Politique de confidentialité
Comment vos données sont protégées. Conforme au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.
I Responsable du traitement
Le responsable du traitement de vos données personnelles est :
OVELIYA SAS
Siège social : [Adresse à compléter], France
RCS : [Numéro à compléter]
Délégué à la protection des données (DPO) : contact@oveliya.com (objet préfixé [RGPD])
II Données collectées
Données fournies par vous
| Catégorie | Données | Finalité |
|---|---|---|
| Compte | Email, mot de passe (haché) | Authentification |
| Profil | Nom d'utilisateur (handle), avatar | Identification dans l'app |
| Capsules | Titre, date, métadonnées (chiffrées : contenu, pièces jointes) | Fonctionnement du service |
| Contacts | Noms, emails que vous ajoutez à votre carnet | Envoi de capsules |
| Paiement | Dernier 4 chiffres carte, type, date d'expiration (via Stripe) | Facturation |
Données collectées automatiquement
| Logs techniques | Adresse IP, user-agent, horodatages | Sécurité, anti-fraude (90 jours) |
| Audit trail capsules | Création, scellement, ouverture (events immuables) | Preuve d'intégrité (durée du compte) |
Ce que nous ne collectons jamais :
- Le contenu de vos capsules — chiffré côté client, illisible serveur
- Vos clés mnémotechniques — elles restent uniquement chez vous
- Données comportementales pour profilage publicitaire
- Données biométriques, géolocalisation précise, ou opinions politiques/religieuses
III Bases légales du traitement
Conformément à l'article 6 du RGPD, les traitements reposent sur :
- L'exécution du contrat — pour la fourniture du service Oveliya (création, scellement, ouverture de capsules)
- L'obligation légale — pour la conservation des factures (10 ans, Code de commerce art. L.123-22) et la lutte anti-fraude
- L'intérêt légitime — pour la sécurité du service et l'amélioration des fonctionnalités
- Le consentement — pour l'envoi de communications optionnelles, retiré à tout moment
IV Durée de conservation
| Catégorie | Durée |
|---|---|
| Compte actif | Tant que vous utilisez le service |
| Compte inactif | 3 ans après dernière connexion, puis suppression |
| Capsules scellées | Jusqu'à leur ouverture ou suppression du compte |
| Capsules ouvertes | 1 an après ouverture, sauf demande de prolongation |
| Logs techniques | 90 jours |
| Factures | 10 ans (obligation légale) |
| Audit trail | Durée du compte (preuve d'intégrité) |
V Sous-traitants
Oveliya s'appuie sur des sous-traitants conformes au RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données + Auth | UE (Francfort) |
| Netlify | Hébergement frontend (CDN) | Mondial |
| Stripe | Paiements | UE / USA (clauses contractuelles types) |
| Yousign | Signature électronique | UE (France) |
| Universign | Horodatage qualifié | UE (France) |
VI Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir copie de vos données
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement — supprimer votre compte (Art. 17)
- Droit à la limitation — geler le traitement
- Droit à la portabilité — récupérer vos données dans un format structuré (JSON)
- Droit d'opposition — refuser certains traitements
- Droit de définir des directives post-mortem — Art. 85 loi Informatique et Libertés
Pour exercer vos droits :
Email : contact@oveliya.com (objet à préfixer [RGPD])
Délai de réponse : 30 jours maximum (Art. 12 RGPD)
En cas d'absence de réponse, vous pouvez saisir la CNIL.
VII Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement de bout en bout — AES-256-GCM côté client + PBKDF2 (200 000 itérations)
- TLS 1.3 pour toutes les transmissions réseau
- Hash SHA-256 sur tous les payloads pour vérification d'intégrité
- RLS (Row Level Security) sur la base de données — isolation stricte des données entre utilisateurs
- Append-only architecture — aucune modification possible après scellement
- Sauvegardes chiffrées quotidiennes en région UE
- Audits de sécurité réguliers par tiers indépendants
En cas de violation de données affectant vos droits et libertés, nous vous notifierons sous 72 heures conformément à l'article 33 du RGPD.
VIII Cookies
Oveliya utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
| sb-access-token | Authentification | Session |
| sb-refresh-token | Renouvellement de session | 30 jours |
| oveliya-prefs | Préférences UI (thème, langue) | 1 an |
Aucun cookie publicitaire ni de traçage tiers n'est utilisé. Aucun consentement préalable n'est requis pour les cookies strictement nécessaires (Art. 82 LIL).
IX Transferts hors UE
Vos données sont stockées en Europe (Francfort, Allemagne). Certains sous-traitants (Netlify, Stripe) peuvent traiter des données aux USA dans le cadre des Clauses Contractuelles Types de la Commission européenne (Décision 2021/914), garantissant un niveau de protection adéquat.
X Modifications
Cette politique peut être mise à jour. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur. La version la plus récente est toujours accessible à oveliya.com/confidentialite.
Version 1.0 · Dernière mise à jour : 2 mai 2026