Cinecyclop · Intermittor ← Retour à l'app
RGPD — Données personnelles

Politique de Confidentialité

Dernière mise à jour : 13 mai 2026

Préambule

La présente Politique de Confidentialité décrit la manière dont Cinecyclop · Intermittor, édité par la SASU NOLO (représentée par Côme Naulleau), collecte, utilise et protège les données à caractère personnel de ses utilisateurs, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

Les bases légales du traitement sont :

  • le consentement de l'utilisateur (Art. 6.1.a RGPD) ;
  • l'exécution du contrat entre l'utilisateur et l'Éditeur (Art. 6.1.b RGPD) ;
  • l'intérêt légitime de l'Éditeur à assurer la sécurité et le bon fonctionnement du Service (Art. 6.1.f RGPD).

Article 1 — Responsable de traitement

Le responsable de traitement au sens du RGPD est :

SASU NOLO

Représentée par Côme Naulleau

48 rue du Montparnasse, France

Contact : nolo.come@gmail.com

Article 2 — Données collectées

Les données suivantes peuvent être collectées et traitées :

2.1 — Données d'inscription et d'authentification

  • adresse email ;
  • mot de passe (stocké de manière hachée et salée — l'Éditeur n'y a jamais accès en clair) ;
  • identifiant Google ou Apple (en cas de connexion OAuth « Continuer avec Google » ou « Sign in with Apple ») ;
  • date de création du compte et dernière connexion.

2.2 — Données du profil Intermittor

Saisies volontairement par l'utilisateur pour le pré-remplissage de feuilles d'heures et estimations administratives :

  • nom, prénom, surnom ;
  • profession (chef opérateur, électricien, machiniste, etc.) ;
  • date d'anniversaire France Travail (date de bascule annuelle) ;
  • numéro de Sécurité sociale ;
  • numéro Congés Spectacles ;
  • numéro Audiens ;
  • adresse postale ;
  • numéro de téléphone.

Note légale — Numéro de Sécurité sociale (NIR) : conformément à l'article 30 de la loi Informatique et Libertés et au décret n° 2019-341 du 19 avril 2019, le NIR est traité ici dans le cadre exclusif d'un usage personnel par l'utilisateur (auto-saisie de feuilles d'heures, simulations administratives). Il n'est ni transmis à un tiers, ni utilisé pour des finalités d'identification ou de rapprochement automatisé. L'utilisateur reste libre de ne pas le renseigner.

2.3 — Données des feuilles d'heures

  • heures travaillées (début, fin, pauses) ;
  • salaire brut, indemnités, primes ;
  • dates de travail ;
  • noms des projets, productions et employeurs ;
  • convention collective applicable.

2.4 — Données de facturation (Stripe)

  • email du payeur ;
  • identifiant client Stripe ;
  • statut de l'abonnement (essai, actif, annulé, expiré) ;
  • dates de période courante et de fin d'essai.

Aucune donnée bancaire (numéro de carte, CVV, etc.) n'est collectée ni stockée par l'Éditeur. Ces informations sont exclusivement traitées par Stripe, dans son environnement certifié PCI-DSS niveau 1.

2.5 — Logs techniques

  • adresse IP ;
  • user-agent (navigateur, système d'exploitation) ;
  • pages consultées ;
  • durée de session, événements d'erreur.

Ces logs sont conservés au maximum 30 jours, puis anonymisés ou supprimés.

Article 3 — Finalités du traitement

  • Fournir le service : exécuter les calculs photométriques et administratifs demandés par l'utilisateur.
  • Synchroniser les données entre les appareils de l'utilisateur (téléphone, tablette, ordinateur).
  • Facturer l'abonnement et gérer les paiements via Stripe.
  • Assurer le support et répondre aux demandes des utilisateurs.
  • Améliorer le service via des statistiques agrégées et anonymes (aucun profilage individuel).
  • Garantir la sécurité (détection de tentatives d'accès non autorisé, anti-fraude).
  • Respecter les obligations légales (comptabilité, fiscalité).

Article 4 — Destinataires et sous-traitants

Les données peuvent être communiquées aux sous-traitants suivants, tous engagés par contrat à respecter le RGPD :

  • Supabase (Irlande, UE) — stockage de la base de données et authentification.
  • Stripe Payments Europe Ltd (Irlande, UE) — traitement des paiements et abonnements.
  • Resend (UE) — envoi des emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications d'abonnement).
  • Hostinger (Lituanie, UE) — hébergement du front-end statique.
  • Vercel — hébergement du back-end serverless (région UE configurée par défaut, sinon clauses contractuelles types).
  • Cloudflare — service de captcha anti-bot Turnstile (uniquement sur les pages d'inscription et connexion).

Annuaire des utilisateurs — Pour faciliter l'ajout de contacts entre professionnels, votre nom d'affichage, votre métier et votre adresse email partiellement masquée sont visibles dans un annuaire interne, consultable par les autres utilisateurs authentifiés du Service. Cette visibilité est activée par défaut. Vous pouvez vous en retirer à tout moment depuis Mon compte → « Visible dans l'annuaire » ; votre adresse email complète n'est jamais exposée et l'annuaire n'est accessible à aucune personne non connectée.

Aucune donnée n'est revendue ni transmise à des tiers à des fins publicitaires ou commerciales.

Article 5 — Durée de conservation

  • Compte utilisateur actif : tant que le compte est actif. Un compte inactif depuis plus de 3 ans peut être supprimé après notification.
  • Données de profil et feuilles d'heures : jusqu'à la suppression du compte par l'utilisateur.
  • Logs techniques : 30 jours maximum.
  • Données comptables et factures : 10 ans, conformément à l'article L.123-22 du Code de commerce.
  • Données fiscales : 6 ans, conformément à l'article L.102 B du Livre des procédures fiscales.

À l'issue de ces périodes, les données sont définitivement supprimées ou anonymisées.

Article 6 — Droits de l'utilisateur

Conformément aux articles 13 à 22 du RGPD, l'utilisateur dispose des droits suivants :

  • Droit d'accès (Art. 15) — obtenir confirmation du traitement et copie de ses données. Une fonction d'export complet est en cours d'intégration via l'API. À défaut, demande par email.
  • Droit de rectification (Art. 16) — corriger ses données directement dans l'application via l'écran « Profil ».
  • Droit à l'effacement ou « droit à l'oubli » (Art. 17) — supprimer définitivement son compte et l'ensemble des données associées. Cette opération est irréversible.
  • Droit à la portabilité (Art. 20) — recevoir ses données dans un format structuré, couramment utilisé et lisible par machine (JSON).
  • Droit d'opposition et de limitation du traitement (Art. 18 et 21).
  • Droit de retirer le consentement à tout moment, sans porter atteinte à la licéité des traitements antérieurs.
  • Droit de définir des directives relatives au sort de ses données après son décès (Art. 85 loi Informatique et Libertés).

Comment exercer ces droits ?
En envoyant un email à nolo.come@gmail.com avec une preuve d'identité si nécessaire. L'Éditeur s'engage à répondre dans un délai maximum d'un mois. Pour faciliter ces démarches, voir le Centre RGPD.

Article 7 — Cookies et stockage local

Cinecyclop · Intermittor utilise uniquement des cookies et mécanismes de stockage strictement nécessaires au fonctionnement du Service. Aucun cookie publicitaire ni traceur tiers n'est installé. Aucun bandeau de consentement n'est requis au sens de la directive ePrivacy.

Détail :

  • Cookie de session Supabase — maintient l'authentification de l'utilisateur connecté.
  • cscState (localStorage) — sauvegarde locale de l'état de l'application (préférences, dernier calcul en cours).
  • csc_local_backup_* (localStorage) — sauvegardes anti-perte des feuilles d'heures.
  • Cache du Service Worker — pour le mode hors-ligne et l'accélération du chargement.

L'utilisateur peut effacer ces données via les paramètres de son navigateur ou en appelant l'URL /tools/?clear=1 qui réinitialise le cache local et le Service Worker.

Article 8 — Sécurité

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données :

  • chiffrement HTTPS / TLS de bout en bout sur tous les échanges ;
  • Row Level Security (RLS) activée sur la base Supabase : chaque utilisateur n'a accès qu'à ses propres données ;
  • hachage des mots de passe (bcrypt / scrypt) ;
  • sauvegardes chiffrées et régulières de la base de données ;
  • accès au back-office restreint à l'Éditeur, protégé par authentification forte ;
  • captcha Turnstile de Cloudflare sur les formulaires d'authentification (anti-bot) ;
  • Content Security Policy (CSP) stricte sur le front pour limiter les risques d'injection.

Article 9 — Transferts hors Union européenne

En production, l'ensemble des données est hébergé au sein de l'Espace économique européen (EEE). Aucun transfert systématique vers un pays tiers n'est mis en œuvre.

Dans l'hypothèse où un sous-traitant aurait recours à une infrastructure située hors de l'EEE, ce transfert serait encadré par les clauses contractuelles types approuvées par la Commission européenne (Décision (UE) 2021/914), ou tout autre mécanisme reconnu par le RGPD.

Article 10 — Recours auprès de la CNIL

En cas de désaccord persistant sur le traitement de ses données, l'utilisateur dispose du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07

Téléphone : 01 53 73 22 22

Site : www.cnil.fr

Contact

Pour toute question relative à la présente Politique de Confidentialité ou à l'exercice de vos droits :
nolo.come@gmail.com