Politique de confidentialité

Dernière mise à jour : 27 mai 2026.

La présente politique décrit la manière dont Chaclaurel collecte, utilise et protège les données personnelles des utilisateurs du Service MyPhenix-bot, conformément au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la loi française « Informatique et Libertés » du 6 janvier 1978 modifiée.

1. Responsable du traitement

Le responsable du traitement est :
Chaclaurel, micro-entreprise (voir mentions légales).
Contact pour toute question RGPD : formulaire de contact.

2. Données collectées

Chaclaurel collecte uniquement les données strictement nécessaires au fonctionnement du Service :

• Données de compte : adresse email, mot de passe haché (bcrypt — jamais en clair), prénom et nom (facultatifs).
• Données de notification selon le canal choisi : identifiant Telegram, identifiant utilisateur Discord, abonnement Web Push (clés cryptographiques de votre navigateur).
• Préférences d'utilisation : magasins favoris, activation des alertes par magasin.
• Données d'abonnement : identifiants Stripe opaques (customer_id, subscription_id), historique des paiements (date, montant, statut). Aucune donnée bancaire (numéro de carte, CVV, date d'expiration) n'est collectée ni stockée par Chaclaurel.
• Données de connexion : identifiant de session (cookie session_id), horodatages de connexion.
• Statistiques de visite : cookie anonyme visitor_id (UUID v4) permettant de compter les visiteurs uniques quotidiens. Aucune information personnelle n'est associée à ce cookie.

3. Finalités du traitement

Les données collectées sont utilisées pour :

• fournir le Service d'alerte (objet principal du contrat) ;
• authentifier l'utilisateur et sécuriser son compte ;
• gérer la facturation et le suivi de l'abonnement Premium ;
• envoyer les emails transactionnels (vérification d'adresse, réinitialisation de mot de passe) ;
• établir des statistiques d'audience agrégées et anonymes ;
• répondre aux demandes des utilisateurs et au support client ;
• respecter les obligations légales et comptables.

4. Bases légales

• Exécution du contrat (art. 6.1.b RGPD) — pour les données de compte, de notification, de favoris et d'abonnement.
• Obligation légale (art. 6.1.c RGPD) — pour la conservation des données comptables et de facturation.
• Intérêt légitime (art. 6.1.f RGPD) — pour les statistiques d'audience anonymes et la sécurité du Service.
• Consentement (art. 6.1.a RGPD) — pour l'activation des notifications Web Push (révocable à tout moment depuis votre profil).

5. Durées de conservation

• Compte utilisateur actif : pendant toute la durée d'utilisation du Service.
• Compte supprimé par l'utilisateur : suppression immédiate, sauf obligations légales (voir ci-dessous).
• Données de facturation : 10 ans à compter de la clôture de l'exercice comptable (article L123-22 du Code de commerce).
• Identifiants Stripe : conservés tant que la relation contractuelle existe, puis archivés selon les durées légales.
• Cookie visitor_id : 13 mois maximum (recommandation CNIL).
• Logs techniques : 12 mois maximum.

6. Destinataires et sous-traitants

Les données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles sont accessibles uniquement à Chaclaurel et à ses sous-traitants techniques, qui agissent sur ses instructions et dans le respect du RGPD :

• Railway Corp. (États-Unis) — hébergement de l'application et de la base de données. Transferts hors UE encadrés par les Clauses Contractuelles Types (décision UE 2021/914).
• Stripe Payments Europe, Ltd. (Irlande) — traitement des paiements. Certification PCI-DSS niveau 1.
• Resend, Inc. (États-Unis) — envoi d'emails transactionnels. Transferts hors UE encadrés par les Clauses Contractuelles Types.
• Telegram FZ-LLC (Émirats arabes unis) — relais des alertes envoyées via Telegram, à la demande de l'utilisateur.
• Discord Inc. (États-Unis) — relais des alertes envoyées via Discord, à la demande de l'utilisateur.

7. Transferts hors Union européenne

Certains sous-traitants sont établis hors de l'Union européenne. Les transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021) ou par une décision d'adéquation, garantissant un niveau de protection équivalent à celui du droit européen.

8. Sécurité des données

Chaclaurel met en œuvre les mesures techniques et organisationnelles suivantes :

• mots de passe stockés hachés avec l'algorithme bcrypt (jamais en clair) ;
• connexion en HTTPS (TLS) sur l'ensemble du Service ;
• cookies de session marqués HttpOnly et Secure en production ;
• requêtes SQL paramétrées (protection contre les injections) ;
• accès restreint à la base de données ;
• journalisation des accès administrateurs.

9. Cookies

Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement, exemptés de consentement préalable (article 82 de la loi Informatique et Libertés) :

• session_id — cookie de session, indispensable à l'authentification. Supprimé à la déconnexion ou à expiration.
• visitor_id — cookie anonyme de mesure d'audience interne (UUID v4 sans donnée identifiante). Durée : 13 mois.

Aucun cookie publicitaire, de profilage ou de traçage tiers n'est déposé.

10. Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès — obtenir une copie de vos données ;
• Droit de rectification — corriger des données inexactes ;
• Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données ;
• Droit à la limitation — restreindre le traitement dans certains cas ;
• Droit à la portabilité — recevoir vos données dans un format structuré ;
• Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime ;
• Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci ;
• Droit de définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, contactez-nous via le formulaire de contact. Une réponse vous sera apportée dans un délai maximal d'un mois. Une preuve d'identité pourra être demandée en cas de doute raisonnable.

11. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site web : www.cnil.fr

12. Modification de la politique

La présente politique peut être mise à jour à tout moment. La date de dernière modification est indiquée en tête du document. En cas d'évolution substantielle, les utilisateurs seront informés par email ou via une notification sur le Service.

Contact

Pour toute question relative à la présente politique ou à l'exercice de vos droits : formulaire de contact.