Accueil Fonctionnalités Intelligence Philosophie Tarifs FAQ Guide Téléchargement
Connexion Inscription

Politique de Confidentialité

Dernière mise à jour : 28 mai 2026

La présente Politique de Confidentialité décrit la manière dont Tidl (« nous ») collecte, utilise et protège vos données personnelles lorsque vous utilisez l'application et le site tidl.app. Elle complète les Conditions Générales d'Utilisation et s'applique à tous les Utilisateurs, qu'ils disposent ou non d'un compte.

1. Responsable de traitement

Le responsable de traitement au sens du Règlement (UE) 2016/679 (RGPD) et de la loi « Informatique et Libertés » est :

  • Éditeur : [NOM DE L'ENTREPRISE OU NOM PRÉNOM], [forme juridique]
  • Siège social : [ADRESSE COMPLÈTE]
  • Contact : contact@tidl.app
  • Hébergeur : [NOM DE L'HÉBERGEUR], [ADRESSE HÉBERGEUR]

Tidl n'a pas l'obligation de désigner un Délégué à la Protection des Données (DPO). Toute demande relative à vos données peut être adressée directement à l'éditeur via le formulaire de contact.

2. Données collectées

Nous appliquons un principe de minimisation : nous ne collectons que les données strictement nécessaires au fonctionnement du Service.

2.1 Données de compte

  • Adresse e-mail — identifiant de connexion, communication transactionnelle (réinitialisation de mot de passe, confirmation d'achat).
  • Mot de passe — jamais stocké en clair, conservé sous forme de condensat (hachage bcrypt). Optionnel si vous utilisez Google.
  • Prénom (facultatif) — pour personnaliser l'interface et les e-mails.
  • Langue préférée — pour servir l'interface dans la bonne langue (fr/en).
  • Identifiant Google (uniquement si vous vous connectez via Google) — identifiant unique « sub » fourni par Google. Nous n'accédons à aucune autre donnée de votre compte Google (Gmail, Drive, contacts, etc.).

2.2 Données de paiement

  • Paiement par carte — traité directement par Stripe. Nous ne voyons ni ne stockons jamais votre numéro de carte. Nous recevons uniquement un identifiant de transaction Stripe, le montant, la devise et le statut.
  • Données de facturation — adresse e-mail de l'acheteur, date, montant, identifiant de licence. Conservées 10 ans pour obligation comptable et fiscale (article L123-22 du Code de commerce).
  • Clé de licence — générée localement et associée à votre compte si vous achetez la version Premium.

2.3 Données de synchronisation (chiffrées de bout en bout)

Si vous activez la synchronisation Premium, vos données applicatives (tâches, routines, sessions de focus, notes du Bazar, etc.) sont envoyées vers nos serveurs uniquement sous forme chiffrée.

  • Charge utile chiffrée — la clé de chiffrement est dérivée de votre mot de passe et ne quitte jamais votre appareil. Nous ne pouvons pas lire le contenu.
  • Métadonnées techniques — taille du blob chiffré, horodatage, identifiant d'opération, numéro de version. Nécessaires à la résolution des conflits de synchronisation.

2.4 Données techniques

  • Adresse IP — utilisée pour la sécurité (limitation de débit, détection d'abus) et écrite dans les journaux serveur.
  • User-Agent et plateforme — pour adapter les téléchargements (Android, PWA) et diagnostiquer les bugs.
  • Journaux d'erreurs — empilements d'erreurs serveur, sans contenu utilisateur en clair.

2.5 Données issues de vos interactions

  • Messages de contact — contenu du message, e-mail de réponse, langue.
  • Rapports de bug — description envoyée volontairement, plateforme, version de l'application.

3. Finalités et bases légales

Chaque traitement repose sur une base légale au sens de l'article 6 du RGPD.

Finalité Base légale Données concernées
Création et gestion de votre compte Exécution du contrat (CGU) E-mail, mot de passe haché, prénom, identifiant Google
Synchronisation chiffrée entre appareils Exécution du contrat (Premium) Charge utile chiffrée, métadonnées techniques
Traitement des paiements et facturation Exécution du contrat + obligation légale (comptabilité) E-mail, identifiants Stripe, montant, licence
Connexion via Google Consentement (OAuth) Identifiant Google « sub », e-mail vérifié
Sécurité, lutte contre la fraude et l'abus Intérêt légitime IP, User-Agent, journaux
Support utilisateur et rapports de bug Intérêt légitime + consentement E-mail, message, version de l'application
Envoi d'e-mails transactionnels Exécution du contrat E-mail, prénom, langue

4. Ce que nous ne collectons pas

Tidl est conçu autour du principe « privacy-first ». Nous ne collectons jamais :

  • Données de santé — Tidl n'est pas un dispositif médical. Aucune mesure biométrique, médicale, de fréquence cardiaque, de sommeil ou autre.
  • Données de géolocalisation précise — pas de GPS, pas de suivi de position.
  • Données biométriques — pas de reconnaissance faciale, vocale ou d'empreinte.
  • Traceurs publicitaires — pas de pixels Facebook/Meta, pas de Google Analytics, pas de profilage marketing.
  • Contenu de vos tâches, notes et routines en clair sur nos serveurs — il est chiffré côté client avant transmission.
  • Vos contacts, votre carnet d'adresses, vos photos ou tout autre fichier de votre appareil.

5. Destinataires et sous-traitants

Vos données sont accessibles uniquement aux personnes autorisées de Tidl et aux sous-traitants suivants, strictement nécessaires au fonctionnement du Service :

  • Stripe Payments Europe Ltd. (Irlande) — traitement des paiements par carte. Politique de confidentialité Stripe.
  • Google Ireland Ltd. — authentification OAuth lorsque vous choisissez « Se connecter avec Google ». Politique de confidentialité Google.
  • Hébergeur d'infrastructure — voir article 1. Données stockées dans l'Union européenne.
  • Google Play Store / Apple App Store — si vous achetez l'application via un store, le store gère le paiement et nous transmet uniquement la preuve d'achat anonymisée.

Nous ne vendons, ne louons ni n'échangeons vos données personnelles. Aucune publicité ciblée n'est servie via Tidl.

6. Transferts hors Union européenne

Les données stockées par Tidl résident dans l'Union européenne. Toutefois, certains sous-traitants (Stripe, Google) peuvent traiter des données depuis ou vers les États-Unis.

Ces transferts sont encadrés par des Clauses Contractuelles Types approuvées par la Commission européenne et, lorsque applicable, par le Data Privacy Framework (DPF) UE-États-Unis. Aucune donnée chiffrée de synchronisation n'est transférée hors UE.

7. Durées de conservation

Nous conservons vos données uniquement le temps nécessaire à la finalité poursuivie :

  • Compte utilisateur — conservé tant que votre compte est actif, puis supprimé à votre demande ou après 24 mois d'inactivité (préavis envoyé par e-mail).
  • Données de synchronisation chiffrées — supprimées immédiatement à la suppression de votre compte ou à la désactivation de la sync.
  • Données de facturation — conservées 10 ans pour obligation comptable (article L123-22 du Code de commerce). Utilisées uniquement en cas de contrôle fiscal ou de demande explicite de renvoi de clé.
  • Messages de contact et rapports de bug — conservés 3 ans après le dernier échange.
  • Journaux serveur et erreurs — conservés 12 mois maximum, puis purgés automatiquement.
  • Jetons de session et de rafraîchissement — durée de vie courte (jetons d'accès) ou révocables (jetons de rafraîchissement). Invalidés à la déconnexion.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès — obtenir copie des données que nous détenons sur vous.
  • Droit de rectification — corriger des informations inexactes (prénom, e-mail).
  • Droit à l'effacement (« droit à l'oubli ») — demander la suppression de votre compte et de vos données.
  • Droit à la limitation — restreindre temporairement le traitement.
  • Droit à la portabilité — récupérer vos données dans un format structuré (JSON), réutilisable.
  • Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.
  • Retrait du consentement — pour les traitements basés sur le consentement (Google OAuth notamment), à tout moment.
  • Directives post-mortem — définir le sort de vos données après votre décès (loi française du 7 octobre 2016).

Pour exercer ces droits, contactez-nous via le formulaire de contact ou à contact@tidl.app. Une réponse vous sera apportée sous 1 mois maximum. Une preuve d'identité pourra être demandée en cas de doute raisonnable.

En libre-service depuis l'application : vous pouvez à tout moment exporter vos données ou supprimer votre compte depuis votre profil (rubrique « Mon compte »).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL — 3 place de Fontenoy, 75007 Paris — cnil.fr/fr/plaintes.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

  • Chiffrement en transit — toutes les communications utilisent TLS 1.2 ou supérieur (HTTPS).
  • Chiffrement de bout en bout pour la synchronisation — vos données applicatives sont chiffrées sur votre appareil avant tout envoi. La clé de chiffrement est dérivée de votre mot de passe et n'est jamais transmise à nos serveurs.
  • Hachage des mots de passe — bcrypt avec sel aléatoire. Les mots de passe en clair ne sont jamais stockés.
  • Authentification par jetons signés — jetons d'accès de courte durée + jetons de rafraîchissement révocables. Liés à l'appareil.
  • Webhooks Stripe signés et vérifiés — pour empêcher l'usurpation de notifications de paiement.
  • Isolation par utilisateur — chaque utilisateur ne peut accéder qu'à ses propres données, vérifié à chaque requête côté serveur.

Aucune transmission sur Internet ni méthode de stockage électronique n'est totalement sûre à 100 %. Nous nous engageons à mettre en œuvre les meilleures pratiques de l'industrie, sans pouvoir garantir une sécurité absolue.

En cas de violation de données présentant un risque pour vos droits et libertés, vous serez informé sans délai injustifié, et la CNIL sera notifiée dans les 72 heures conformément à l'article 33 du RGPD.

10. Cookies et stockage local

Tidl utilise uniquement des cookies et des éléments de stockage strictement nécessaires au fonctionnement du Service :

  • Cookie de session — pour vous maintenir connecté. Supprimé à la déconnexion ou à l'expiration.
  • Jeton CSRF — pour protéger les formulaires contre les attaques par falsification de requête.
  • Préférence de langue — pour servir l'interface dans la langue choisie.

Aucun cookie tiers, aucun cookie publicitaire, aucun outil d'analyse comportementale (pas de Google Analytics, pas de Meta Pixel).

L'application utilise également le stockage local de votre appareil (IndexedDB, localStorage) pour héberger vos données en mode hors-ligne. Ces données restent sur votre appareil et ne nous sont pas transmises sans votre action explicite (sync, export, etc.).

11. Mineurs

Tidl n'est pas destiné aux enfants de moins de 15 ans (France) ou de l'âge minimum requis dans votre pays de résidence (13 à 16 ans selon les juridictions de l'Union européenne). Conformément à l'article 8 du RGPD, le consentement parental est requis en deçà de cet âge.

Si vous estimez qu'un enfant nous a transmis des données sans autorisation parentale, contactez-nous à contact@tidl.app : nous procéderons à la suppression du compte sans délai.

12. Modifications et contact

12.1 Modifications de la présente politique

Nous pouvons être amenés à modifier cette Politique de Confidentialité pour refléter une évolution du Service, de nos sous-traitants ou de la réglementation. La date de dernière mise à jour figure en haut de la page. En cas de modification substantielle, vous serez informé par e-mail ou via une notification dans l'application au moins 30 jours avant l'entrée en vigueur.

12.2 Nous contacter

Pour toute question relative à vos données personnelles ou à l'exercice de vos droits :

  • Formulaire : Nous contacter
  • E-mail : contact@tidl.app
  • Adresse postale : [NOM DE L'ENTREPRISE], [ADRESSE COMPLÈTE]