Politique de confidentialité
La présente Politique de confidentialité décrit la manière dont le site My Horizon Sky, accessible à l'adresse https://www.myhorizonsky.fr, collecte, utilise et protège les données personnelles de ses utilisateurs, conformément au Règlement général sur la protection des données (RGPD — règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
Alexandre RIERA — Entrepreneur Individuel
- Adresse : 309, rue des Bécasses — 38920 Crolles, France
- SIRET : 511 918 807 00039
- Email de contact : contact@myhorizonsky.fr
Compte tenu de la nature et du volume des traitements effectués (inférieurs aux seuils du RGPD imposant cette désignation), aucun délégué à la protection des données (DPO) n'a été désigné. Toute demande relative à vos données personnelles peut être adressée directement à l'adresse électronique ci-dessus.
2. Données collectées et finalités
Les seules données personnelles collectées par My Horizon Sky sont les suivantes :
| Donnée | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Adresse e-mail | Création et identification du compte, récupération de mot de passe, communications transactionnelles | Exécution du contrat (art. 6.1.b RGPD) | Jusqu'à suppression du compte par l'utilisateur, ou 3 ans après la dernière connexion |
| Mot de passe (hashé, jamais stocké en clair) | Authentification | Exécution du contrat | Idem |
| Sites favoris (nom, latitude, longitude) renseignés volontairement par l'utilisateur | Permettre à l'utilisateur de retrouver rapidement ses lieux d'observation | Exécution du contrat | Idem |
Identifiant client Stripe (stripe_customer_id) |
Suivi des paiements et activation des fonctionnalités Premium | Exécution du contrat + obligation comptable | 10 ans (obligations fiscales et comptables — art. L. 123-22 du Code de commerce) |
| Date d'inscription, date de dernière connexion | Sécurité du compte, lutte contre la fraude | Intérêt légitime du responsable de traitement (art. 6.1.f RGPD) | 3 ans après la dernière connexion |
| Coordonnées GPS saisies pour le calcul d'une carte du ciel ou d'un profil d'horizon | Génération de la carte demandée | Exécution du service | Non conservées au-delà du temps de génération du résultat. Seul le profil d'horizon calculé est mis en cache, sans lien avec un compte utilisateur. |
My Horizon Sky n'utilise aucun outil de mesure d'audience tiers (Google Analytics, Matomo, Plausible, etc.), aucun pixel publicitaire, aucun bouton de partage social, aucun cookie tiers.
Aucun profilage n'est mis en œuvre. Aucune décision automatisée produisant des effets juridiques sur les personnes concernées n'est prise sur la base de leurs données.
3. Cookies et traceurs
Le site n'utilise que des cookies strictement nécessaires à son fonctionnement, exemptés du recueil du consentement préalable conformément à la délibération n° 2020-091 de la CNIL :
| Cookie | Finalité | Durée |
|---|---|---|
PHPSESSID (ou équivalent) |
Identification de la session de l'utilisateur connecté | Session navigateur |
| Jeton CSRF | Protection contre les attaques par requêtes inter-sites | Session navigateur |
| Cookies posés par Stripe lors du parcours de paiement | Sécurisation de la transaction sur la plateforme Stripe | Définis par Stripe |
Aucun bandeau de consentement aux cookies n'est requis pour le fonctionnement de base du site. En cas d'évolution future ajoutant des outils nécessitant un consentement (mesure d'audience, publicité, etc.), la présente politique sera mise à jour et un mécanisme de recueil du consentement conforme à la CNIL sera mis en place.
4. Destinataires des données
Les données personnelles sont accessibles exclusivement par le responsable de traitement (Alexandre RIERA). Elles peuvent être transmises à un nombre limité de sous-traitants techniques, agissant sur instructions documentées du responsable de traitement et présentant les garanties suffisantes au regard du RGPD :
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| Hetzner Online GmbH (Falkenstein / Nuremberg, Allemagne) | Hébergement web et base de données | Toutes les données stockées (compte, favoris, identifiants Stripe, historique des achats) | Allemagne (UE) |
| O2SWITCH SAS (Clermont-Ferrand, France) | Acheminement des e-mails transactionnels (MX) | Adresse e-mail des destinataires | France (Clermont-Ferrand) |
| Stripe Payments Europe, Limited (Dublin, Irlande) | Traitement des paiements en ligne | Email, identifiant client Stripe, données de paiement (carte bancaire — non transmises au responsable de traitement) | Union européenne, avec sous-traitance ultérieure éventuelle aux États-Unis (cf. § 5) |
| Sentry GmbH (Frankfurt, Allemagne) | Supervision technique (collecte des erreurs applicatives) | E-mail de l'utilisateur authentifié + métadonnées techniques (URL appelée, user-agent, stack PHP) lors d'une erreur serveur | Allemagne (UE) — durée de rétention : 90 jours |
| Backblaze, Inc. (région EU Central — Amsterdam, Pays-Bas) | Sauvegardes chiffrées de la base de données | L'intégralité des données contenues dans la base, chiffrement côté serveur SSE-B2, rotation GFS (7 sauvegardes quotidiennes + 4 hebdomadaires + 12 mensuelles) | Pays-Bas (UE) |
Aucune donnée n'est cédée, vendue, ou louée à des tiers à des fins commerciales ou marketing.
5. Transferts hors Union européenne
Stripe Payments Europe, dont le siège est en Irlande (UE), peut être amené à transférer une partie des données techniques vers sa maison-mère Stripe, Inc. établie aux États-Unis, dans le cadre du traitement technique des paiements et de la lutte contre la fraude.
Ces transferts sont encadrés par :
- les clauses contractuelles types approuvées par la Commission européenne (décision d'exécution UE 2021/914) ;
- l'inscription de Stripe, Inc. au Data Privacy Framework UE — États-Unis, mécanisme reconnu par décision d'adéquation de la Commission européenne du 10 juillet 2023.
Le détail de ces engagements est consultable sur la page « Privacy » de Stripe : https://stripe.com/fr/privacy.
6. Sécurité des données
Le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :
- chiffrement systématique des communications par TLS (HTTPS) ;
- stockage des mots de passe sous forme de hash cryptographique non réversible (algorithme conforme aux recommandations actuelles de la CNIL et de l'ANSSI) ;
- isolation de la base de données derrière les pare-feux de l'hébergeur ;
- transmission des données de paiement directement à Stripe sans transit ni stockage par le responsable de traitement (modèle « PCI-DSS SAQ A » de niveau de risque le plus faible) ;
- sauvegardes régulières chiffrées ;
- principe du moindre privilège pour les accès administratifs.
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des utilisateurs, le responsable de traitement notifiera la CNIL dans un délai de soixante-douze (72) heures, et informera les utilisateurs concernés conformément aux articles 33 et 34 du RGPD.
7. Droits des utilisateurs
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie ;
- Droit de rectification : faire corriger toute donnée inexacte ou incomplète ;
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation (notamment comptables) ;
- Droit à la limitation du traitement ;
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit d'opposition au traitement fondé sur l'intérêt légitime ;
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
Pour exercer l'un de ces droits, adressez votre demande accompagnée d'un justificatif d'identité à : contact@myhorizonsky.fr.
Le responsable de traitement répond à toute demande recevable dans un délai d'un (1) mois à compter de sa réception, conformément à l'article 12 du RGPD. Ce délai peut être prolongé de deux mois en cas de complexité particulière, auquel cas l'utilisateur en sera informé.
8. Suppression du compte utilisateur
L'utilisateur peut à tout moment demander la suppression de son compte par courrier électronique à contact@myhorizonsky.fr. La suppression entraîne :
- l'effacement immédiat de l'adresse e-mail, du mot de passe hashé, des sites favoris et des préférences ;
- la conservation pendant la durée légale (10 ans) des seules données nécessaires aux obligations comptables liées aux achats effectués (numéro de transaction, montant, date) ;
- l'irréversibilité de l'opération : un nouveau compte créé ultérieurement avec la même adresse e-mail ne donnera pas droit à récupération des données précédemment supprimées.
9. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits relatifs à vos données personnelles ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3, Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- Site web : https://www.cnil.fr
10. Modifications de la présente politique
La présente Politique de confidentialité peut être mise à jour à tout moment, notamment pour refléter une évolution de la législation ou des outils techniques utilisés par le service. Toute modification substantielle fera l'objet d'une information par e-mail aux titulaires d'un compte. La date de dernière mise à jour figure en haut du présent document.