Politique de confidentialité
Dernière mise à jour : juillet 2026 · Brouillon rédactionnel — à faire relire par un juriste avant mise en production.
1. Responsable du traitement
Le responsable du traitement des données personnelles est Hayatik (coordonnées complètes dans les mentions légales). Pour toute question concernant vos données, contactez privacy@hayatik.fr.
2. Données collectées
- Compte : adresse email et mot de passe (haché, jamais stocké en clair).
- Profil : prénom, date de naissance, genre, orientation, localisation approximative (ville/pays + coordonnées GPS si accordées), origines, bio, taille, niveau de pratique religieuse, statut marital, intentions, souhaits concernant les enfants, barbe/hijab.
- Photos : 2 à 6 photos publiques + 1 selfie de vérification (supprimé après revue).
- Interactions : swipes, matchs, messages échangés, signalements émis et reçus, blocages.
- Paiement : identifiant client Stripe et dernier statut d'abonnement (jamais le numéro de carte, traité uniquement par Stripe).
- Logs techniques : date de dernière connexion, adresse IP ponctuellement pour le rate limiting (non conservée).
3. Finalités et bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Fourniture du Service (matching, chat) | Exécution du contrat | Durée du compte |
| Modération et sécurité | Intérêt légitime | 3 ans après dernière interaction |
| Vérification d'identité (selfie) | Consentement | Jusqu'à décision + 30 jours max |
| Paiement Premium | Exécution du contrat | 10 ans (comptabilité) |
| Emails transactionnels | Exécution du contrat | Durée du compte |
| Traitement des données sensibles (convictions religieuses, origines — art. 9 RGPD) | Consentement explicite recueilli à l'inscription (art. 9.2.a) ; retirable à tout moment depuis les paramètres — le retrait entraîne la suppression du compte, ces données étant indispensables au Service | Durée du compte |
| Surveillance technique des erreurs (Sentry) | Intérêt légitime (sécurité et fiabilité du Service) | Durée limitée (logs d'erreurs) |
Le score de compatibilité est calculé automatiquement à partir des réponses déclaratives des membres à leur questionnaire. Il sert uniquement à ordonner les profils affichés et ne produit aucune décision ayant des effets juridiques ou significatifs au sens de l'article 22 du RGPD.
4. Sous-traitants
- Supabase (hébergement base et stockage) — Irlande/UE.
- Vercel Inc. (hébergement applicatif) — États-Unis.
- Stripe Payments Europe (paiement) — Irlande.
- Resend (envoi d'emails transactionnels) — États-Unis.
- Sightengine (modération automatique des photos) — France.
- Upstash (limitation de débit) — [région à confirmer].
- Sentry (surveillance technique des erreurs) — intérêt légitime de sécurité (voir section 3).
- PostHog / Vercel Analytics (mesure d'audience) — seulement avec votre consentement analytique.
5. Transferts hors Union européenne
Certains sous-traitants sont situés aux États-Unis (Vercel, Resend, Sentry). Ces transferts sont encadrés par des garanties appropriées : clauses contractuelles types de la Commission européenne et/ou certification au Data Privacy Framework, selon le prestataire. Les données du Service (base de données, stockage) restent hébergées dans l'Union européenne (Irlande).
6. Vos droits
Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition sur vos données.
- Exporter vos données : depuis Paramètres → Mes données (RGPD) → Télécharger, ou directement /api/gdpr/export.
- Supprimer votre compte : Paramètres → Zone dangereuse → Supprimer mon compte (re-authentification par mot de passe requise). Toutes les données personnelles sont irrévocablement supprimées, à l'exception des obligations comptables (factures Stripe) conservées 10 ans.
- Contact : privacy@hayatik.fr pour toute autre demande.
- Autorité de contrôle : vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).
7. Cookies et mesure d'audience
Les cookies strictement nécessaires au fonctionnement du Service (session/authentification, préférence de thème, enregistrement du choix de consentement) sont exemptés de consentement. Les outils de mesure d'audience (PostHog et Vercel Analytics) ne sont activés qu'après votre consentement via le bandeau, retirable à tout moment depuis les paramètres. Sentry, actif sans consentement au titre de l'intérêt légitime de sécurité, collecte des données techniques minimisées (messages d'erreur, contexte technique).
8. Signalement de contenu illégal (CSAM, menaces)
Tout contenu à caractère pédopornographique ou constituant une menace immédiate est signalé aux autorités compétentes (Pharos en France, NCMEC aux US). Hayatik coopère avec les forces de l'ordre dans le cadre de réquisitions judiciaires.
9. Sécurité
Les données sont stockées sur des serveurs européens chiffrés au repos et en transit (TLS). Les mots de passe sont hachés (bcrypt/Argon2 via Supabase Auth). L'accès aux conversations privées par l'équipe de modération est strictement limité au traitement des signalements et intégralement journalisé.
10. Modifications
Cette politique peut évoluer. Les utilisateurs seront notifiés par email au moins 15 jours avant toute modification substantielle.