Politique de confidentialité

Dernière mise à jour : 28 mars 2026

1. Introduction

La présente politique de confidentialité décrit comment SnapTicketApi (ci-après « nous », « notre » ou « le Service »), édité par Pierre-Alain Pétrel, collecte, utilise, stocke et protège vos données personnelles lorsque vous utilisez notre application mobile, notre site web snapticket.eu et nos services associés.

Nous nous engageons à protéger votre vie privée conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

En utilisant le Service, vous acceptez les pratiques décrites dans la présente politique. Si vous n'acceptez pas cette politique, veuillez ne pas utiliser le Service.

2. Responsable du traitement

  • Responsable : Pierre-Alain Pétrel
  • Statut : En cours de création d'entreprise
  • Email : dpo@snapticket.eu
  • Adresse : Communiquée sur demande

Pour toute question relative à la protection de vos données, vous pouvez nous contacter à l'adresse ci-dessus.

3. Données personnelles collectées

3.1. Données de compte utilisateur

Lors de la création de votre compte, nous collectons :

  • Prénom et nom
  • Adresse email
  • Mot de passe (stocké sous forme chiffrée irréversible)
  • Identifiant d'appareil (device ID) pour l'application mobile
  • Langue et fuseau horaire préférés

Utilisation anonyme : Vous pouvez utiliser l'application sans fournir d'email ni de données nominatives. Dans ce cas, seul un identifiant d'appareil est collecté.

3.2. Données liées à l'authentification tierce (OAuth)

Si vous choisissez de vous connecter via Google ou Apple, nous recevons :

  • Votre identifiant unique chez le fournisseur
  • Votre adresse email (si autorisée par le fournisseur)
  • Un jeton d'accès (stocké sous forme chiffrée)

Nous ne recevons jamais votre mot de passe de ces services.

3.3. Données de tickets et justificatifs

Lorsque vous utilisez le Service pour gérer vos tickets, nous collectons et traitons :

  • Photographies de vos tickets de caisse et justificatifs
  • Données extraites par reconnaissance optique de caractères (OCR) : montants, dates, noms de commerçants
  • Catégories, notes et informations que vous saisissez manuellement
  • Devise des transactions

Important : Vos tickets peuvent contenir des données sensibles (numéros de carte partiels, adresses de magasins, habitudes d'achat). En les scannant, vous consentez à leur traitement par nos systèmes et sous-traitants de reconnaissance optique.

3.4. Données de préférences

  • Thème d'affichage (clair/sombre)
  • Préférences de notification
  • Pays, devise et langue par défaut
  • Nom et logo de votre entreprise (si renseignés pour les exports)

3.5. Données de navigation et techniques

  • Adresse IP
  • Type de navigateur et système d'exploitation (user agent)
  • Données de session et cookies techniques
  • Pages visitées et interactions sur le site web

3.6. Données d'inscription à la beta

  • Prénom et adresse email
  • Adresse IP et user agent au moment de l'inscription

4. Finalités et bases légales du traitement

Finalité Base légale (RGPD)
Création et gestion de votre compte Exécution du contrat (art. 6.1.b)
Scan, stockage et organisation de vos tickets Exécution du contrat (art. 6.1.b)
Reconnaissance optique (OCR) des tickets Exécution du contrat (art. 6.1.b)
Export de vos données (PDF, CSV) Exécution du contrat (art. 6.1.b)
Envoi d'emails transactionnels (vérification, réinitialisation) Exécution du contrat (art. 6.1.b)
Inscription à la beta et communications associées Consentement (art. 6.1.a)
Analyse d'audience et amélioration du site Intérêt légitime (art. 6.1.f)
Surveillance des erreurs et stabilité du service Intérêt légitime (art. 6.1.f)
Sécurité et prévention des abus (rate limiting) Intérêt légitime (art. 6.1.f)

5. Sous-traitants et transferts de données

Pour fournir le Service, nous faisons appel aux sous-traitants suivants. Chacun est soumis à des obligations contractuelles de protection des données.

Sous-traitant Fonction Données concernées Localisation
OVH SAS Hébergement serveurs Toutes les données France / UE
Wasabi Technologies Stockage des images (S3) Photos de tickets, logos Irlande (eu-west-2)
Google Cloud (Vision API) Reconnaissance optique (OCR) Images de tickets UE / International
Brevo (ex-Sendinblue) Envoi d'emails Email, prénom France / UE
Sentry (Functional Software) Surveillance des erreurs Logs techniques (sans données personnelles identifiantes) UE / États-Unis
Google (Tag Manager) Analyse d'audience du site Données de navigation, interactions États-Unis
Microsoft (Clarity) Analyse comportementale du site Sessions de navigation, clics, interactions États-Unis

Transferts hors Union européenne

Certains de nos sous-traitants (Google, Microsoft, Sentry) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) ou par des clauses contractuelles types approuvées par la Commission européenne.

6. Cookies et traceurs

Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du Service et ne peuvent pas être désactivés :

  • Session Laravel : maintien de votre connexion (durée : 120 minutes)
  • XSRF-TOKEN : protection contre les attaques CSRF
  • flux.appearance : mémorisation de votre préférence de thème (localStorage)

Cookies analytiques (tiers)

Sur le site web uniquement, nous utilisons :

  • Google Tag Manager : mesure d'audience et suivi des conversions
  • Microsoft Clarity : enregistrement anonymisé des sessions et cartes de chaleur

Vous pouvez à tout moment configurer votre navigateur pour refuser les cookies analytiques ou utiliser un bloqueur de traceurs. Cela n'affectera pas le fonctionnement du Service.

7. Durée de conservation des données

Donnée Durée de conservation
Compte utilisateur et données associées Jusqu'à suppression du compte ou 24 mois d'inactivité
Tickets et justificatifs (images + métadonnées) Jusqu'à suppression par l'utilisateur ou suppression du compte
Données d'inscription beta 24 mois maximum
Logs techniques et données de sécurité 12 mois
Cookies de session 120 minutes (ou fermeture du navigateur)
Données analytiques (agrégées) 26 mois (Google) / 13 mois (Clarity)

À l'expiration de ces délais, les données sont supprimées ou irréversiblement anonymisées.

8. Sécurité des données

Nous mettons en œuvre les mesures de sécurité suivantes :

  • Chiffrement des communications via HTTPS/TLS sur l'ensemble du Service
  • Mots de passe stockés sous forme de hash irréversible (bcrypt)
  • Jetons d'authentification chiffrés en base de données
  • Limitation du nombre de requêtes (rate limiting) pour prévenir les abus
  • Accès aux images de tickets sécurisé par URL signées à durée limitée
  • Isolation des données entre utilisateurs (chaque utilisateur n'accède qu'à ses propres données)
  • Infrastructure hébergée en Union européenne
  • Surveillance proactive des erreurs et anomalies

Malgré ces mesures, aucun système n'est infaillible. En cas de violation de données, nous nous engageons à notifier la CNIL dans les 72 heures et à informer les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

9. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) : demander la suppression de vos données personnelles
  • Droit à la limitation du traitement (art. 18) : restreindre le traitement de vos données dans certains cas
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
  • Droit de retrait du consentement : retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur

Comment exercer vos droits ?

Envoyez votre demande par email à dpo@snapticket.eu en précisant votre identité et le droit que vous souhaitez exercer. Nous répondrons dans un délai maximum d'un mois.

Vous pouvez également supprimer votre compte et l'ensemble de vos données directement depuis les paramètres de l'application.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr

10. Protection des mineurs

Le Service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous découvrons qu'un mineur nous a fourni des données personnelles, nous les supprimerons immédiatement.

11. Limitation de responsabilité

Le Service est fourni en l'état (« as is »), actuellement en phase de beta. En conséquence :

  • Nous ne garantissons pas la disponibilité ininterrompue du Service
  • Les données extraites par OCR sont fournies à titre indicatif et peuvent contenir des erreurs
  • Le Service ne constitue pas un outil comptable certifié et ne remplace pas l'avis d'un expert-comptable
  • L'utilisateur reste seul responsable de la vérification de l'exactitude de ses données comptables

12. Modifications de cette politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou via une notification dans l'application au moins 30 jours avant l'entrée en vigueur des changements.

La date de dernière mise à jour est indiquée en haut de cette page. Nous vous invitons à la consulter régulièrement.

13. Contact

Pour toute question concernant cette politique de confidentialité ou le traitement de vos données personnelles :