou une adresse relais Apple telle que xyz@privaterelay.appleid.com)

• Nous stockons : nom d'affichage (optionnel), adresse e-mail, ID utilisateur Apple

4.2 Magic Link (e-mail)

• Tu saisis ton adresse e-mail

• Nous t'envoyons un lien de connexion à usage unique via notre prestataire d'envoi d'e-mails Brevo (Sendinblue GmbH, Berlin / Paris)

• Brevo traite exclusivement : ton adresse e-mail, le moment de l'envoi, les données techniques de livraison (rebond, ouverture, clic)

• Le Magic Link est valide 60 minutes

• Hébergement Brevo : UE (France)

4.3 Stockage

Ton adresse e-mail est stockée dans la table d'authentification Supabase ainsi que dans le profil utilisateur. Lors de la suppression du compte, les deux entrées sont supprimées.

Base juridique : Article 6, paragraphe 1, point b) du RGPD (exécution du contrat — la connexion est une condition préalable à l'utilisation de l'application).

Article 5 — Fonctions d'IA et import depuis les réseaux sociaux

Journeys propose des fonctions assistées par IA qui envoient des requêtes à notre prestataire d'IA Anthropic PBC (Claude). Anthropic est basé aux États-Unis, mais est certifié dans le cadre du EU-US Data Privacy Framework (voir Article 11).

5.1 Assistant Trip IA

Lorsque tu utilises l'Assistant Trip (par exemple « Suggère-moi 3 cafés à Paris »), nous envoyons à Anthropic :

• Ton message (prompt)

• Optionnellement : contexte du trip actuel (nom du trip, étapes existantes, plage de dates) — dans la mesure nécessaire à la réponse

• Ton ID utilisateur pseudonyme (pour associer la réponse à toi)

Nous n'envoyons pas à Anthropic : ton e-mail, ton vrai nom, des photos, des pièces jointes.

5.2 Import depuis les réseaux sociaux (TikTok / Instagram)

Lorsque tu partages ou colles un lien TikTok ou Instagram dans l'application, le processus suivant se déroule :

1. L'application détecte le type de lien localement (aucun appel externe)

2. Notre Edge Function récupère les informations de prévisualisation publiquement accessibles de la publication (titre, description, vignette — aucune donnée privée)

3. La description est envoyée à Anthropic Claude pour en extraire des suggestions de lieux

4. Tu reçois les suggestions extraites dans l'application et décides lesquelles importer

Ce que nous mettons en cache : les résultats de l'analyse IA sont stockés dans un cache partagé (même URL de vidéo → même résultat) afin de réduire les requêtes. Le cache est anonyme — il ne contient que l'URL et le résultat IA, aucun ID utilisateur.

5.3 Conservation chez Anthropic

Conformément à notre contrat de sous-traitance avec Anthropic, les données transmises sont utilisées exclusivement pour répondre à ta demande, ne sont pas utilisées pour entraîner les modèles d'IA et sont supprimées au plus tard après 30 jours.

5.4 Traductions IA (contenu éditorial)

Pour proposer du contenu multilingue (par exemple les guides de ville), nous traduisons en interne (dans notre espace d'administration) à l'aide d'Anthropic Claude. Aucune donnée d'utilisateur n'est transmise dans ce processus — uniquement du contenu éditorial que nous maintenons nous-mêmes.

Base juridique : Article 6, paragraphe 1, point b) du RGPD (exécution du contrat — la fonction IA fait partie de l'objet du contrat).

Article 6 — Services externes de cartographie et de lieux

Lorsque tu ajoutes une étape ou affiches une carte, des requêtes sont envoyées à des services externes.

6.1 Google Places API (via notre proxy hébergé dans l'UE)

• Nous envoyons : le nom du lieu recherché, une zone de recherche géographique approximative (environ 200 m de rayon autour de l'étape sélectionnée), la langue de l'application

• Nous recevons : nom du lieu, références photo, résumé d'évaluations, horaires d'ouverture, adresse — ces données sont réutilisées dans notre base de données pour d'autres utilisateurs (cache partagé, économise les coûts d'API et le trafic de données)

• Kill switch : Si l'administrateur désactive le commutateur de recherche Places (par exemple en cas d'épuisement du quota), aucune requête n'est envoyée à Google

6.2 Mapbox Maps SDK et Map Matching API

• Affichage de la carte : Lors de l'affichage d'une carte, des requêtes de tuiles sont envoyées aux serveurs Mapbox ; elles contiennent le centre approximatif de la carte (coordonnée géographique), le niveau de zoom et un jeton d'accès Mapbox anonyme de notre application

• Snapping des traces GPS : Si tu enregistres une trace GPS et souhaites l'aligner sur le réseau routier, tu envoies la trace à notre proxy Edge Function, qui la transmet à l'API Mapbox Matching

• Ce que Mapbox ne reçoit pas : tes noms de trips, notes, images, ID utilisateur, adresses e-mail

Base juridique : Article 6, paragraphe 1, point b) du RGPD (exécution du contrat — la fonction de cartographie fait partie du contrat).

Article 7 — Télémétrie, rapports d'incidents et analyse produit

Nous utilisons les outils techniques suivants. Tous sont configurés pour qu'aucun contenu personnel (noms de trips, notes, e-mails) ne soit transmis aux fournisseurs.

7.1 Sentry (rapports d'incidents et d'erreurs)

• Région des données : UE (Sentry région DE)

• Transmis : traces de pile, version iOS, modèle d'appareil, miettes de pain anonymes

• Non transmis : captures d'écran, hiérarchies de vues, contenu des trips, e-mails

• Liaison utilisateur : uniquement l'UUID Supabase anonyme

• Taux d'échantillonnage de performance : 10 %

• Conservation : jusqu'à 90 jours (selon le plan Sentry actuel)

7.2 PostHog (analyse produit)

• Région des données : UE (eu.posthog.com)

• Transmis : noms d'événements issus d'une liste fixe (par exemple « Trip créé », « Étape ajoutée », « Onboarding terminé ») ainsi que des propriétés anonymes (par exemple type de trip, nombre d'étapes)

• Non transmis : noms de trips, noms d'étapes, notes, textes saisis par l'utilisateur, images, lieux

• Profilage : uniquement pour les utilisateurs connectés ; aucun suivi inter-applications anonyme

• Aucun replay de session, aucune heatmap

• Conservation : 12 mois

7.3 Slack (notifications internes à notre équipe d'assistance)

• Slack ne reçoit aucun contenu utilisateur. Lorsque tu ouvres un ticket d'assistance ou soumets un signalement, nous ne voyons dans notre canal Slack interne qu'un message d'indication technique (par exemple « Nouveau ticket d'assistance — statut : ouvert » + lien vers le panneau d'administration). Le contenu réel reste dans notre base de données UE.

• Les e-mails des administrateurs sont mentionnés comme acteurs dans les messages Slack, mais ne constituent pas du contenu d'utilisateur de l'application.

7.4 Apple App Tracking Transparency

Nous ne pratiquons pas de tracking au sens d'Apple. Dans le manifeste de confidentialité de notre application, NSPrivacyTracking = false est défini ; nous n'utilisons ni IDFA, ni identifiants inter-applications, ni cookies publicitaires. C'est la raison pour laquelle l'application n'affiche pas de dialogue ATT (« Souhaitez-vous être suivi ? »).

7.5 Ton droit d'opposition à la télémétrie (Art. 21 RGPD)

Étant donné que nous utilisons Sentry et PostHog sur la base de notre intérêt légitime (Art. 6, paragraphe 1, point f) du RGPD), tu as le droit de t'opposer à ce traitement à tout moment.

Comment t'opposer :
Envoie un court e-mail à support@getjourneys.app avec pour objet « Opposition télémétrie » et indique-nous l'adresse e-mail de ton compte. Nous mettrons alors ton compte en mode « opt-out » dans les deux outils — par la suite, plus aucun événement ni rapport d'incident ne sera enregistré pour ton compte. Tu recevras une confirmation sous 7 jours.

Remarque : Nous travaillons à un interrupteur intégré à l'application qui permettra de gérer cette opposition directement dans les paramètres. Tant que celui-ci n'est pas disponible, l'opposition passe exclusivement par e-mail.

Base juridique : Article 6, paragraphe 1, point f) du RGPD (intérêt légitime à la stabilité et à l'amélioration de l'application).

Article 8 — Notifications push

Journeys utilise le service Apple Push Notification Service (APNs) pour t'envoyer les types de notifications suivants :

• Rappels de trip (par exemple étapes à venir, début du voyage)

• Indications de synchronisation (par exemple lorsqu'un compagnon a ajouté quelque chose à ton trip)

• Notifications système importantes (par exemple « mise à jour de l'application disponible »)

Comment ça fonctionne

1. Au premier lancement, iOS te demande ton consentement (« Voulez-vous recevoir des notifications push ? »)

2. Si tu acceptes, nous recevons d'Apple un jeton d'appareil anonyme (jeton push APNs)

3. Nous stockons ce jeton dans notre base de données, lié à ton ID utilisateur pseudonyme

4. Lorsque nous voulons t'envoyer un message, nous transmettons le jeton à Apple avec le contenu de la notification push

Ce qu'Apple voit

Apple est le transporteur des messages push et voit le contenu livré. Nous n'envoyons via push que des indications techniques (par exemple « Ton vol pour Lisbonne décolle demain ») et aucune donnée sensible.

Désactiver les notifications push

Tu peux désactiver les notifications push à tout moment :

• Dans les paramètres iOS → Journeys → Notifications → Autoriser les notifications (désactivé)

• Dans les paramètres de l'application Journeys (si un interrupteur y est disponible)

En cas de retrait complet, le jeton est supprimé de notre base de données.

Base juridique : Article 6, paragraphe 1, point a) du RGPD (consentement via la boîte de dialogue push iOS).

Article 9 — Avis communautaires, signalements et modération

Si tu utilises la fonction communautaire optionnelle, les remarques suivantes s'appliquent en plus :

9.1 Avis

Lorsque tu évalues un lieu et que tu partages publiquement ton avis, celui-ci est visible par les autres utilisateurs de l'application — y compris :

• ton nom d'affichage

• ta note en étoiles

• le texte d'avis optionnel et les tags

• le lieu évalué (nom + coordonnées géographiques approximatives)

Les avis sont liés à ton ID utilisateur. Tu peux modifier ou supprimer tes propres avis dans l'application à tout moment.

9.2 Signalements

Lorsque tu signales un avis pour violation des règles de la communauté, nous stockons ton ID utilisateur, l'ID de l'avis signalé et le motif du signalement (valeur d'énumération telle que « Spam », « Insulte »). Nous répondons aux signalements dans les 24 heures au plus tard.

L'utilisateur signalé n'apprend pas qui l'a signalé (sauf dans de rares cas où la loi l'exige, par exemple à la demande des autorités chargées de l'application de la loi).

9.3 Blocages

Si un administrateur te bloque pour des violations répétées, le blocage est documenté avec un motif. Tu peux contester le blocage à support@getjourneys.app.

9.4 Digital Services Act (DSA)

En tant que petit fournisseur (pas une « Très grande plateforme en ligne » au sens du DSA), nous sommes soumis aux obligations minimales prévues par le DSA. Nous nous y conformons par :

• une procédure interne de notice-and-action (mécanisme de signalement et de réaction, voir Article 9.2)

• la possibilité de contester les décisions de modération (Article 9.3)

• des règles communautaires transparentes (voir https://getjourneys.app/community-guidelines)

Base juridique pour la modération : Article 6, paragraphe 1, point f) du RGPD (intérêt légitime à une communauté respectueuse) ainsi que le respect des obligations légales découlant du Digital Services Act.

Article 10 — Sous-traitants et prestataires tiers

Nous faisons appel aux sous-traitants suivants. Avec chacun d'entre eux, nous avons conclu un contrat de sous-traitance conformément à l'article 28 du RGPD.

PrestataireSiègeRégion d'hébergementFinalitéSupabase Inc.États-Unis (Delaware)🇪🇺 UE (Francfort)Base de données, authentification, stockage, temps réel, Edge FunctionsVercel Inc.États-Unis🇺🇸 États-UnisHébergement du panneau d'administration interneFramer B.V.🇪🇺 Pays-Bas (Amsterdam)🇪🇺 UE / global (via AWS)Hébergement du site https://getjourneys.app (pages légales, marketing)Anthropic PBCÉtats-Unis🇺🇸 États-UnisFonctions IA (suggestions de trip, import réseaux sociaux, traductions)Sentry / Functional Software Inc.États-Unis🇪🇺 UE (région DE)Rapports d'incidents, journalisation d'erreursPostHog Inc.États-Unis🇪🇺 UE (eu.posthog.com)Analyse produit (événements anonymes)Google LLC (Places API + Cloud)États-UnisglobalInformations sur les lieux, URL des photosMapbox Inc.États-UnisglobalAffichage de cartes, snapping d'itinérairesSlack Technologies LLC (Salesforce)États-Unis🇺🇸 États-UnisNotifications internes (aucun contenu utilisateur)Sendinblue GmbH (Brevo)🇪🇺 France/Berlin🇪🇺 UEEnvoi d'e-mails (Magic Link)Apple Inc.États-UnisglobalApple Sign-In, distribution App Store, Push Notification Service

Les contrats de sous-traitance (DPA) sont consultables chez nous — sur demande motivée par un intérêt légitime, nous t'envoyons une confirmation de la conclusion du contrat.

Article 11 — Transferts de données vers des pays tiers (États-Unis)

Certains des sous-traitants mentionnés ci-dessus sont basés aux États-Unis ou y traitent des données. Le transfert de données vers les États-Unis s'effectue sur la base du EU-US Data Privacy Framework (DPF) — décision d'adéquation de la Commission européenne du 10 juillet 2023 (C(2023) 4745 final) — dans la mesure où les prestataires concernés sont certifiés DPF.

Prestataires certifiés DPF que nous utilisons (au 24 mai 2026)

• Vercel Inc.

• Anthropic PBC

• Sentry / Functional Software Inc.

• PostHog Inc.

• Google LLC (Cloud + Places API)

• Mapbox Inc.

• Slack Technologies LLC

• Apple Inc.

Tu peux vérifier la certification dans le registre public DPF à l'adresse https://www.dataprivacyframework.gov/list.

Pour les sous-traitants dont la société mère est basée aux États-Unis mais dont les données sont en fait traitées dans l'UE (Supabase : AWS Francfort ; Sentry : région DE ; PostHog : EU Cloud), le lieu d'hébergement UE sert en outre de mesure de protection technique.

En outre, nous avons conclu des Clauses Contractuelles Types (CCT) au sens de l'article 46, paragraphe 2, point c) du RGPD avec tous les prestataires américains. Ces clauses imposent aux prestataires un niveau de protection des données équivalent à celui du RGPD.

Si tu as des préoccupations concernant un transfert de données spécifique, tu peux nous contacter à tout moment à support@getjourneys.app.

Article 12 — Durée de conservation et suppression

Nous ne conservons les données à caractère personnel que pendant le temps nécessaire aux finalités respectives.

Catégorie de donnéesConservationDonnées principales du compte (profil, e-mail)Jusqu'à la suppression du compteDonnées des trips (trips, étapes, pièces jointes)Jusqu'à la suppression du compteTrips supprimés (corbeille soft-delete)30 jours, puis suppression irréversibleJournaux d'erreurs de synchronisation30 joursJournaux de limitation de débitenviron 10 minutesRapports d'incidents (Sentry)jusqu'à 90 joursTélémétrie produit (PostHog)12 moisTickets d'assistancejusqu'à 90 jours après clôtureJetons Magic Linkvalidité 60 minutesJournaux de consentement (version CGU / Politique acceptée)Jusqu'à la suppression du compteJeton de notification push (APNs)Jusqu'à désactivation des notifications / suppression du compteRequêtes Anthropic (IA)max. 30 jours (selon notre DPA avec Anthropic)Snapshots de sauvegarde chiffrés30 joursCache d'enrichissement de lieux (anonyme)Jusqu'au prochain nettoyage (aucune liaison utilisateur)

Suppression du compte

Tu peux supprimer ton compte à tout moment dans les paramètres de l'application sous « Profil → Supprimer le compte » avec double confirmation. Lors d'une suppression de compte :

• tous les trips, étapes, pièces jointes, entrées de journal, tableaux Bingo et listes d'affaires sont supprimés irréversiblement de la base de données,

• tous les fichiers sont supprimés des buckets de stockage,

• la liaison de l'ID utilisateur dans PostHog et Sentry est réinitialisée,

• le jeton de notification push est supprimé,

• l'entrée dans la table d'authentification et dans le profil utilisateur est supprimée.

La suppression prend effet immédiatement en exploitation courante. La conservation des sauvegardes est de 30 jours (snapshots chiffrés chez Supabase) ; la suppression est ensuite également complète dans les sauvegardes.

Article 13 — Tes droits

En tant que personne concernée, tu disposes des droits suivants au titre du RGPD :

• Accès (Art. 15 RGPD) — nous t'indiquons quelles données à caractère personnel nous traitons à ton sujet

• Rectification (Art. 16 RGPD) — tu peux faire corriger des données inexactes

• Effacement (Art. 17 RGPD) — tu peux demander la suppression de tes données (intégralement via la fonction in-app « Supprimer le compte » ou par e-mail à support@getjourneys.app)

• Limitation du traitement (Art. 18 RGPD)

• Portabilité des données (Art. 20 RGPD) — tu peux demander tes données dans un format lisible par machine (export JSON par e-mail à support@getjourneys.app, traitement sous un mois)

• Opposition (Art. 21 RGPD) — pour les traitements fondés sur l'intérêt légitime (notamment la télémétrie, voir Article 7.5)

• Retrait du consentement (Art. 7, paragraphe 3 du RGPD) — dans la mesure où le traitement repose sur un consentement (par exemple notifications push)

• Réclamation auprès de l'autorité de contrôle (Art. 77 RGPD, voir Article 14)

Pour exercer tes droits, contacte : support@getjourneys.app

Nous répondons dans un délai d'un mois (Art. 12, paragraphe 3 du RGPD). Pour les demandes particulièrement complexes, ce délai peut être prolongé de deux mois supplémentaires ; dans ce cas, nous t'en informons.

Article 14 — Droit de réclamation auprès de l'autorité de contrôle

Tu as le droit de déposer une réclamation auprès d'une autorité de contrôle de la protection des données concernant le traitement de tes données à caractère personnel (Art. 77 RGPD).

L'autorité de contrôle compétente pour nous est :

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Allemagne
Site web : https://www.lda.bayern.de

Tu peux également t'adresser à l'autorité de protection des données de ton lieu de résidence habituelle ou de ton lieu de travail.

Article 15 — Site web (getjourneys.app)

Notre site web à l'adresse https://getjourneys.app est hébergé par Framer et sert uniquement à fournir des informations sur l'application et à héberger les documents juridiques (Politique de Confidentialité, CGU, Mentions Légales, Règles de la Communauté).

Nous n'utilisons aucun cookie de suivi, aucun outil d'analyse et aucun pixel publicitaire sur le site web. Seuls des cookies / mécanismes de stockage local strictement nécessaires sont utilisés pour la livraison de la page (par exemple session Framer pour éviter les rechargements infinis).

Lors de la consultation du site web, des journaux de connexion anonymes (adresse IP, horodatage, user-agent) sont stockés côté serveur pour la durée habituelle (généralement 7 jours). Ces données ne sont pas utilisées pour le profilage.

Base juridique : Article 6, paragraphe 1, point f) du RGPD (intérêt légitime à un site web fonctionnel et sécurisé).

Article 16 — Sécurité du traitement

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger tes données contre tout accès non autorisé. Cela inclut :

• Chiffrement de la transmission de données (HTTPS / TLS 1.3) et du stockage de données (chiffrement Supabase « at rest » avec AES-256)

• Row-Level Security (RLS) sur toutes les tables de la base de données — tu ne vois que tes propres données (même en cas d'accès direct à la BD)

• Isolation du bucket de stockage — les photos et PDF téléversés sont privés ; même si l'URL est connue, aucun accès n'est possible sans authentification valide

• Limitation de débit + quota sur tous les points de terminaison API pour se protéger contre les abus

• Pseudonymisation dans la mesure du possible (ID utilisateur en UUID, pas de liaison directe par e-mail dans la télémétrie)

• Sauvegardes régulières avec snapshots chiffrés (rétention de 30 jours)

• Suppression de compte avec CASCADE — toutes les données dépendantes sont supprimées dans une seule transaction

• Renonciation aux ID publicitaires (pas d'IDFA, pas de tracking inter-applications)

• Journal d'audit pour les accès administratifs aux données des utilisateurs

• Tests de fumée lors des modifications de schéma pertinentes pour la base de données, pour éviter les bugs de permissions

Article 17 — Modifications de cette Politique de Confidentialité

Nous pouvons mettre à jour cette Politique de Confidentialité pour l'adapter aux modifications législatives, aux nouvelles fonctions de l'application ou à de nouveaux sous-traitants. La date sous « Dernière mise à jour » au début du document indique la version actuelle.

Les modifications substantielles (par exemple nouveaux prestataires tiers, nouvelles catégories de données, modifications de la base juridique) te seront annoncées par e-mail ou via une indication in-app — généralement au moins 14 jours avant leur entrée en vigueur. Pour les modifications purement rédactionnelles (fautes de frappe, mise en forme), aucune annonce séparée n'est faite.

Nous documentons la version de la Politique de Confidentialité que tu as acceptée dans une table interne (user_consents) avec horodatage et numéro de version.

Article 18 — Contact

Pour toute question sur cette Politique de Confidentialité ou sur le traitement de tes données, tu peux nous contacter à :

E-mail : support@getjourneys.app

Nous répondons généralement dans les 24 heures, et au plus tard dans le délai d'un mois prévu à l'Art. 12, paragraphe 3 du RGPD.

Cette Politique de Confidentialité a été publiée le 24 mai 2026.