Kidyscope
Créer un compte

Politique de confidentialité

Version 1.0.0 — En vigueur

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Kidyscope est KIDYSCOPE. Pour toute question relative à vos données ou à l'exercice de vos droits, vous pouvez nous écrire à bonjour@kidyscope.fr.

2. Données collectées

Les données suivantes sont collectées :

  • Données du compte — adresse email, prénom et nom. Aucun mot de passe n'est stocké : l'authentification se fait par OTP envoyé par email à chaque connexion (« passwordless »).
  • Profil — avatar (optionnel), préférence d'affichage (couleur), surnoms définis par les Enfants.
  • Données des Enfants (renseignées par l'Utilisateur exerçant l'autorité parentale) — prénom, nom (optionnel), date de naissance, taille (optionnelle), photo de profil (optionnelle).
  • Contenus publiés — souvenirs (photos, vidéos, notes vocales, textes, légendes, tags), capsules temporelles avec leur message, étapes de vie, listes de souhaits et leurs articles (titre, lien éventuel, prix, image, notes).
  • Interactions — réactions (emoji), commentaires, invitations envoyées et reçues, appartenance à une ou plusieurs familles.
  • Données techniques — date de dernière connexion, jeton d'authentification (JWT, durée de vie 90 jours) + jeton de rafraîchissement (durée de vie 180 jours) côté navigateur/appareil, jetons FCM des appareils enregistrés pour les notifications push, codes OTP éphémères pour la connexion (purgés sous 10 minutes ou après usage).
  • Données de facturation (uniquement en cas d'abonnement Premium) — identifiant client Stripe, historique des paiements.

Aucune donnée de géolocalisation précise, aucune donnée biométrique et aucune donnée de santé n'est collectée.

3. Finalités du traitement

Les données sont utilisées exclusivement pour :

  • fournir le Service (héberger les Contenus et les rendre accessibles aux Membres autorisés de la Tribu) ;
  • sécuriser le compte (authentification, vérification email, alertes de connexion) ;
  • communiquer avec l'Utilisateur (emails transactionnels : code OTP de connexion, notifications d'invitation) ;
  • améliorer le Service via des statistiques d'usage anonymisées, sans recoupement individuel ;
  • traiter la facturation pour les Utilisateurs Premium ;
  • répondre aux obligations légales applicables.

Les données ne sont jamais revendues à des tiers, jamais utilisées à des fins publicitaires, jamais croisées avec des données externes.

4. Base légale

Le traitement repose principalement sur l'exécution du contrat qui lie l'Utilisateur à l'Éditeur via l'acceptation des CGU (article 6.1.b du RGPD). Le traitement des données des Enfants repose sur le consentement explicite du titulaire de l'autorité parentale (article 8 du RGPD). L'intérêt légitime de l'Éditeur (article 6.1.f du RGPD) fonde par ailleurs les traitements de sécurité et d'amélioration du Service. La facturation (Premium) repose sur l'obligation légale comptable (article 6.1.c du RGPD).

5. Données des Enfants

Une attention particulière est portée aux données des Enfants, considérées comme particulièrement sensibles bien qu'elles ne relèvent pas formellement de l'article 9 du RGPD :

  • seul un Utilisateur exerçant l'autorité parentale ou la tutelle légale peut enregistrer un Enfant ;
  • les Contenus liés à un Enfant ne sont jamais rendus publics ni accessibles à des tiers en dehors de la Tribu ;
  • aucun profilage publicitaire, comportemental ou marketing n'est effectué, sur aucune donnée, à plus forte raison sur celles des Enfants ;
  • l'Éditeur s'engage à supprimer toute donnée d'Enfant à la première demande du titulaire de l'autorité parentale, sans motif ni délai injustifié.

6. Durée de conservation

Les données sont conservées tant que le compte est actif. À la suppression du compte par l'Utilisateur, les Contenus et les métadonnées associés sont effacés sous trente (30) jours, à l'exception :

  • des données de facturation Premium, conservées dix (10) ans conformément aux obligations comptables ;
  • des logs techniques de sécurité (connexions, tentatives échouées), conservés un (1) an pour répondre à d'éventuelles enquêtes ;
  • des copies de sauvegarde, purgées au plus tard sous quatre-vingt-dix (90) jours.

Si l'Utilisateur est le dernier Membre d'une Tribu lors de sa suppression de compte, la Tribu entière (et les données d'Enfants associées) est également supprimée, par cascade.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment d'un droit d'accès, de rectification, d'effacement, d'opposition, de limitation du traitement et de portabilité de vos données. Vous pouvez exercer ces droits :

  • directement depuis votre profil pour les opérations courantes (modifier, supprimer une donnée, supprimer le compte) ;
  • en nous écrivant à bonjour@kidyscope.fr pour les demandes plus complexes (portabilité, droit d'accès complet).

Vous avez également le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (www.cnil.fr) si vous estimez qu'un traitement vous concernant n'est pas conforme.

8. Sous-traitants et hébergement

Pour fournir le Service, l'Éditeur fait appel à des sous-traitants soigneusement sélectionnés, qui agissent uniquement sur instruction et dans le cadre d'un accord de traitement conforme à l'article 28 du RGPD :

  • Hébergement et infrastructure — serveurs loués auprès d'OVHcloud (OVH SAS, Roubaix, France), exclusivement situés dans des datacenters de l'Union européenne ;
  • Stockage des fichiers (photos, vidéos, audio) — service S3-compatible opéré sur la même infrastructure OVHcloud ;
  • Envoi des emails transactionnels — fournisseur SMTP basé en Union européenne ;
  • Notifications push — Google Firebase Cloud Messaging (FCM), service exploité par Google LLC. Le seul élément transmis est un identifiant technique d'appareil + le titre/corps de la notification (pas de contenu sensible) ;
  • Paiements Premium (le cas échéant) — Stripe Payments Europe Ltd. (Irlande).

La liste détaillée et à jour est disponible sur demande à bonjour@kidyscope.fr.

9. Transferts hors Union européenne

À l'exception de Google (FCM) et Stripe, dont certains traitements peuvent intervenir aux États-Unis, l'ensemble des données reste hébergé au sein de l'Union européenne. Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne et, le cas échéant, par le Data Privacy Framework (DPF) lorsque le sous-traitant y est certifié.

10. Sécurité

L'Éditeur met en œuvre des mesures techniques et organisationnelles adaptées :

  • chiffrement TLS de l'ensemble des transmissions ;
  • authentification passwordless : aucun mot de passe n'est stocké côté serveur (la classe d'attaque par fuite de hash mots de passe est éliminée par construction) ;
  • codes OTP à usage unique, valables 10 minutes, invalidés à chaque nouvelle demande ;
  • jetons d'authentification (JWT) signés et expirant automatiquement (90j) ; jetons de rafraîchissement révocables (180j) stockés sous forme de hash SHA-256 ;
  • cloisonnement strict des données par Tribu — un Utilisateur d'une Tribu A ne peut accéder à aucune donnée d'une Tribu B ;
  • sauvegardes régulières et chiffrées ;
  • journalisation des accès et tentatives suspectes.

11. Cookies et stockage local

Le Service n'utilise aucun cookie publicitaire ni cookie de tracking tiers. Seul un stockage local (localStorage du navigateur, ou stockage natif équivalent sur mobile) est utilisé pour conserver le jeton d'authentification de l'Utilisateur connecté ainsi que quelques préférences d'affichage. Ces données restent sur l'appareil de l'Utilisateur et ne sont jamais transmises à un tiers.

12. Modification de la politique

La présente politique peut évoluer pour refléter des évolutions du Service ou de la réglementation. Toute modification substantielle sera notifiée via l'application. La version courante est toujours accessible depuis le profil. L'Utilisateur a la possibilité, en cas de désaccord, de supprimer son compte sans frais ni délai.