La présente politique décrit comment l'application mobile ComploDex traite vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française Informatique et Libertés.
1. Responsable du traitement
- Nom : Sébastien Soulier (auto-entrepreneur)
- SIRET : 10483848700015
- Adresse : 12 Rue Georges Brassens, 32600 Lias, France
- Contact RGPD : contact@lespetitscomplotistes.com
2. Données traitées
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Email (lien magique) + UUID auth + date de création du compte | Exécution du contrat | Vie du compte + 30 jours après suppression |
| Pseudo, persona, langue, avatar | Exécution du contrat | Idem |
| Cartes obtenues, votes Plausible/Parano, murs d'investigation, streak, settings | Exécution du contrat | Idem |
| Statut d'abonnement (Premium mensuel/annuel, Édition Fondateur) et historique d'achats in-app | Exécution du contrat | Idem |
| UUID device, version OS / version app | Intérêt légitime (sécurité, support) | 13 mois |
| Events analytics PostHog | Consentement (opt-in) | 13 mois |
| Crash reports Sentry | Consentement (opt-in) | 90 jours |
| Token FCM (push) | Consentement (opt-in) | Tant que l'opt-in est actif |
| Géolocalisation ponctuelle (v1.3+) | Consentement | Non stockée |
Historique consent_log | Obligation légale (RGPD art. 7) | 5 ans après suppression du compte (anonymisé) |
| Paiements (cartes, IBAN, etc.) | N/A — gérés par Apple / Google | N/A — pas collectés par l'éditeur |
3. Finalités
- Fournir le service ComploDex (compte, collection, votes, abonnements)
- Améliorer l'application via analytics et crash reports (opt-in uniquement)
- Communication produit via push notifications (opt-in uniquement)
- Sécurité (détection de fraude, RLS Postgres, audit trail)
À l'inverse, ComploDex ne diffuse aucune publicité, n'intègre aucun SDK publicitaire tiers et ne revend aucune donnée. Aucune géolocalisation n'est collectée en version 1 (fonctionnalité envisagée à partir de la v1.3, soumise à consentement explicite).
4. Bases légales détaillées (art. 6 RGPD)
- Exécution du contrat (art. 6.1.b) — création de compte, fonctionnement de l'app, abonnement Premium
- Consentement (art. 6.1.a) — analytics, crash reports, push, géolocalisation
- Obligation légale (art. 6.1.c) — conservation du
consent_log - Intérêt légitime (art. 6.1.f) — sécurité, prévention de la fraude, support
5. Sous-traitants et destinataires
| Sous-traitant | Rôle | Localisation | Hors UE | Encadrement |
|---|---|---|---|---|
| Supabase Inc. | Backend, base de données, Auth, Storage, Edge Functions | UE (Paris, eu-west-3) | Non | DPA signé |
| Brevo (ex-Sendinblue) | Emails transactionnels (export RGPD, suppression) | UE | Non | DPA signé |
| Sentry | Crash reporting (opt-in) | UE | Non | DPA signé |
| PostHog Cloud EU | Analytics produit (opt-in) | UE | Non | DPA signé |
| Firebase Cloud Messaging | Push notifications (opt-in) | USA (Google) | Oui | Standard Contractual Clauses (SCC) |
| Apple Inc. | App Store, achats in-app | USA | Oui | SCC + Apple Terms |
| Google LLC | Play Store, Play Billing | USA | Oui | SCC + Google Terms |
| DeepL | Pré-traduction admin (jamais runtime) | UE (Allemagne) | Non | DPA signé |
6. Transferts hors Union Européenne
Certains sous-traitants (Firebase Cloud Messaging, Apple, Google) traitent des données aux États-Unis. Ces transferts sont encadrés par les Standard Contractual Clauses (SCC) de la Commission européenne et, lorsque c'est possible, par les certifications du EU-US Data Privacy Framework.
7. Vos droits RGPD
| Droit | Comment l'exercer dans l'app |
|---|---|
| Accès / Portabilité | Settings > RGPD > Exporter mes données → email Brevo en 24 h (JSON) |
| Rectification | Édition du profil dans l'app (pseudo, persona, avatar, langue) |
| Effacement | Settings > RGPD > Supprimer mon compte → workflow 30 jours de grâce — voir la page dédiée à la suppression de compte |
| Opposition / Limitation | Email à contact@lespetitscomplotistes.com |
| Retrait du consentement | Settings > Notifications (push, analytics, crash reports — toggles individuels) |
Délai de réponse : 1 mois maximum à compter de la demande (RGPD art. 12.3).
Vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr.
8. Mineurs
L'application est destinée aux 13 ans et plus. Si vous avez moins de 13 ans, n'utilisez pas cette application. Aucun chat, aucun profil public, aucun upload utilisateur, anonyme par défaut.
9. Sécurité
- Authentification par lien magique e-mail uniquement — aucun mot de passe à stocker ni à compromettre
- Row Level Security (RLS) Postgres activée par défaut sur toutes les tables sensibles
- HTTPS / TLS sur l'ensemble des échanges (chiffrement en transit)
- Secrets stockés dans Supabase Vault (jamais en dur dans le client)
- Aucun usage de la clé
service_rolecôté client - Audit trail des connexions admin
10. Modifications de cette politique
Toute évolution majeure (nouveau sous-traitant, nouvelle finalité, nouvelle catégorie de données) déclenche un re-consentement dans l'app, tracé dans la table consent_log.
11. Programme bêta-testeurs Complodex (site web)
Le site lespetitscomplotistes.com propose un formulaire pour rejoindre la communauté des bêta-testeurs de l'application Complodex. Ce traitement est distinct des données collectées par l'application elle-même (sections 1 à 10) et obéit aux conditions suivantes :
- Finalité : permettre l'envoi des invitations bêta (TestFlight pour iOS, Play Console Internal Testing pour Android), ainsi qu'au maximum 1 à 2 emails d'info produit autour du lancement et, le cas échéant, un email à l'ouverture de l'Édition Fondateur si la case correspondante a été cochée. Aucune autre communication.
- Base légale : consentement explicite (art. 6.1.a RGPD), recueilli via le formulaire et confirmé par double opt-in (clic sur un lien envoyé par email).
- Données traitées : email, plateforme choisie (iOS ou Android), opt-in Édition Fondateur, empreinte IP pseudonymisée (hash HMAC avec sel serveur), user-agent, langue, version du texte de consentement, horodatages.
- Durées de conservation : les demandes non confirmées sont supprimées automatiquement après 7 jours. Les inscriptions confirmées sont conservées au maximum 24 mois après la dernière communication envoyée. Toute donnée est supprimée immédiatement sur demande de l'utilisateur (lien dans chaque mail).
- Sous-traitants : aucun. Les données sont stockées dans une base SQLite locale sur le serveur web et les emails sont envoyés via le serveur SMTP de l'éditeur.
- Droits : accès, rectification, effacement, opposition, portabilité — exerçables via les liens présents dans chaque email (désinscription en un clic, suppression RGPD en un clic) ou par contact direct à contact@lespetitscomplotistes.com.
- Preuve du consentement : horodatage de la confirmation et version du texte de consentement sont conservés pour répondre à l'obligation de preuve (art. 7 RGPD).
12. Contact
Pour toute question relative au traitement de vos données : contact@lespetitscomplotistes.com.
Version v1.0 — Dernière mise à jour : 11 mai 2026