Politique de confidentialité
Dernière mise à jour : 12 mai 2026
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel est l'opérateur de DayProof, personne physique résidant à Chypre (UE). L'infrastructure d'hébergement est fournie par Hetzner Online GmbH, Allemagne (UE).
Contact pour la protection des données : [email protected].
Contact pour la protection des données : [email protected].
2. Bases légales du traitement
Les données à caractère personnel sont traitées sur les bases légales suivantes du RGPD :
- Exécution d'un contrat (art. 6, §1, b) : données de compte, de voyages, de billets et de documents, nécessaires à la fourniture du service.
- Consentement (art. 6, §1, a) : traitement des documents par intelligence artificielle (Google Gemini, Groq).
- Intérêt légitime (art. 6, §1, f) : cookies de session, journaux de sécurité et analytique interne minimale.
3. Catégories de données personnelles
Données de compte : adresse e-mail, nom, URL d'avatar, langue préférée.
Documents d'identité (chiffrés) : numéro de passeport, pièce d'identité nationale, numéro fiscal.
Données de contact (chiffrées) : téléphone et adresse.
Profil fiscal : date de naissance, nationalité, pays de résidence fiscale, pays d'origine, pays du passeport et seuils de jours.
Données de voyage : dates, aéroports, pays, numéros de vol et compagnies aériennes.
Documents téléversés : cartes d'embarquement, confirmations de vol et factures (PDF, JPEG, PNG).
Données de traitement IA : champs extraits automatiquement (JSONB) et noms de passagers visibles sur les documents.
Données techniques : adresse IP, agent utilisateur et journaux de requêtes.
Analytique interne : pages vues et événements utilisateur.
Documents d'identité (chiffrés) : numéro de passeport, pièce d'identité nationale, numéro fiscal.
Données de contact (chiffrées) : téléphone et adresse.
Profil fiscal : date de naissance, nationalité, pays de résidence fiscale, pays d'origine, pays du passeport et seuils de jours.
Données de voyage : dates, aéroports, pays, numéros de vol et compagnies aériennes.
Documents téléversés : cartes d'embarquement, confirmations de vol et factures (PDF, JPEG, PNG).
Données de traitement IA : champs extraits automatiquement (JSONB) et noms de passagers visibles sur les documents.
Données techniques : adresse IP, agent utilisateur et journaux de requêtes.
Analytique interne : pages vues et événements utilisateur.
4. Sous-traitants et sous-sous-traitants
| Sous-traitant | Finalité | Données partagées | Localisation |
|---|---|---|---|
| Google Gemini AI | OCR et extraction de données de vol | Images et PDF de documents, noms de passagers | États-Unis |
| Groq AI | OCR et extraction de données de vol | Texte OCR des documents, noms de passagers | États-Unis |
| Resend | Courrier électronique transactionnel | Adresse e-mail et contenu des messages | États-Unis |
| Google OAuth | Authentification | Courrier et nom | États-Unis |
| Hetzner Online GmbH | Hébergement de l'infrastructure | Toutes les données de l'utilisateur | Allemagne (UE) |
5. Transferts internationaux de données
Certains sous-traitants sont situés aux États-Unis. Les transferts sont encadrés par les Clauses contractuelles types de la Commission européenne et, le cas échéant, par le Cadre UE-États-Unis pour la protection des données.
6. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur | Jusqu'à la demande de suppression |
| Voyages et billets | Jusqu'à la demande de suppression |
| Documents téléversés | Jusqu'à la demande de suppression |
| Sessions | 30 jours d'inactivité |
| Pages vues | 90 jours |
| Événements utilisateur | 180 jours |
| Journaux de requêtes | 30 jours |
| Journaux de requêtes lentes | 14 jours |
7. Droits de l'utilisateur
Conformément au RGPD, l'utilisateur dispose des droits suivants :
- Accès (art. 15) : obtenir une copie de ses données personnelles.
- Rectification (art. 16) : corriger des données inexactes.
- Effacement (art. 17) : demander la suppression de ses données.
- Portabilité (art. 20) : télécharger ses données dans un format structuré (JSON).
- Limitation (art. 18) : restreindre le traitement dans certaines circonstances.
- Opposition (art. 21) : s'opposer au traitement fondé sur l'intérêt légitime.
- Retrait du consentement : le consentement peut être retiré à tout moment sans remettre en cause la licéité du traitement antérieur.
8. Décisions automatisées
DayProof utilise un traitement automatisé (intelligence artificielle et OCR) pour extraire les données de vol des documents. Ce traitement ne produit pas d'effet juridique à l'égard de l'utilisateur et ne l'affecte pas de manière significative de façon similaire. L'utilisateur peut consulter et corriger toutes les données extraites.
Les alertes fiscales affichées dans le tableau de bord sont des indicateurs informatifs fondés sur des seuils généraux et ne constituent pas des décisions automatisées à effet juridique au sens de l'article 22 du RGPD.
Les alertes fiscales affichées dans le tableau de bord sont des indicateurs informatifs fondés sur des seuils généraux et ne constituent pas des décisions automatisées à effet juridique au sens de l'article 22 du RGPD.
9. Cookies
Pour plus d'informations sur l'utilisation des cookies, consultez la Politique de cookies.
10. Notification des violations de données
En cas de violation de sécurité affectant les données personnelles, DayProof notifiera les utilisateurs concernés et l'autorité de contrôle compétente dans un délai de 72 heures, conformément à l'article 33 du RGPD.
11. Autorité de contrôle
L'autorité de contrôle compétente est le Bureau du Commissaire à la protection des données personnelles de Chypre. Les utilisateurs d'autres États membres de l'UE peuvent également s'adresser à l'autorité de protection des données de leur pays.
12. Contact
Pour toute question relative à la protection des données : [email protected].
13. Données utilisateur Google
DayProof utilise Google OAuth 2.0 exclusivement pour permettre la connexion avec un compte Google.
Autorisations demandées :
Données obtenues de Google :
Stockage : L'adresse e-mail, le nom et l'URL de l'avatar sont stockés dans notre base de données PostgreSQL hébergée par Hetzner Online GmbH, Allemagne (UE). Les identifiants OAuth sont stockés chiffrés via Active Record Encryption et ne sont pas accessibles en clair au repos.
Partage : Les données utilisateur Google ne sont partagées avec aucun tiers à des fins commerciales, publicitaires ou marketing. Elles ne sont ni vendues ni cédées.
Conservation : Conservées pendant la durée du compte. Après suppression du compte, toutes les données utilisateur Google associées sont effacées définitivement et de manière irréversible dans un délai de 14 jours.
Révoquer l'accès : Les utilisateurs peuvent révoquer l'accès de DayProof à leur compte Google à tout moment sur myaccount.google.com/permissions. La révocation empêchera les connexions futures via Google, mais ne supprimera pas le compte DayProof ni ses données.
Conformité à l'utilisation limitée : L'utilisation et le transfert des informations reçues des API Google par DayProof sont conformes à la Politique relative aux données utilisateur des services d'API Google, y compris les exigences d'utilisation limitée.
Autorisations demandées :
openid, email, profile — lecture seule. Données obtenues de Google :
- Adresse e-mail — utilisée comme identifiant unique du compte et pour les communications du service (alertes fiscales, rapports, notifications).
- Nom d'affichage — affiché dans l'interface de l'application pour la personnalisation.
- URL de photo de profil — affichée comme avatar dans l'interface.
Stockage : L'adresse e-mail, le nom et l'URL de l'avatar sont stockés dans notre base de données PostgreSQL hébergée par Hetzner Online GmbH, Allemagne (UE). Les identifiants OAuth sont stockés chiffrés via Active Record Encryption et ne sont pas accessibles en clair au repos.
Partage : Les données utilisateur Google ne sont partagées avec aucun tiers à des fins commerciales, publicitaires ou marketing. Elles ne sont ni vendues ni cédées.
Conservation : Conservées pendant la durée du compte. Après suppression du compte, toutes les données utilisateur Google associées sont effacées définitivement et de manière irréversible dans un délai de 14 jours.
Révoquer l'accès : Les utilisateurs peuvent révoquer l'accès de DayProof à leur compte Google à tout moment sur myaccount.google.com/permissions. La révocation empêchera les connexions futures via Google, mais ne supprimera pas le compte DayProof ni ses données.
Conformité à l'utilisation limitée : L'utilisation et le transfert des informations reçues des API Google par DayProof sont conformes à la Politique relative aux données utilisateur des services d'API Google, y compris les exigences d'utilisation limitée.