Politique de confidentialité
Dernière mise à jour : Mars 2026 — Conforme RGPD (UE 2016/679)
1. Responsable du traitement
Écu — Géomancie traditionnelle
Site : geomancie.fr
Contact DPO : contact@geomancie.fr
2. Données collectées
Lors de la création de compte
- Adresse e-mail (obligatoire)
- Prénom et nom (facultatifs)
- Mot de passe (chiffré par bcrypt, jamais stocké ni accessible en clair)
Lors des consultations
- Texte de la question posée
- Domaine de la question (amour, travail, santé, etc.)
- Résultat du tirage (figures géomantiques générées par le geste de l'utilisateur)
- Interprétation générée
- Note et commentaire (uniquement si laissés volontairement)
Données techniques
- Adresse IP (utilisée uniquement pour la limitation à une consultation par jour, effacée quotidiennement)
- Données de navigation (cookies essentiels de session)
Données de paiement
- Les paiements sont traités exclusivement par Stripe (certifié PCI DSS niveau 1).
- Écu ne collecte, ne stocke et ne traite aucune donnée bancaire (numéro de carte, date d'expiration, cryptogramme).
- Seul un identifiant client Stripe est conservé pour la gestion des abonnements.
3. Finalités du traitement
- Gestion des comptes utilisateurs et authentification
- Fourniture du service de consultation géomantique
- Gestion des abonnements et paiements
- Envoi d'e-mails transactionnels (confirmation, renouvellement, réinitialisation de mot de passe)
- Modération des avis publiés
- Amélioration du service (statistiques anonymisées)
4. Base légale du traitement
- Exécution du contrat (article 6.1.b du RGPD) : gestion du compte, fourniture du service, facturation
- Consentement (article 6.1.a du RGPD) : cookies d'analyse (si activés), avis et commentaires
- Obligation légale (article 6.1.c du RGPD) : conservation des données de facturation pendant 10 ans
- Intérêt légitime (article 6.1.f du RGPD) : sécurité du service, prévention des abus
5. Non-partage des données avec des tiers
Écu ne vend, ne cède et ne partage jamais vos données personnelles à des fins commerciales avec des tiers. Vos questions, vos consultations et vos informations personnelles restent strictement confidentielles.
Les seuls transferts de données ont lieu vers les sous-traitants techniques listés à la section 8, exclusivement dans le cadre de la fourniture du service.
6. Durées de conservation
| Données | Durée | Justification |
|---|
| Données de compte (email, prénom, nom) | Jusqu'à suppression du compte par l'utilisateur | Exécution du contrat |
| Historique des consultations (questions, interprétations) | Jusqu'à suppression du compte | Exécution du contrat |
| Adresses IP | 24 heures maximum | Limitation technique (1 consultation/jour) |
| Données de facturation (montants, dates, identifiants Stripe) | 10 ans à compter de la transaction | Obligation légale comptable (article L.123-22 du Code de commerce) |
| Avis et commentaires publiés | Jusqu'à suppression du compte ou retrait de l'avis | Consentement |
| Données après suppression du compte | Suppression immédiate, sauf données de facturation (10 ans) | Obligation légale |
7. Sécurité et chiffrement des données
Écu met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via le protocole TLS 1.2+ (HTTPS). Le certificat SSL est vérifié et renouvelé automatiquement.
- Chiffrement au repos : les données stockées dans la base de données Supabase sont chiffrées au repos (AES-256).
- Mots de passe : chiffrés par l'algorithme bcrypt avec salage. Aucun mot de passe n'est stocké en clair. Même les administrateurs du service n'y ont pas accès.
- Authentification sécurisée : tokens JWT avec expiration courte (1 heure), refresh tokens avec rotation automatique.
- Accès restreint : l'accès aux données de production est limité par des clés de service distinctes (anon key / service key). L'API admin est protégée par mot de passe et vérification 2FA par email.
- Headers de sécurité : X-Frame-Options, Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options sont appliqués sur toutes les pages.
- Paiements : aucune donnée bancaire ne transite par nos serveurs. Stripe gère l'intégralité du processus de paiement dans un environnement PCI DSS niveau 1.
8. Sous-traitants techniques
| Prestataire | Rôle | Localisation | Garanties |
|---|
| Supabase | Authentification, base de données | UE (Francfort, Allemagne) | Conforme RGPD, chiffrement AES-256 |
| Stripe | Paiements | Irlande (UE) + USA | PCI DSS niveau 1, clauses contractuelles types (CCT) |
| Netlify | Hébergement du site | USA | Clauses contractuelles types (CCT), SOC 2 Type II |
| Google Apps Script | Traitement des interprétations | UE/USA | Clauses contractuelles types (CCT), ISO 27001 |
| Anthropic (Claude) | Génération d'interprétations | USA | Données non utilisées pour l'entraînement, API zero-retention |
Ces sous-traitants n'accèdent aux données que dans le cadre strict de la fourniture du service et sont liés par des obligations de confidentialité.
9. Cookies
Écu utilise exclusivement des cookies essentiels au fonctionnement du service :
- Cookie de session Supabase : stocké dans le localStorage, nécessaire à l'authentification
- Cookie de consentement : mémorise votre choix concernant les cookies
Aucun cookie publicitaire, de tracking ou de profilage n'est utilisé. Aucun service d'analyse tiers (Google Analytics, Facebook Pixel, etc.) n'est intégré.
10. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (article 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification (article 16) : corriger vos données inexactes ou incomplètes
- Droit à l'effacement (article 17, « droit à l'oubli ») : demander la suppression de vos données (exercable directement depuis votre espace client)
- Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition (article 21) : vous opposer au traitement de vos données
- Droit à la limitation (article 18) : demander la restriction temporaire du traitement
- Droit de retirer votre consentement à tout moment pour les traitements fondés sur celui-ci
Pour exercer ces droits : contact@geomancie.fr. Réponse sous 30 jours conformément au RGPD.
Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr
11. Suppression de compte
Vous pouvez supprimer votre compte à tout moment depuis votre espace client (Paramètres → Mon compte → Supprimer mon compte). La suppression entraîne l'effacement immédiat et définitif de :
- Votre profil et vos identifiants d'authentification
- L'historique de vos consultations (questions et interprétations)
- Vos avis et commentaires
- Vos notifications et messages
Seules les données de facturation sont conservées pendant 10 ans conformément aux obligations légales comptables.
12. Modifications de la politique
Écu se réserve le droit de modifier la présente politique. En cas de modification substantielle, les utilisateurs seront informés par e-mail et/ou par notification dans leur espace client. La date de dernière mise à jour figure en haut de cette page.