Politique de Confidentialité / Privacy Policy
Version : 1.0 Date d'entrée en vigueur / Effective date : 2026-05-24
Ce document est bilingue. La version française fait foi. The English version is provided for convenience.
FRANÇAIS
1. Identité du responsable de traitement
L'application FamilyPet+ (ci-après « le Service ») est éditée par :
- Responsable du traitement : Alexis GUILLAUME (personne physique)
- Forme juridique : Particulier (non immatriculé)
- Adresse postale : disponible sur simple demande écrite à l'adresse e-mail ci-dessous (article 12 RGPD — communication des informations sur demande). Réponse sous 30 jours.
- Numéro d'immatriculation : Non applicable (statut de particulier)
- Email de contact général : postmaster@jasmory.tech
- Délégué à la protection des données (DPO) : postmaster@jasmory.tech
Pour toute question relative à vos données personnelles, vous pouvez également utiliser le formulaire /privacy/contact dans l'application.
2. Quelles données nous collectons
Nous traitons les catégories de données suivantes, strictement nécessaires au fonctionnement du Service :
| Catégorie | Données concernées | Origine |
|---|---|---|
| Identité du compte | Email, nom d'utilisateur (username), mot de passe (hashé argon2id) | Saisie utilisateur |
| Profil animal | Nom, espèce, race, date de naissance, sexe, photo de profil | Saisie utilisateur |
| Données de santé animale | Carnet de vaccinations, traitements, ordonnances, poids, notes vétérinaires, documents PDF de santé | Saisie utilisateur / import |
| Photos et médias | Photos d'animaux, photos de balades, vidéos courtes | Saisie utilisateur |
| Géolocalisation | Traces GPS des balades enregistrées (latitude, longitude, timestamp, altitude) | Capteurs de l'appareil, uniquement avec consentement actif |
| Notifications push | Jeton FCM (Firebase Cloud Messaging), préférences de notification | Génération technique |
| Données techniques | Adresse IP (tronquée après 24h), modèle d'appareil, version OS, version de l'app, identifiants de journalisation | Collecte automatique |
| Logs analytiques | Événements d'usage agrégés et pseudonymisés | Collecte automatique |
Nous ne collectons aucune donnée bancaire directement (les paiements éventuels passent par un prestataire tiers PCI-DSS).
3. Bases légales (RGPD art. 6)
- Exécution du contrat (art. 6.1.b) : compte, profil animal, fonctionnalités de base.
- Consentement (art. 6.1.a) : géolocalisation des balades, notifications push, analytics, partage communautaire.
- Intérêt légitime (art. 6.1.f) : sécurité, prévention de la fraude, logs d'erreurs (Sentry).
- Obligation légale (art. 6.1.c) : conservation de certains journaux à des fins probatoires.
4. Où sont stockées vos données
L'hébergement principal est assuré par Amazon Web Services (AWS) dans la région eu-north-1 (Stockholm, Suède — Union européenne).
Les données ne quittent pas l'Union européenne, à l'exception des transferts décrits en section 5 (sous-traitants soumis aux Clauses Contractuelles Types).
5. Sous-traitants et destinataires
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Amazon Web Services (AWS) | Hébergement applicatif (EC2), base de données, stockage objet | Stockholm, UE | Hébergeur principal — pas de transfert hors UE |
| Firebase / Google LLC | Notifications push (FCM) | États-Unis | Clauses Contractuelles Types (SCCs) de la Commission européenne |
| Anthropic PBC | Assistant conversationnel (fonctionnalités IA optionnelles) | États-Unis | Clauses Contractuelles Types (SCCs) + minimisation : aucune donnée identifiante envoyée |
| Sentry (Functional Software, Inc.) | Suivi des erreurs techniques applicatives | États-Unis | Clauses Contractuelles Types (SCCs) + scrubbing des PII côté SDK |
Aucune donnée personnelle n'est vendue, louée ou échangée à des fins publicitaires.
6. Durées de conservation
| Type de donnée | Durée |
|---|---|
| Compte utilisateur et profil animal | Durée de vie du compte (jusqu'à suppression par l'utilisateur) |
| Documents de santé importés | Durée de vie du compte |
| Traces GPS de balades | Durée de vie du compte (l'utilisateur peut les supprimer à tout moment) |
| Logs analytiques détaillés | 365 jours maximum puis agrégation anonyme |
| Logs d'erreurs Sentry | 90 jours |
| Logs d'authentification (sécurité) | 12 mois |
| Sauvegardes chiffrées | 30 jours glissants |
| Données après suppression du compte | Effacement sous 30 jours, sauf obligation légale |
7. Vos droits (RGPD art. 15 à 22)
Vous disposez à tout moment des droits suivants :
- Droit d'accès — consultation de toutes vos données via le formulaire
/privacy/contact. - Droit de rectification — modification directe via les écrans de profil.
- Droit à l'effacement (« droit à l'oubli ») — suppression du compte via
/auth/account(effacement complet sous 30 jours). - Droit à la portabilité — export structuré (JSON + médias) via
/auth/export. - Droit d'opposition / retrait du consentement — gestion granulaire via
/me/consents(géolocalisation, notifications, analytics, communauté). - Droit à la limitation du traitement — sur demande via
/privacy/contact. - Droit de réclamation auprès de la CNIL : www.cnil.fr — 3 place de Fontenoy, 75007 Paris.
Délai de réponse : 30 jours maximum (extensible à 60 jours pour les demandes complexes, conformément à l'art. 12.3 RGPD).
8. Sécurité
- Chiffrement en transit : TLS 1.3
- Chiffrement au repos : AES-256 (EBS, S3)
- Mots de passe : argon2id avec sel unique
- Authentification : tokens JWT à courte durée + refresh tokens révocables
- Audit régulier des accès administrateurs
- Politique de divulgation responsable des vulnérabilités : postmaster@jasmory.tech (réponse < 7 jours)
9. Mineurs
Le Service n'est pas destiné aux personnes de moins de 15 ans sans accord parental explicite (RGPD art. 8 transposé en France). Aucune donnée n'est sciemment collectée auprès d'utilisateurs n'ayant pas l'âge requis.
10. Modifications
Toute modification substantielle de la présente politique sera notifiée dans l'application au moins 30 jours avant son entrée en vigueur. La date en tête de document est mise à jour à chaque révision.
ENGLISH
1. Data Controller Identity
The FamilyPet+ application (the "Service") is operated by:
- Legal name: [To be completed by the publisher]
- Legal form: [To be completed]
- Registered address: [To be completed]
- Registration number: [To be completed]
- General contact email: [To be completed]
- Data Protection Officer (DPO): [To be completed]
For any questions about your personal data, you may also use the in-app /privacy/contact form.
2. Data we collect
We process the following categories of data, strictly necessary for the Service:
| Category | Data | Source |
|---|---|---|
| Account identity | Email, username, password (argon2id-hashed) | User input |
| Pet profile | Name, species, breed, date of birth, sex, profile picture | User input |
| Pet health data | Vaccination records, treatments, prescriptions, weight, veterinary notes, health PDFs | User input / import |
| Photos and media | Pet photos, walk photos, short videos | User input |
| Geolocation | GPS tracks from recorded walks (lat, lon, timestamp, altitude) | Device sensors, opt-in only |
| Push notifications | FCM token, notification preferences | Technical generation |
| Technical data | IP address (truncated after 24h), device model, OS version, app version, log identifiers | Automatic collection |
| Analytics | Aggregated and pseudonymized usage events | Automatic collection |
We do not collect payment card data directly (any payments are handled by a PCI-DSS certified third party).
3. Legal bases (GDPR art. 6)
- Performance of a contract (art. 6.1.b): account, pet profile, core features.
- Consent (art. 6.1.a): walk geolocation, push notifications, analytics, community sharing.
- Legitimate interest (art. 6.1.f): security, fraud prevention, error logging (Sentry).
- Legal obligation (art. 6.1.c): retention of certain logs for evidentiary purposes.
4. Where your data is stored
Primary hosting is provided by Amazon Web Services (AWS) in the eu-north-1 (Stockholm, Sweden — European Union) region.
Data does not leave the European Union, except for transfers to the sub-processors listed in section 5 (governed by Standard Contractual Clauses).
5. Sub-processors and recipients
| Sub-processor | Purpose | Location | Safeguards |
|---|---|---|---|
| Amazon Web Services (AWS) | Application hosting (EC2), database, object storage | Stockholm, EU | Primary host — no transfer outside EU |
| Firebase / Google LLC | Push notifications (FCM) | United States | EU Standard Contractual Clauses (SCCs) |
| Anthropic PBC | Optional AI conversational features | United States | SCCs + data minimization: no identifying data sent |
| Sentry (Functional Software, Inc.) | Application error monitoring | United States | SCCs + client-side PII scrubbing |
Personal data is never sold, rented or traded for advertising purposes.
6. Retention periods
| Data type | Retention |
|---|---|
| User account and pet profile | Lifetime of the account (until user deletion) |
| Imported health documents | Lifetime of the account |
| Walk GPS tracks | Lifetime of the account (user may delete anytime) |
| Detailed analytics logs | 365 days maximum, then anonymous aggregation |
| Sentry error logs | 90 days |
| Authentication logs (security) | 12 months |
| Encrypted backups | 30-day rolling window |
| Data after account deletion | Erased within 30 days, unless legal obligation |
7. Your rights (GDPR art. 15-22)
You may at any time:
- Access your data via the
/privacy/contactform. - Rectify your data directly through profile screens.
- Erase ("right to be forgotten") your account via
/auth/account(full erasure within 30 days). - Port your data — structured export (JSON + media) via
/auth/export. - Object / withdraw consent — granular toggles via
/me/consents(geolocation, notifications, analytics, community). - Restrict processing — on request via
/privacy/contact. - Lodge a complaint with the French CNIL (www.cnil.fr) or your local supervisory authority.
Response time: maximum 30 days (extendable to 60 days for complex requests, per GDPR art. 12.3).
8. Security
- In-transit encryption: TLS 1.3
- At-rest encryption: AES-256 (EBS, S3)
- Passwords: argon2id with unique salt
- Authentication: short-lived JWT + revocable refresh tokens
- Regular admin access audits
- Responsible disclosure policy: [To be completed]
9. Minors
The Service is not intended for users under 15 without explicit parental consent (GDPR art. 8 as transposed in France). No data is knowingly collected from underage users.
10. Changes
Any material change to this policy will be notified in-app at least 30 days before taking effect. The date at the top of this document is updated at each revision.