Politique de confidentialité
Dernière mise à jour : 01/05/2026
1. Responsable de traitement
Le responsable du traitement des données personnelles est :
Maxime Lebrun — Entrepreneur individuel — micro-entreprise
TODO_ADRESSE_PRO, France
SIREN : TODO_SIREN
Contact : hey@release.wtf
2. Quelles données collectons-nous ?
a) Données des visiteurs publics (qui cliquent sur un lien d'événement)
Lorsque tu visites une page d'événement publique (?e=...) ou de calendar (?c=...), nous enregistrons de manière anonymisée :
- Le type d'action (vue, ajout Apple/Google/Outlook, téléchargement)
- Une empreinte (hash SHA-256 + sel secret) de ton adresse IP
- Une catégorie simplifiée de ton navigateur (ex :
Chrome/iOS) — sans version précise - L'horodatage de l'action (UTC)
Les empreintes IP sont hashées avec un sel cryptographique : il est techniquement impossible de retrouver l'IP d'origine sans accès au sel (stocké côté serveur uniquement).
Aucun cookie n'est déposé sur ton appareil lors de la visite d'une page publique.
b) Données des utilisateurs administrateurs
Si tu utilises l'espace administrateur (création d'événements), nous stockons :
- Ton adresse email (utilisée pour la connexion par lien magique)
- Les événements et calendars que tu crées (titres, dates, descriptions, images)
- Un cookie de session technique (
drop_cal_sess) strictement nécessaire à l'authentification
c) Données des abonnés aux feeds iCal
Lorsqu'un calendrier (Apple Calendar, Google, etc.) interroge un feed (?feed=...), nous enregistrons une empreinte hashée de l'IP et du User-Agent pour mesurer le nombre d'abonnés actifs. Aucune information identifiante en clair.
3. À quoi servent ces données ?
| Finalité | Base légale |
|---|---|
| Gérer les comptes administrateurs (connexion magic-link) | Exécution contractuelle |
| Diffuser les événements créés via leurs liens publics | Exécution contractuelle |
| Compter les vues et ajouts (statistiques anonymisées) | Intérêt légitime |
| Mesurer le nombre d'abonnés actifs aux feeds iCal | Intérêt légitime |
| Prévenir les abus (rate-limit, anti-bruteforce) | Intérêt légitime |
4. Combien de temps conservons-nous tes données ?
| Donnée | Durée de conservation |
|---|---|
| Empreintes IP des clics sur événements | 90 jours (purge auto) |
| Empreintes IP/UA des abonnés feeds | 30 jours d'inactivité (purge auto) |
| Tokens de connexion magic-link consommés | 1 jour (purge auto) |
| Sessions administrateur | 30 jours (cookie expire) |
| Comptes administrateurs et leur contenu | Tant que le compte existe |
| Logs d'erreur serveur | 30 jours maximum (rotation automatique) |
5. À qui transmettons-nous tes données ?
Nous ne vendons ni ne louons aucune donnée. Les seuls destinataires de tes données sont :
- LWS (hébergeur, France) — pour faire tourner le site et stocker la base de données
- Resend (Delaware, USA — clauses contractuelles types UE-US) — uniquement pour envoyer les emails de connexion magic-link aux administrateurs. Les visiteurs publics ne déclenchent aucun envoi de mail.
Aucun autre transfert vers un pays tiers. Aucun outil d'analytics, de publicité ou de réseaux sociaux n'est intégré.
6. Cookies
Ce site utilise un seul cookie technique (drop_cal_sess) :
- Créé uniquement lorsqu'un administrateur se connecte
- Indispensable à l'authentification (dispense de consentement, art. 82 LIL)
- Durée : 30 jours
- Sécurisé : HttpOnly, Secure, SameSite=Lax
Aucun cookie n'est déposé chez les visiteurs publics qui consultent un événement ou un calendar partagé.
7. Tes droits
Conformément au RGPD, tu disposes des droits suivants :
- Droit d'accès : connaître les données que nous avons sur toi
- Droit de rectification : corriger une donnée inexacte
- Droit à l'effacement ("droit à l'oubli") : faire supprimer toutes tes données
- Droit à la portabilité : récupérer tes données dans un format lisible
- Droit d'opposition : t'opposer à un traitement
- Droit à la limitation : restreindre temporairement un traitement
Exercer tes droits :
Si tu as un compte administrateur : connecte-toi puis utilise la page Mon compte dans le menu en haut à droite. Le bouton "Supprimer mon compte" efface immédiatement toutes tes données.
Sinon, écris à hey@release.wtf en précisant ta demande. Réponse sous 30 jours maximum.
Si tu estimes que tes droits ne sont pas respectés, tu peux saisir la CNIL : cnil.fr/fr/plaintes
8. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Connexion HTTPS forcée (HSTS 6 mois)
- Authentification sans mot de passe (magic-links 256 bits, validité 15 min, usage unique)
- Limitation du débit (anti-bruteforce et anti-flood)
- Hashage cryptographique des IPs avec sel secret
- En-têtes de sécurité : Content-Security-Policy, X-Frame-Options, etc.
- Cookies sécurisés (HttpOnly, SameSite=Lax)
- Logs purgés automatiquement (rotation 30 jours, masquage des emails)
9. Modifications
Cette politique peut évoluer. La date de dernière mise à jour figure en haut de la page. Toute modification substantielle te sera notifiée par email si tu as un compte.