Politique de Confidentialité

1. Qui nous sommes

Le responsable du traitement de vos informations personnelles est :

• Nom : Fotis Petrou
• Type d'exploitant : Particulier (service non commercial)
• Adresse : 7th km PEO Larisas-Volou, 41500 Melissochori, Greece
• E-mail : fokompet@gmail.com

Si vous avez des questions concernant la présente Politique ou la manière dont nous traitons vos données, contactez-nous à l'adresse e-mail ci-dessus. Vous avez également le droit d'introduire une réclamation auprès de l'Autorité hellénique de protection des données (HDPA / Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), Kifissias 1-3, 11523 Athènes, Grèce — www.dpa.gr.

2. Quelles données nous collectons

Données de compte

Lorsque vous créez un compte ou vous connectez via Google, GitHub ou Microsoft, nous collectons :

• Adresse e-mail
• Nom affiché
• URL de la photo de profil (fournie par votre fournisseur OAuth)
• Identifiant du fournisseur OAuth (un identifiant stable émis par Google/GitHub/Microsoft)
• Date de création du compte et date de dernière connexion
• Couleur du nom affiché (couleur du curseur) utilisée pour la collaboration en temps réel

Contenu des diagrammes

• Les diagrammes de Gantt que vous créez, modifiez ou enregistrez dans le cloud (tâches, dates, dépendances, thèmes, état d'affichage)
• Paramètres de partage (qui vous avez invité à un diagramme et avec quel rôle)
• Métadonnées de projet (nom, horodatage de dernière modification)

Données de collaboration

• Positions du curseur et indicateurs de présence (diffusés en temps réel via Supabase Realtime ; non conservés sur disque)
• Appartenances de collaboration (les diagrammes auxquels vous avez été invité)
• Adresses e-mail des utilisateurs que vous invitez à vos diagrammes
• Notifications dans l'application (événements de partage, annonces)

Données techniques

• Adresse IP (journalisée brièvement à des fins de sécurité et de prévention des abus ; non utilisée pour le suivi inter-sites)
• Type et version du navigateur, système d'exploitation
• Horodatages des actions que vous effectuez dans le Service
• Journaux d'erreurs pouvant inclure l'URL sur laquelle vous vous trouviez lorsqu'une erreur s'est produite

Données d'utilisation et d'activité (utilisateurs connectés)

• Événements d'exportation — chaque fois que vous exportez un diagramme alors que vous êtes connecté, nous enregistrons le format de fichier (par exemple PNG, PDF, SVG, Excel, CSV) et l'heure. Nous n'enregistrons pas le contenu du diagramme exporté. Les exportations effectuées sans compte ne sont pas enregistrées.
• Signal d'activité — lorsque vous êtes connecté avec l'application ouverte et au premier plan, un « battement de cœur » périodique enregistre que vous êtes actif. Nous en déduisons la date de votre dernière activité et une estimation du temps total que vous avez passé dans l'application.

Ces données d'utilisation sont liées à votre compte (elles ne sont pas anonymisées) et sont utilisées pour l'analyse du produit, la planification des capacités et pour alimenter les outils d'administration décrits à la section 4. Elles se distinguent des statistiques de site web agrégées et sans cookie décrites dans notre Politique relative aux cookies.

Cookies et technologies similaires

Consultez notre Politique relative aux cookies pour la liste complète des cookies et technologies similaires (localStorage, sessionStorage, IndexedDB) que nous utilisons.

Données publicitaires (lorsque les publicités sont actives)

• Identifiants publicitaires Google AdSense (uniquement après avoir donné votre consentement via la bannière de cookies)
• Le fait que vous ayez vu une publicité diffusée sur notre site ou interagi avec celle-ci

3. Pourquoi nous les collectons (bases légales au titre de l'article 6 du RGPD)

• Création de compte et connexion : exécution d'un contrat avec vous (art. 6, par. 1, point b).
• Stockage cloud et partage des diagrammes : exécution d'un contrat (art. 6, par. 1, point b).
• Fonctionnalités de collaboration en temps réel (présence, curseurs, modifications en direct) : exécution d'un contrat (art. 6, par. 1, point b).
• Accès par un assistant IA que vous connectez : exécution d'un contrat, conjointement avec votre autorisation explicite de la connexion (art. 6, par. 1, points b et a).
• Sécurité du Service, prévention de la fraude, détection des abus : notre intérêt légitime à assurer la sécurité du Service (art. 6, par. 1, point f).
• Statistiques agrégées et anonymisées : notre intérêt légitime à comprendre l'utilisation (art. 6, par. 1, point f).
• Statistiques d'utilisation et d'activité liées à votre compte (relevés d'exportation et d'activité) : notre intérêt légitime à comprendre comment le Service est utilisé et à planifier les capacités (art. 6, par. 1, point f). Vous pouvez vous y opposer à tout moment au titre de l'art. 21.
• Administration du Service : notre intérêt légitime à assister les utilisateurs, à assurer la sécurité du Service et à prévenir les abus, y compris au moyen d'une console d'administration interne (art. 6, par. 1, point f).
• Cookies non essentiels, publicité personnalisée : votre consentement (art. 6, par. 1, point a), recueilli via la bannière de cookies. Vous pouvez le retirer à tout moment.
• Respect des obligations légales : art. 6, par. 1, point c, par exemple pour répondre aux demandes licites des autorités.

4. Avec qui nous partageons vos données

Prestataires de services (sous-traitants agissant pour notre compte)

• Supabase, Inc. — authentification, base de données (PostgreSQL) et stockage de votre compte et de vos diagrammes. Serveurs dans l'UE (Francfort, Allemagne).
• Cloudflare, Inc. — hébergement du site, diffusion de contenu, protection contre les attaques DDoS et statistiques respectueuses de la vie privée (sans cookie).
• Google LLC — Google AdSense (uniquement lorsque les publicités sont actives) et gestion du consentement Google Funding Choices.

Fournisseurs OAuth (responsables indépendants du traitement lorsque vous vous connectez via eux)

• Google LLC — Connexion avec Google. Google nous communique votre e-mail, votre nom, votre identifiant Google et l'URL de votre photo de profil.
• GitHub, Inc. — Connexion avec GitHub. GitHub nous communique votre nom d'utilisateur, votre e-mail, votre identifiant GitHub et l'URL de votre avatar.
• Microsoft Corporation — Connexion avec Microsoft. Microsoft nous communique votre e-mail, votre nom et votre identifiant Microsoft.

Autres utilisateurs

Les autres utilisateurs d'un diagramme que vous avez partagé voient votre nom affiché, la position de votre curseur en temps réel et vos modifications du diagramme.

Si vous créez un lien de partage public pour un diagramme, toute personne disposant de ce lien peut consulter le contenu du diagramme sans se connecter. Vous choisissez si un lien existe et pouvez le révoquer à tout moment.

Assistants IA que vous connectez (facultatif)

Vous pouvez éventuellement connecter à votre compte un assistant IA tiers (par exemple Claude d'Anthropic ou ChatGPT d'OpenAI) afin qu'il puisse répertorier, lire, créer et modifier vos diagrammes en votre nom. Cela utilise un jeton d'accès que vous autorisez explicitement et que vous pouvez révoquer à tout moment. Lorsque vous connectez un assistant et lui demandez de travailler sur un diagramme, les données du diagramme que vous lui indiquez sont traitées par ce fournisseur d'IA selon ses propres conditions de confidentialité. Nous ne connectons jamais d'assistant à votre place, et vos données ne sont partagées avec un fournisseur d'IA que lorsque vous avez vous-même configuré et autorisé la connexion.

Nos administrateurs

Un petit nombre d'administrateurs autorisés peuvent accéder à une console interne qui affiche des informations de compte (e-mail, fournisseur de connexion, nombre de diagrammes, nombre d'exportations et d'activités, date de dernière activité) à des fins d'assistance, de sécurité et de prévention des abus, et peuvent suspendre ou supprimer des comptes. Il s'agit d'un accès interne par nous en tant que responsable du traitement — et non d'une divulgation à un tiers. L'accès administrateur nécessite une connexion distincte et est limité aux comptes que nous avons explicitement autorisés.

Autorités et forces de l'ordre

Nous ne divulguons des données aux autorités que lorsque la loi l'exige, et nous vous en informerons chaque fois que la loi le permet.

Nous ne vendons PAS vos données personnelles. Nous ne partageons PAS vos données personnelles à des fins de publicité comportementale inter-contextes en dehors du flux Google AdSense soumis à consentement.

5. Transferts internationaux

Certains de nos prestataires de services et fournisseurs OAuth sont établis aux États-Unis. Les transferts s'appuient sur les garanties suivantes :

• Le cadre de protection des données UE–États-Unis (DPF), au titre de la décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023, pour les destinataires certifiés au titre du DPF. Google LLC et GitHub/Microsoft Corporation sont certifiés DPF.
• Lorsque la certification DPF n'est pas disponible ou est invalidée, les clauses contractuelles types (CCT) approuvées par la Commission européenne, complétées par des mesures supplémentaires appropriées le cas échéant.

Vous pouvez demander une copie des CCT ou de plus amples informations sur les transferts en nous écrivant à fokompet@gmail.com.

6. Combien de temps nous conservons vos données

• Données de compte : conservées tant que votre compte est actif. En cas de suppression (par vous ou par nous), définitivement effacées des systèmes de production sous 30 jours ; les sauvegardes chiffrées sont purgées sous 90 jours.
• Contenu des diagrammes : conservé tant que vous le conservez dans votre compte. Même délai de suppression que ci-dessus.
• Relevés d'utilisation et d'activité (événements d'exportation, signal d'activité) : conservés tant que votre compte est actif et supprimés avec votre compte. Lorsqu'un administrateur supprime un compte, l'accès est suspendu immédiatement et les données sont récupérables pendant 30 jours avant l'effacement définitif.
• Journaux techniques : conservés jusqu'à 90 jours pour l'analyse de sécurité, puis supprimés ou anonymisés.
• Données AdSense : conservées par Google conformément à la politique de conservation de Google.
• Relevés de consentement aux cookies : conservés pendant 12 mois à compter de votre dernière interaction avec la bannière de cookies, puis demandés à nouveau.
• Relevés de conformité légale : conservés aussi longtemps que l'exige la loi applicable (généralement 5 ans pour les relevés fiscaux selon le droit grec).

7. Vos droits

Vous disposez des droits suivants au titre du RGPD :

• Droit d'accès (art. 15) — obtenir une copie des données que nous détenons à votre sujet.
• Droit de rectification (art. 16) — corriger des données inexactes.
• Droit à l'effacement / « droit à l'oubli » (art. 17) — supprimer votre compte et les données que nous détenons.
• Droit à la limitation du traitement (art. 18) — suspendre le traitement pendant le règlement d'un litige.
• Droit à la portabilité des données (art. 20) — recevoir vos données dans un format lisible par machine.
• Droit d'opposition (art. 21) — au traitement fondé sur les intérêts légitimes, y compris la prospection directe.
• Droit de retirer votre consentement à tout moment (art. 7) lorsque le traitement est fondé sur le consentement.
• Droit d'introduire une réclamation auprès d'une autorité de contrôle (art. 77) — pour les résidents grecs, la HDPA (voir §1).

Pour exercer ces droits :

• En libre-service : ouvrez Paramètres → Compte → Supprimer le compte ou Télécharger mes données depuis le Service.
• Manuellement : écrivez à fokompet@gmail.com. Nous répondrons dans un délai d'un mois (avec une prolongation possible de deux mois pour les demandes complexes ou nombreuses, auquel cas nous vous en informerons au cours du premier mois).

8. Enfants

Le Service ne s'adresse pas aux enfants de moins de 15 ans. En vertu de la loi grecque 4624/2019, les enfants de moins de 15 ans en Grèce (16 ans ailleurs dans l'UE au titre de l'art. 8 du RGPD) ne peuvent pas consentir au traitement de leurs données personnelles sans autorisation parentale. Si vous êtes en dessous de cet âge, ne créez pas de compte. Si nous découvrons que nous avons collecté des données d'un enfant en dessous de cet âge sans consentement parental, nous les supprimerons rapidement.

9. Comment nous protégeons vos données

Nous utilisons des mesures de sécurité conformes aux normes du secteur, notamment :

• La connexion est entièrement gérée par Google, GitHub ou Microsoft — nous ne recevons ni ne stockons jamais votre mot de passe.
• TLS / HTTPS pour toutes les données en transit.
• Sécurité au niveau des lignes (RLS) sur chaque table de la base de données, de sorte que les utilisateurs ne peuvent accéder qu'à leurs propres données.
• Limitation du débit sur les points d'accès d'authentification.
• Sauvegardes chiffrées hors site.
• Authentification à deux facteurs facultative (lorsque votre fournisseur de connexion la prend en charge).
• Audits de sécurité périodiques et revues des dépendances.

Nous notifierons la HDPA dans les 72 heures suivant la prise de connaissance d'une violation de données à caractère personnel présentant un risque pour les droits des utilisateurs (art. 33 du RGPD). Lorsque la violation est susceptible d'engendrer un risque élevé pour vos droits, nous vous en informerons directement dans les meilleurs délais (art. 34).

10. Publicité

Lorsque la publicité est active sur le Service, les publicités sont diffusées par Google AdSense. Des tiers, dont Google, utilisent des cookies pour diffuser des publicités en fonction de vos visites antérieures sur ce site ou sur d'autres sites. Vous pouvez gérer vos choix via la bannière de consentement affichée lors de votre première visite, ou en cliquant sur Paramètres des cookies dans le pied de page.

Vous pouvez également :

• Vous désinscrire de la publicité Google personnalisée à l'adresse adssettings.google.com.
• Vous désinscrire de l'utilisation de cookies par des fournisseurs tiers à des fins de publicité personnalisée à l'adresse aboutads.info (US Digital Advertising Alliance) ou youronlinechoices.com (European Interactive Digital Advertising Alliance).

Consultez notre Politique relative aux cookies pour l'inventaire complet des cookies publicitaires.

11. Résidents de Californie (CCPA / CPRA)

Si vous êtes résident de Californie, vous disposez de droits supplémentaires au titre du California Consumer Privacy Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA) :

• Droit de savoir quelles informations personnelles nous collectons, utilisons, divulguons et partageons.
• Droit de supprimer les informations personnelles.
• Droit de corriger les informations personnelles inexactes.
• Droit de refuser la vente ou le partage des informations personnelles à des fins de publicité comportementale inter-contextes.
• Droit à la non-discrimination en cas d'exercice de vos droits.

Nous ne vendons pas vos informations personnelles. Pour soumettre une demande, utilisez les outils en libre-service de l'application ou écrivez à fokompet@gmail.com. Nous respectons également les signaux Global Privacy Control (GPC) lorsqu'ils sont transmis par votre navigateur.

12. Modifications de la présente Politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Les modifications importantes seront annoncées dans l'application via la cloche de notifications. La date d'entrée en vigueur figurant en haut reflète la version actuelle. Les versions antérieures sont archivées et disponibles sur demande.

13. Contact

Pour toute question concernant la présente Politique ou vos droits, contactez-nous à fokompet@gmail.com.

Vous pouvez également contacter l'Autorité hellénique de protection des données :

• Autorité hellénique de protection des données (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα)
• Kifissias 1-3, 11523 Athènes, Grèce
• Téléphone : +30 210 6475 600
• Web : www.dpa.gr