Le responsable du traitement des données personnelles, au sens de l'article 4(7) du Règlement (UE) 2016/679 (RGPD), est [Nom Prénom], entrepreneur individuel, éditeur du service ShiroBrain. Adresse : [Adresse à compléter], [Ville à compléter]. Email : contact@shirobrain.com. Le présent document décrit les données personnelles collectées, les finalités et bases légales du traitement, la durée de conservation, les destinataires et les droits dont dispose l'utilisateur conformément au RGPD et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ». Aucun Délégué à la Protection des Données (DPO) n'a été désigné, la taille de l'organisme et la nature des traitements ne l'exigeant pas (art. 37 RGPD).
ShiroBrain collecte et traite les catégories de données suivantes, dans le respect du principe de minimisation (art. 5(1)(c) RGPD) : données d'identification (nom complet, adresse email, photo de profil issue du fournisseur OAuth le cas échéant), données d'authentification (mot de passe hashé par algorithme bcrypt, identifiants OAuth Google/Discord — ShiroBrain n'a jamais accès aux mots de passe en clair), données de profil (pseudonyme, adresse postale, fuseau horaire, mode d'utilisation classique ou musulman), données d'utilisation (tâches, post-its, événements de calendrier, configuration d'automatisation, préférences d'interface), données de paiement (traitées exclusivement par Stripe Inc. — ShiroBrain ne collecte, ne stocke et n'a accès à aucun numéro de carte bancaire, CVV ou donnée bancaire sensible), données de connexion Google Calendar (tokens d'accès et de rafraîchissement OAuth, stockés en base de données avec accès restreint), et données techniques (adresse IP, type et version de navigateur, système d'exploitation, logs d'erreur à des fins de diagnostic).
Chaque traitement de données repose sur une base légale identifiée conformément à l'article 6 du RGPD : (1) Fourniture et fonctionnement du Service — base légale : exécution du contrat (art. 6(1)(b)), (2) Gestion des abonnements et paiements — base légale : exécution du contrat (art. 6(1)(b)), (3) Synchronisation avec Google Calendar — base légale : consentement explicite de l'utilisateur (art. 6(1)(a)), révocable à tout moment depuis les Paramètres, (4) Envoi d'emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications d'abonnement) — base légale : exécution du contrat (art. 6(1)(b)), (5) Amélioration du Service, correction des bugs et sécurité — base légale : intérêt légitime de ShiroBrain (art. 6(1)(f)), (6) Respect des obligations légales (facturation, lutte contre la fraude) — base légale : obligation légale (art. 6(1)(c)). ShiroBrain ne procède à aucun profilage, aucune prise de décision automatisée au sens de l'article 22 du RGPD, et ne vend, ne loue et ne partage aucune donnée personnelle à des tiers à des fins commerciales ou publicitaires.
ShiroBrain fait appel aux sous-traitants suivants, conformément à l'article 28 du RGPD : Supabase Inc. (hébergement base de données PostgreSQL et service d'authentification — serveurs situés dans l'Union Européenne, région eu-west), Vercel Inc. (hébergement frontend et réseau CDN — société américaine, transferts encadrés par le EU-US Data Privacy Framework et les clauses contractuelles types de la Commission Européenne), Stripe Inc. (traitement des paiements — certifié PCI-DSS Level 1, société américaine participant au EU-US Data Privacy Framework), Google LLC (API Google Calendar — uniquement pour les utilisateurs ayant explicitement activé la synchronisation, transferts encadrés par le EU-US Data Privacy Framework). Chaque sous-traitant est contractuellement tenu de traiter les données uniquement selon les instructions de ShiroBrain et de garantir un niveau de protection conforme au RGPD. La liste des sous-traitants peut être mise à jour ; toute modification substantielle sera communiquée aux utilisateurs.
Les durées de conservation sont déterminées en fonction de la finalité du traitement, conformément au principe de limitation de la conservation (art. 5(1)(e) RGPD) : données de compte et d'utilisation — pendant toute la durée d'utilisation du Service, puis 90 jours après la suppression du compte ou la fin de l'abonnement (pour permettre la réactivation ou l'export des données), données de facturation (côté Stripe) — 10 ans conformément aux obligations légales comptables et fiscales (art. L123-22 du Code de commerce), tokens Google Calendar — supprimés immédiatement en cas de déconnexion volontaire par l'utilisateur ou de révocation depuis Google, logs techniques et données de diagnostic — 12 mois maximum, données d'essai gratuit non converti — 90 jours après la fin de l'essai, puis suppression. À l'issue des durées de conservation, les données sont supprimées de manière définitive ou anonymisées de manière irréversible.
Conformément à l'article 32 du RGPD, ShiroBrain met en œuvre des mesures techniques et organisationnelles appropriées au regard des risques pour protéger les données personnelles : chiffrement de toutes les communications via HTTPS/TLS, mots de passe hashés via l'algorithme bcrypt avec sel unique (Supabase Auth — aucun mot de passe en clair n'est jamais stocké ni accessible), tokens d'accès Google stockés en base de données avec accès restreint par Row-Level Security (RLS), isolation des données entre utilisateurs au niveau de la base de données via RLS Supabase, protection CSRF et validation d'état sur les flux OAuth, aucun stockage de données bancaires sensibles (intégralement délégué à Stripe, certifié PCI-DSS), sauvegardes régulières de la base de données avec chiffrement, accès aux serveurs limité aux seules personnes habilitées.
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, ShiroBrain notifiera la CNIL dans un délai de 72 heures après en avoir pris connaissance. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des utilisateurs, ShiroBrain en informera directement les personnes concernées dans les meilleurs délais par email, en décrivant la nature de la violation, les conséquences probables, et les mesures prises pour y remédier.
ShiroBrain utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service, exemptés de consentement conformément à l'article 5(3) de la directive 2002/58/CE (directive ePrivacy) et aux recommandations de la CNIL : cookies de session d'authentification (Supabase Auth — indispensables à la connexion), cookie de préférence de langue (NEXT_LOCALE — nécessaire à l'affichage dans la langue choisie), cookie de préférence de thème (dark/light — nécessaire au rendu visuel choisi par l'utilisateur). ShiroBrain n'utilise aucun cookie publicitaire, aucun cookie de mesure d'audience, aucun traceur tiers, aucun pixel de suivi, et aucun outil d'analytics. Aucune donnée de navigation n'est transmise à des tiers.
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, l'utilisateur dispose des droits suivants sur ses données personnelles : droit d'accès (art. 15 RGPD) — obtenir la confirmation que des données sont traitées et en recevoir une copie, droit de rectification (art. 16 RGPD) — faire corriger des données inexactes ou compléter des données incomplètes, droit à l'effacement (art. 17 RGPD) — demander la suppression de son compte et de l'ensemble de ses données, droit à la portabilité (art. 20 RGPD) — recevoir ses données dans un format structuré, couramment utilisé et lisible par machine (JSON), droit d'opposition (art. 21 RGPD) — s'opposer au traitement fondé sur l'intérêt légitime pour des raisons tenant à sa situation particulière, droit à la limitation (art. 18 RGPD) — demander la restriction du traitement dans les cas prévus par le RGPD, droit de retrait du consentement — retirer à tout moment le consentement donné pour la synchronisation Google Calendar, sans que cela n'affecte la licéité du traitement effectué avant le retrait. Pour exercer ces droits, l'utilisateur peut envoyer sa demande par email à contact@shirobrain.com en joignant une preuve d'identité si nécessaire. ShiroBrain s'engage à répondre dans un délai maximum de 30 jours (prolongeable de 60 jours en cas de complexité, avec information de l'utilisateur). En cas d'insatisfaction quant à la réponse ou au traitement de ses données, l'utilisateur peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
La connexion à Google Calendar est entièrement optionnelle et repose sur le consentement explicite de l'utilisateur (art. 6(1)(a) RGPD), donné via le flux d'autorisation OAuth 2.0 de Google. ShiroBrain demande l'accès aux scopes suivants : « calendar » et « calendar.events », permettant exclusivement la lecture et l'écriture d'événements dans le calendrier de l'utilisateur. Les tokens d'accès et de rafraîchissement sont utilisés exclusivement pour synchroniser les événements entre ShiroBrain et Google Calendar. Aucune autre donnée du compte Google n'est accédée (contacts, emails, fichiers, etc.). L'utilisateur peut retirer son consentement et révoquer l'accès à tout moment : depuis les Paramètres de son compte ShiroBrain (déconnexion Google Calendar), ou depuis les paramètres de sécurité de son compte Google (https://myaccount.google.com/permissions). La révocation entraîne la suppression immédiate des tokens stockés. ShiroBrain respecte intégralement la Google API Services User Data Policy, incluant les exigences de Limited Use (utilisation limitée aux fonctionnalités pour lesquelles l'utilisateur a donné son accord).
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, ShiroBrain est accessible aux mineurs âgés de 16 ans et plus. Pour les utilisateurs âgés de 16 à 18 ans, l'inscription vaut déclaration que le titulaire de l'autorité parentale a été informé et a consenti à l'utilisation du Service et au traitement des données. ShiroBrain ne collecte pas sciemment de données de mineurs de moins de 16 ans. Si ShiroBrain prend connaissance qu'un mineur de moins de 16 ans a créé un compte, celui-ci sera supprimé dans les meilleurs délais ainsi que l'ensemble des données associées.
ShiroBrain se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. En cas de modification substantielle affectant les droits des utilisateurs, les finalités de traitement ou les catégories de données collectées, les utilisateurs seront informés par email ou par notification dans l'application au moins 30 jours avant l'entrée en vigueur des modifications. La poursuite de l'utilisation du Service après la date d'entrée en vigueur vaut acceptation de la nouvelle politique. Si l'utilisateur n'accepte pas les modifications, il peut supprimer son compte et demander l'effacement de ses données. La version en vigueur est toujours accessible à l'adresse shirobrain.com/legal/privacy. Un historique des versions précédentes peut être obtenu sur demande à contact@shirobrain.com.
ShiroBrain — Tous droits réservés © 2025-2026