← Retour à l'app Cinecyclop · Intermittor
RGPD — Données personnelles

Politique de Confidentialité

Dernière mise à jour : 1er juin 2026

Préambule

La présente Politique de Confidentialité décrit la manière dont Cinecyclop · Intermittor, édité par la SASU NOLO (représentée par Côme Naulleau), collecte, utilise et protège les données à caractère personnel de ses utilisateurs, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

Les bases légales du traitement sont :

  • le consentement de l'utilisateur (Art. 6.1.a RGPD) ;
  • l'exécution du contrat entre l'utilisateur et l'Éditeur (Art. 6.1.b RGPD) ;
  • l'intérêt légitime de l'Éditeur à assurer la sécurité et le bon fonctionnement du Service (Art. 6.1.f RGPD).

Article 1 — Responsable de traitement

Le responsable de traitement au sens du RGPD est :

SASU NOLO — capital 500 €

Représentée par Côme Naulleau, président

48 rue du Montparnasse, 75014 Paris

SIREN 929 156 404 · RCS Paris

Contact : nolo.come@gmail.com

Article 2 — Données collectées

Les données suivantes peuvent être collectées et traitées :

2.1 — Données d'inscription et d'authentification

  • adresse email ;
  • mot de passe (stocké de manière hachée et salée — l'Éditeur n'y a jamais accès en clair) ;
  • identifiant Google ou Apple (en cas de connexion OAuth « Continuer avec Google » ou « Sign in with Apple ») ;
  • date de création du compte et dernière connexion.

2.2 — Données du profil Intermittor

Saisies volontairement par l'utilisateur pour le pré-remplissage de feuilles d'heures et estimations administratives :

  • nom, prénom, surnom ;
  • profession (chef opérateur, électricien, machiniste, etc.) ;
  • date d'anniversaire France Travail (date de bascule annuelle) ;
  • numéro Congés Spectacles, numéro Audiens ;
  • numéro de sécurité sociale (optionnel, pour pré-remplir les fiches de renseignement) ;
  • coordonnées bancaires IBAN / RIB (optionnel, pour pré-remplir les feuilles d'heures envoyées aux productions) ;
  • adresse postale ;
  • numéro de téléphone ;
  • situation France Travail : allocation journalière (AJ), salaire de référence, nombre d'heures travaillées (NHT), franchises congés payés / salaire, date de réexamen, dates d'arrêt maladie (les valeurs proviennent de la notification ARE importée ou de la saisie manuelle).

2.3 — Données des feuilles d'heures et projets

  • heures travaillées (début, fin, pauses) ;
  • salaire brut, indemnités, primes, cachets ;
  • dates de travail ;
  • noms des projets, productions et employeurs ;
  • convention collective applicable et réglages avancés (équivalence, plafonnement, journée continue, etc.) ;
  • équipe : noms, métiers, conventions, emails et téléphones des intermittents collaborateurs ajoutés par l'utilisateur (avec leur autorisation) ;
  • notes libres saisies par l'utilisateur sur un projet ou une feuille.

2.4 — Documents importés (justificatifs et pièces jointes)

L'utilisateur peut joindre volontairement :

  • Justificatifs de notes de frais (tickets restaurant, taxi, hôtel… JPG / PNG / WebP / HEIC / PDF), avec extraction optionnelle du montant par OCR local ;
  • Documents projet : contrats CDDU, bulletins de paie, attestations employeur mensuelles (AEM), notifications France Travail (PDF), devis de bijoute ;
  • Ces fichiers sont stockés chiffrés sur les serveurs de stockage Supabase (Irlande, UE) ou Hostinger (UE West) selon configuration. Accessibles uniquement par leur propriétaire ; suppressibles à tout moment.

2.5 — Jetons de notification push (application native)

  • jeton APNs (Apple) ou FCM (Google) délivré par le système, lié au compte utilisateur ;
  • utilisé exclusivement pour envoyer le rappel d'actualisation France Travail si l'utilisateur a activé cette option ;
  • supprimable en désactivant les notifications dans les réglages de l'app ou du système iOS / Android.

2.6 — Contributions anonymes (opt-in)

Si et seulement si l'utilisateur active l'opt-in correspondant :

  • Taux praticables partagés : agrégat anonyme convention + métier + taux horaire pratiqué (jamais associé au nom) ;
  • Corpus de listes matériel (Cinecyclop) : identifiants canoniques des items détectés dans un devis, sans noms de production / client / prix.

2.7 — Données de facturation (Stripe)

  • email du payeur ;
  • identifiant client Stripe ;
  • statut de l'abonnement (essai, actif, annulé, expiré) ;
  • dates de période courante et de fin d'essai.

Aucune donnée bancaire (numéro de carte, CVV, etc.) n'est collectée ni stockée par l'Éditeur. Ces informations sont exclusivement traitées par Stripe, dans son environnement certifié PCI-DSS niveau 1.

2.8 — Logs techniques

  • adresse IP ;
  • user-agent (navigateur, système d'exploitation) ;
  • pages consultées ;
  • durée de session, événements d'erreur.

Ces logs sont conservés au maximum 30 jours, puis anonymisés ou supprimés.

Article 3 — Finalités du traitement

  • Fournir le service : exécuter les calculs photométriques et administratifs demandés par l'utilisateur.
  • Synchroniser les données entre les appareils de l'utilisateur (téléphone, tablette, ordinateur).
  • Facturer l'abonnement et gérer les paiements via Stripe.
  • Assurer le support et répondre aux demandes des utilisateurs.
  • Améliorer le service via des statistiques agrégées et anonymes (aucun profilage individuel).
  • Garantir la sécurité (détection de tentatives d'accès non autorisé, anti-fraude).
  • Respecter les obligations légales (comptabilité, fiscalité).

Article 4 — Destinataires et sous-traitants

Les données peuvent être communiquées aux sous-traitants suivants, tous engagés par contrat à respecter le RGPD :

  • Supabase (Irlande, UE) — stockage de la base de données et authentification.
  • Stripe Payments Europe Ltd (Irlande, UE) — traitement des paiements et abonnements.
  • Resend (États-Unis) — envoi des emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications d'abonnement) ; transferts encadrés par les clauses contractuelles types.
  • Hostinger (UE West, datacenter en Lituanie) — hébergement du front-end statique et du stockage de fichiers.
  • Vercel — hébergement du back-end serverless en région UE (Paris, cdg1) configurée explicitement.
  • Cloudflare — service de captcha anti-bot Turnstile (uniquement sur les pages d'inscription et connexion).
  • Hugging Face — diffusion (CDN) du modèle d'analyse sémantique (MiniLM) utilisé localement par l'outil « Analyse de listes » de Cinecyclop. Le modèle est téléchargé puis exécuté sur votre appareil : aucune donnée personnelle ni contenu de liste n'est transmis à Hugging Face (seule l'adresse IP est exposée, comme pour tout téléchargement de fichier).

Annuaire des utilisateurs — Pour faciliter l'ajout de contacts entre professionnels, votre nom d'affichage, votre métier et votre adresse email partiellement masquée sont visibles dans un annuaire interne, consultable par les autres utilisateurs authentifiés du Service. Cette visibilité est désactivée par défaut (opt-in) : vous n'apparaissez dans l'annuaire que si vous l'activez explicitement depuis Mon compte → « Visible dans l'annuaire », et vous pouvez vous en retirer à tout moment. Votre adresse email complète n'est jamais exposée et l'annuaire n'est accessible à aucune personne non connectée.

Aucune donnée n'est revendue ni transmise à des tiers à des fins publicitaires ou commerciales.

Article 5 — Durée de conservation

  • Compte utilisateur actif : tant que le compte est actif. Un compte inactif depuis plus de 3 ans peut être supprimé après notification.
  • Données de profil et feuilles d'heures : jusqu'à la suppression du compte par l'utilisateur.
  • Logs techniques : 30 jours maximum.
  • Données comptables et factures : 10 ans, conformément à l'article L.123-22 du Code de commerce.
  • Données fiscales : 6 ans, conformément à l'article L.102 B du Livre des procédures fiscales.

À l'issue de ces périodes, les données sont définitivement supprimées ou anonymisées.

Article 6 — Droits de l'utilisateur

Conformément aux articles 13 à 22 du RGPD, l'utilisateur dispose des droits suivants :

  • Droit d'accès (Art. 15) — obtenir confirmation du traitement et copie de ses données. Une fonction d'export complet est en cours d'intégration via l'API. À défaut, demande par email.
  • Droit de rectification (Art. 16) — corriger ses données directement dans l'application via l'écran « Profil ».
  • Droit à l'effacement ou « droit à l'oubli » (Art. 17) — supprimer définitivement son compte et l'ensemble des données associées. Cette opération est irréversible.
  • Droit à la portabilité (Art. 20) — recevoir ses données dans un format structuré, couramment utilisé et lisible par machine (JSON).
  • Droit d'opposition et de limitation du traitement (Art. 18 et 21).
  • Droit de retirer le consentement à tout moment, sans porter atteinte à la licéité des traitements antérieurs.
  • Droit de définir des directives relatives au sort de ses données après son décès (Art. 85 loi Informatique et Libertés).

Comment exercer ces droits ?
En envoyant un email à nolo.come@gmail.com avec une preuve d'identité si nécessaire. L'Éditeur s'engage à répondre dans un délai maximum d'un mois. Pour faciliter ces démarches, voir le Centre RGPD.

Article 7 — Cookies et stockage local

Cinecyclop · Intermittor utilise uniquement des cookies et mécanismes de stockage strictement nécessaires au fonctionnement du Service. Aucun cookie publicitaire ni traceur tiers n'est installé. Aucun bandeau de consentement n'est requis au sens de la directive ePrivacy.

Détail :

  • Cookie de session Supabase — maintient l'authentification de l'utilisateur connecté.
  • cscState (localStorage) — sauvegarde locale de l'état de l'application (préférences, dernier calcul en cours).
  • csc_local_backup_* (localStorage) — sauvegardes anti-perte des feuilles d'heures.
  • Cache du Service Worker — pour le mode hors-ligne et l'accélération du chargement.

L'utilisateur peut effacer ces données via les paramètres de son navigateur ou en appelant l'URL /intermittor/?clear=1 qui réinitialise le cache local et le Service Worker.

Article 8 — Sécurité

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données :

  • chiffrement HTTPS / TLS de bout en bout sur tous les échanges ;
  • Row Level Security (RLS) activée sur la base Supabase : chaque utilisateur n'a accès qu'à ses propres données ;
  • hachage des mots de passe (bcrypt / scrypt) ;
  • sauvegardes chiffrées et régulières de la base de données ;
  • accès au back-office restreint à l'Éditeur, protégé par authentification forte ;
  • captcha Turnstile de Cloudflare sur les formulaires d'authentification (anti-bot) ;
  • Content Security Policy (CSP) stricte sur le front pour limiter les risques d'injection.

Article 9 — Transferts hors Union européenne

En production, la base de données et le back-end sont hébergés au sein de l'Espace économique européen (EEE) : Supabase (Irlande), Vercel (Paris) et Hostinger (UE West, Lituanie).

Deux sous-traitants peuvent traiter certaines données aux États-Unis : Stripe (données de facturation) et Resend (emails transactionnels). Ces transferts sont encadrés par les clauses contractuelles types approuvées par la Commission européenne (Décision (UE) 2021/914), ou tout autre mécanisme reconnu par le RGPD.

Article 10 — Recours auprès de la CNIL

En cas de désaccord persistant sur le traitement de ses données, l'utilisateur dispose du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07

Téléphone : 01 53 73 22 22

Site : www.cnil.fr

Contact

Pour toute question relative à la présente Politique de Confidentialité ou à l'exercice de vos droits :
nolo.come@gmail.com