Politique de confidentialité
Dernière mise à jour : 26 avril 2026
Cette politique explique quelles données Famzy collecte, pourquoi, et ce que vous pouvez en faire. Famzy s'adresse aux familles et aux cercles proches. Notre principe de base est simple : vos contenus vous appartiennent et ne sont jamais utilisés à des fins publicitaires.
1. Responsable du traitement
Famzy (le « Service ») est édité par [Raison sociale à compléter], joignable à hello@famzy.app. Nous agissons en tant que responsable du traitement au sens du Règlement Général sur la Protection des Données (RGPD).
2. Données que nous collectons
- Données de compte : adresse e-mail, mot de passe chiffré, nom affiché. Indispensables pour vous identifier.
- Contenus que vous créez : photos, recettes, événements, notes, messages, documents. Stockés de façon privée et accessibles uniquement aux membres de votre hub.
- Métadonnées techniques : adresse IP tronquée, type de navigateur, horodatages — utilisées pour la sécurité et la détection d'abus.
- Notifications push (avec votre consentement) : si vous activez les notifications dans votre navigateur, un identifiant d'abonnement push est associé à votre compte chez notre prestataire OneSignal pour vous envoyer rappels et mises à jour familiales.
- Mesures de performance (avec votre consentement) : temps de chargement des pages et signaux de stabilité, agrégés et anonymisés. Désactivés par défaut, activés uniquement après votre accord explicite via la bannière de cookies.
- Météo et citation du jour : les services tiers open-meteo.com (prévisions) et quotable.io(citation) sont interrogés via notre serveur, jamais directement depuis votre navigateur. Votre adresse IP ne leur est donc pas exposée. Les coordonnées géographiques transmises à open-meteo sont arrondies au kilomètre près et ne contiennent aucun identifiant Famzy. Voir la section 6 pour le détail.
3. Ce que nous ne faisons pas
- Aucune publicité, aucun pistage publicitaire.
- Aucun profilage à des fins commerciales.
- Aucune vente, aucune cession de vos données à des tiers.
- Aucun entraînement de modèles d'IA sur vos contenus.
- Aucun cookie tiers de marketing.
4. Bases légales
Nous traitons vos données sur la base de l'exécution du contrat de service (article 6.1.b du RGPD), de votre consentement (article 6.1.a) pour les mesures de performance et les notifications push, et de notre intérêt légitime (article 6.1.f) pour la sécurité et la prévention de la fraude.
5. Hébergement et localisation des données
Vos données de compte et vos contenus (photos, messages, recettes, événements, documents) sont hébergés dans l'Union européenne via Supabase (région Europe). Cela couvre la totalité de ce que vous créez dans Famzy.
Le service web est opéré par Vercel (réseau Edge mondial, fonctions serveur par défaut aux États-Unis). Les mesures d'audience anonymes que vous choisissez d'activer (PostHog) sont également traitées aux États-Unis. Tous ces transferts hors Union européenne sont couverts par les Clauses Contractuelles Types (CCT) de la Commission européenne.
En résumé : ce que vous publiez à votre famille reste en Europe ; ce que nous mesurons techniquement, avec votre accord, transite par les États-Unis sous garanties juridiques.
6. Sous-traitants et services tiers
Pour faire fonctionner Famzy, nous nous appuyons sur les services suivants. Chaque sous-traitant est tenu par un contrat conforme à l'article 28 du RGPD lorsque applicable. Aucun de ces services n'est utilisé à des fins publicitaires.
| Service | Finalité | Données partagées | Région |
|---|---|---|---|
| Supabase | Authentification, base de données, stockage de fichiers, temps réel | L'ensemble du compte et des contenus | UE |
| Vercel | Hébergement, CDN, fonctions serveur (Edge) | Adresse IP, en-têtes HTTP, journaux techniques | Mondial (Edge), É.-U. par défaut (CCT) |
| Resend | Envoi des e-mails transactionnels (invitations, confirmations) | Adresse e-mail, contenu du message | UE / É.-U. (CCT) |
| Upstash Redis | Limitation du débit (anti-abus) | Empreinte d'adresse IP, identifiant de session | UE |
| Axiom | Journaux d'erreurs côté serveur | Métadonnées d'erreur (URL, type, horodatage) | UE |
| OneSignal (consentement) | Notifications push web | Identifiant d'abonnement push, identifiant utilisateur Famzy | É.-U. (CCT) |
| PostHog (consentement) | Mesure d'audience produit anonymisée — chargement de page, parcours dans l'application, événements anonymes. Aucun enregistrement de session. | Identifiant anonyme, page consultée, événements de produit | É.-U. (CCT) |
| open-meteo.com (via notre serveur) | Prévisions météo et géocodage des villes | Coordonnées arrondies au km, nom de ville recherché. Pas votre IP. | UE |
| OpenStreetMap (Nominatim) (via notre serveur) | Géocodage inverse pour le bouton « Ma position » | Coordonnées arrondies au km. Pas votre IP. | UE |
| quotable.io (via notre serveur) | Citation inspirante du jour | Aucune donnée utilisateur. Pas votre IP. | É.-U. |
Les services marqués (consentement) ne sont chargés qu'après votre accord explicite via la bannière de cookies. Vous pouvez retirer votre consentement à tout moment depuis cette même bannière (lien dans le pied de page).
La liste des sous-traitants peut évoluer. Toute modification substantielle vous sera notifiée avant son entrée en vigueur.
7. Durée de conservation
Vos contenus sont conservés tant que votre compte est actif. Si vous supprimez votre compte, vos données personnelles sont anonymisées dans un délai de 30 jours, sauf obligations légales contraires (facturation, prévention de la fraude). Les abonnements push associés sont supprimés chez OneSignal en même temps.
8. Vos droits
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité prévus par le RGPD. Pour les exercer, écrivez-nous à hello@famzy.app. Vous pouvez également introduire une réclamation auprès de la CNIL ( cnil.fr).
9. Cookies et stockage local
Famzy utilise par défaut uniquement des cookies strictement nécessaires (authentification, préférence de thème et de langue). Tout traitement supplémentaire — mesures de performance, mesure d'audience PostHog et notifications push OneSignal — n'est activé qu'après votre consentement explicite via la bannière dédiée. Vous pouvez retirer ce consentement à tout moment : les services concernés cessent immédiatement d'envoyer des données.
10. Sécurité
Vos données sont chiffrées en transit (TLS) et au repos. Les accès techniques sont strictement limités. Nous publierons les incidents de sécurité matériels conformément à la réglementation.
11. Modifications
Cette politique peut évoluer. Toute modification matérielle vous sera notifiée par e-mail ou dans l'application avant son entrée en vigueur.
Cette politique est un document de travail. Elle doit être relue par un conseil juridique avant publication finale, en particulier les références aux régions des sous-traitants et aux clauses contractuelles types (CCT) lorsque des transferts hors UE sont en jeu.