← Retour

Politique de confidentialité

Dernière mise à jour : 7 mai 2026

Cette politique décrit les données personnelles collectées par OtterTime (https://ottertime.frenchotters.com) — application calendrier partagé disponible sur web, iOS et Android — et la façon dont elles sont utilisées, stockées et protégées. OtterTime est édité par Pierre Delage, joignable à pierre24.delage@gmail.com.

1. Données collectées

1.1 Informations de compte

  • Adresse email — utilisée comme identifiant de connexion.
  • Mot de passe — stocké uniquement sous forme hachée (bcrypt via GoTrue/Supabase Auth), jamais en clair.
  • Prénom ou pseudonyme (« display name ») — saisi à l’inscription, affiché aux co-membres de tes calendriers partagés.
  • Photo de profil (avatar) — facultative. Si tu en téléverses une, elle est redimensionnée à 256×256 px côté client puis stockée sur notre infrastructure (cf. § 3).

1.2 Contenu que tu crées

  • Calendriers (nom, couleur) — par défaut deux calendriers « Perso » et « Travail » sont créés à l’inscription.
  • Événements (titre, dates de début/fin, lieu, description, récurrence) et leurs tags et rappels.
  • Préférences d’affichage (thème clair/sombre, accent de couleur, source de couleur des events).

1.3 Partage de calendriers

Lorsque tu invites un autre utilisateur à un calendrier, son email (s’il est déjà inscrit) est utilisé pour le retrouver. Aucun email d’invitation externe n’est envoyé : la personne voit l’invitation dans son onglet notifications de l’app.

1.4 Notifications push (mobile uniquement)

Si tu actives les notifications, un jeton push Expo propre à ton appareil est stocké pour t’envoyer les rappels d’événements. Ce jeton est lié à ton compte et au device et est supprimé si tu désinstalles l’app ou révoques la permission.

1.5 Données techniques

Cookies de session pour te garder connecté (web) ou stockage sécurisé du token (Keychain iOS / Keystore Android côté mobile). Aucun cookie de tracking, aucun outil d’analytics tiers (Google Analytics, Meta Pixel, etc.).

2. Pourquoi ces données

  • Authentification et persistance de session (email, mot de passe haché).
  • Fonctionnement du calendrier (events, tags, rappels, préférences).
  • Partage entre utilisateurs (display name, avatar, email pour rechercher un compte).
  • Envoi des notifications push (jeton Expo + offsets de rappel).

OtterTime n’utilise pas tes données à des fins publicitaires, ne fait pas de profilage, et ne les vend à aucun tiers.

3. Où et comment tes données sont stockées

OtterTime est hébergé sur une infrastructure Supabase self-hosted (Postgres + GoTrue + Storage), opérée sur un serveur dédié situé en Union européenne. L’API publique est servie via https://ottertime-api.frenchotters.com en HTTPS (TLS 1.2+).

  • Postgres — données relationnelles (profils, events, tags…). Chaque table est protégée par des règles Row-Level-Security : tu ne peux lire/écrire que ce qui t’appartient ou les calendriers dont tu es membre accepté.
  • Supabase Storage — fichiers d’avatar uniquement. Bucket public-read mais write strictement réservé au propriétaire du dossier {user_id}/.
  • Mots de passe — jamais stockés en clair, hachés via bcrypt côté GoTrue.
  • Pas de SMTP en production : aucun email transactionnel n’est envoyé. Toute communication passe par les notifications in-app.

4. Sous-traitants (data processors)

Pour fonctionner, OtterTime repose sur :

  • Apple Push Notification Service (APNs) et Firebase Cloud Messaging (FCM), via Expo Push API (https://exp.host) — pour livrer les notifications push mobile. Aucune donnée personnelle au-delà du jeton push et du contenu de la notification (titre de l’événement) n’est transmise.
  • App Store Connect (Apple) et Google Play Console (Google) — pour la distribution et les statistiques techniques de l’app mobile (téléchargements, crashs anonymes via les SDK natifs des stores).

Aucun autre tiers n’a accès à tes données.

5. Durée de conservation

  • Compte actif — tes données sont conservées tant que ton compte existe.
  • Suppression de compte — toutes tes données personnelles (profil, calendriers, events, tags, rappels, jetons push) sont effacées immédiatement par CASCADE depuis la table auth.users.
  • Logs serveur — conservés 30 jours maximum, à des fins de diagnostic (erreurs, sécurité).

6. Tes droits (RGPD)

Conformément au Règlement Général sur la Protection des Données, tu disposes des droits suivants :

  • Accès — savoir quelles données on a sur toi.
  • Rectification — modifier ton display name, ton avatar, ton email, ton mot de passe directement dans Settings.
  • Effacement — supprimer ton compte (et tout son contenu) sur demande à pierre24.delage@gmail.com.
  • Portabilité — recevoir l’export de tes events au format ouvert.
  • Retrait du consentement — désactiver les notifications push depuis les réglages iOS/Android.
  • Réclamation — adresser une plainte à la CNIL si tu considères que tes droits ne sont pas respectés ( cnil.fr).

7. Sécurité

  • Toutes les communications sont chiffrées en HTTPS (TLS).
  • Mots de passe hachés (bcrypt). Pour changer ton mot de passe, ton mot de passe actuel est revérifié à chaque fois, pour bloquer un attaquant qui n’aurait que ton cookie de session.
  • Accès aux données via Row-Level Security : impossible d’accéder aux données d’un autre utilisateur même en cas de bug applicatif.
  • Côté mobile, le jeton de session est stocké dans le Keychain (iOS) ou Keystore (Android), pas dans une zone accessible par d’autres apps.

8. Enfants

OtterTime n’est pas destiné aux enfants de moins de 13 ans (16 ans dans certains pays de l’UE). Si tu es parent et que ton enfant a créé un compte, contacte-nous pour le supprimer.

9. Modifications

Cette politique peut évoluer. Toute modification sera publiée sur cette page avec la date mise à jour. En cas de changement significatif, une notification in-app sera affichée à ta prochaine connexion.

10. Contact

Pour toute question, demande d’accès, de rectification ou d’effacement : pierre24.delage@gmail.com.