Politique de Confidentialité
Dernière mise à jour : mai 2026
Tronche! accorde la plus grande importance à la protection de vos données personnelles. Cette politique de confidentialité décrit les données que nous collectons, comment nous les utilisons, et vos droits conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679).
1. Responsable du traitement
L'entité juridique en charge des traitements est :
- Karl Cosse — entrepreneur individuel (micro-entreprise)
- Adresse : 10 chemin de la Sablière, 33650 Saucats
- SIRET : 512 678 822 00044
- Contact : [email protected]
Tronche! exerce deux rôles RGPD distincts selon la catégorie de données :
- Responsable du traitement pour : compte utilisateur, achats IAP, logs de sécurité et données techniques (cf. §2).
- Sous-traitant au sens de l'article 28 RGPD pour : les photos collectées via les galeries d'événements. Le responsable du traitement de ces photos est l'organisateur de l'événement (titulaire du compte qui a créé l'événement), conformément aux CGU §4.
2. Données collectées
| Catégorie | Données | Base légale | Durée de conservation |
|---|---|---|---|
| Compte utilisateur | Adresse email, mot de passe hashé | Exécution du contrat | Durée du compte + 30 jours après suppression |
| Événements | Prénoms des mariés, date, paramètres de l'événement | Exécution du contrat | Durée du compte + suppression à expiration de la galerie |
| Photos | Fichiers image (EXIF strippé), métadonnées (date, taille) | Exécution du contrat | 30 jours (plan Gratuit) à 90 jours (plan Premium), prolongeable par extensions cumulatives ; +30 jours de grâce après expiration avant effacement définitif |
| Emails invités | Adresse email des destinataires de photos | Consentement explicite (voir §3) | 30 jours après envoi, puis suppression automatique |
| Logs serveur | IP, user-agent, horodatage des requêtes | Intérêt légitime (sécurité, prévention des abus) | 30 jours |
| Données techniques (OS, version OS, version app) | Type OS, version OS, version application | Intérêt légitime (diagnostic, qualité de service) | Durée de vie du compte |
| Achats (IAP) | Identifiant de transaction Apple/Google, montant, devise, date | Exécution du contrat + obligation légale (comptabilité) | 10 ans (art. L123-22 Code de commerce) |
Données techniques
Pour assurer la qualité de service et le diagnostic, l'application transmet à chaque changement :
- Le type de système d'exploitation (iOS ou Android) ;
- La version du système d'exploitation ;
- La version de l'application Tronche!.
Ces informations sont des données techniques : elles ne contiennent aucune donnée personnelle directe (pas d'identifiant device, pas d'IMEI, pas de localisation). Elles permettent de diagnostiquer les incidents et d'adapter les fonctionnalités selon les capacités OS.
3. Emails des invités — consentement et utilisation
Les emails des invités sont collectés uniquement pour l'envoi d'une photo spécifique, à la demande explicite de la personne photographiée.
Le participant au photobooth saisit lui-même son adresse email sur l'application pour recevoir sa photo. Cet email :
- Est utilisé exclusivement pour envoyer la photo demandée
- N'est jamais utilisé à des fins marketing ou commerciales
- N'est pas transmis à des tiers
- Est automatiquement supprimé 30 jours après l'envoi
Le message email envoyé contient une mention claire indiquant que l'adresse a été utilisée uniquement pour cet envoi.
4. Traitement des photos et EXIF
Lors de l'upload, les métadonnées EXIF des photos (qui peuvent contenir des informations de localisation GPS, données de l'appareil, etc.) sont automatiquement supprimées par notre traitement. Seules les données visuelles de la photo sont conservées.
5. Suppression des photos
Lorsque vous supprimez une photo, elle est immédiatement masquée de votre galerie et de celle des autres invités. Pour vous permettre de revenir sur une suppression accidentelle, la photo reste techniquement conservée pendant 7 jours sur nos serveurs avant son effacement définitif et irréversible. Pendant cette période, seul le super-administrateur Tronche peut accéder à la photo, exclusivement pour des raisons de support technique en cas de demande explicite de votre part.
6. Hébergement et transferts
Les données sont hébergées sur un serveur VPS Hostinger situé en France (Paris, Île-de-France). L'ensemble du traitement des données par Tronche! et ses sous-traitants s'effectue au sein de l'Union Européenne (voir §7 pour la liste des sous-traitants).
Le service d'envoi d'emails Resend (resend.com) est utilisé pour l'envoi des photos et des emails transactionnels (vérification, notifications). Bien que Resend Inc. soit une société de droit américain, l'infrastructure de traitement des emails se trouve en Irlande (région eu-west-1). Un contrat de sous-traitance (DPA) conforme au RGPD encadre ce traitement.
7. Partage des données
Nous ne vendons, ne louons et ne cédons pas vos données personnelles à des tiers. Les données peuvent être partagées avec :
- Resend (envoi d'emails) : adresse email destinataire + corps de l'email contenant un lien sécurisé vers la photo (la photo elle-même n'est pas transmise à Resend) — traitement en Irlande
- Apple App Store (achats iOS) : identifiant de transaction et montant — Apple Distribution International Ltd, Irlande
- Google Play Store (achats Android) : identifiant de transaction et montant — Google Ireland Limited
- Autorités compétentes : en cas d'obligation légale uniquement
8. Visibilité des galeries
Chaque galerie d'événement est accessible via un lien de partage contenant un code unique de 20 caractères. L'organisateur peut configurer la visibilité de sa galerie :
- Galerie publique (par défaut) : toute personne disposant du lien peut consulter et télécharger les photos, sans authentification.
- Galerie privée : seul l'organisateur (titulaire du compte, authentifié) peut accéder aux photos via le lien. Le lien ne fonctionne pas pour les autres visiteurs.
L'organisateur est responsable du choix de la visibilité et du contrôle de la diffusion du lien de partage.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles en nous contactant à [email protected] (export au format JSON sous 30 jours)
- Droit de rectification : corriger vos données via les paramètres du compte dans l'application
- Droit à l'effacement : supprimer votre compte depuis les paramètres (suppression effective sous 30 jours)
- Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé (JSON)
- Droit d'opposition : vous opposer à certains traitements fondés sur l'intérêt légitime en nous contactant
- Droit à la limitation : demander la limitation d'un traitement contesté
- Droit de retrait du consentement : pour les traitements fondés sur le consentement (notamment l'envoi d'emails à des invités), à tout moment et sans effet rétroactif sur les traitements déjà effectués
10. Exercice de vos droits
Pour exercer vos droits, contactez-nous à : [email protected]
Nous répondrons dans un délai maximum de 30 jours. Vous avez également le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
11. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Mots de passe hashés avec bcrypt (coût 10)
- Communications chiffrées via HTTPS/TLS
- Tokens JWT à durée limitée (24 heures pour les tokens d'accès, renouvelables via refresh token)
- Suppression automatique des EXIF des photos
- Accès aux données limité au strict nécessaire
12. Cookies
L'interface web de Tronche! (notamment l'espace administrateur) utilise uniquement des cookies techniques strictement nécessaires à son fonctionnement :
- admin_token : jeton de session court (24 heures), HttpOnly, SameSite=Strict
- admin_refresh : jeton de renouvellement de session (90 jours), HttpOnly, SameSite=Strict
Aucun cookie de tracking, de publicité ou d'analyse comportementale (Google Analytics, Plausible, Matomo, etc.) n'est déposé. L'application mobile native ne dépose pas de cookies.
13. Notification de violation de données
En cas de violation de données personnelles présentant un risque pour les droits et libertés des utilisateurs, Tronche! s'engage à :
- Notifier la CNIL dans un délai maximum de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD ;
- Informer les utilisateurs concernés dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé, conformément à l'article 34 du RGPD.
14. Modifications
Cette politique peut être mise à jour. Les utilisateurs seront informés par email des changements significatifs. La date de dernière mise à jour est indiquée en haut de page.