Comment nous traitons tes données.
1. Responsable du traitement
Aucun délégué à la protection des données (DPO) n'a été désigné car les conditions imposant sa désignation ne sont pas réunies (art. 37 RGPD). Pour toute demande relative aux données personnelles, écris à l'adresse ci-dessus.
2. Données que nous collectons
La landing page mida.club ne collecte que les données que tu fournis volontairement en remplissant le formulaire d'inscription au programme bêta. En détail :
Étape 1 — email seul
- Adresse email
- Source du formulaire (à des fins d'analyse interne, p. ex. "hero", "footer")
- User-agent du navigateur et horodatage de l'inscription (logs techniques de sécurité)
- Langue choisie à l'inscription (pour t'envoyer les emails dans la bonne langue)
Étape 2 — complément de profil
- Nom et prénom
- Type de smartphone (iOS / Android)
- Numéro de téléphone (avec préfixe international) pour la future communication via WhatsApp
- Consentements : Conditions d'utilisation, Politique de confidentialité, case marketing optionnelle
- Horodatage d'acceptation des consentements
Nous ne demandons pas de données relevant des catégories particulières au sens de l'art. 9 RGPD (santé, biométrie, etc.). Toute information sur le type de peau ou la routine cosmétique gérée dans la future application ne fait pas partie de cette collecte sur la landing page.
3. Finalités et bases juridiques
| Finalité | Base juridique | Conservation |
|---|---|---|
| Gérer ton inscription au programme bêta privé de Mida et te contacter pour l'invitation bêta | Mesures précontractuelles à ta demande — art. 6 §1 b) RGPD | Jusqu'à 24 mois à compter de l'inscription, sauf demande de suppression anticipée |
| Communications de service liées à la bêta (invitation, instructions de téléchargement, fixes, communications de service) | Mesures précontractuelles — art. 6 §1 b) RGPD | Pendant toute la durée du programme bêta + 12 mois suivants |
| Communications promotionnelles sur Mida (newsletter, lancement, offres) — uniquement si tu as coché la case marketing | Consentement explicite — art. 6 §1 a) RGPD. Révocable à tout moment. | Jusqu'à révocation du consentement |
| Sécurité informatique, prévention des fraudes et abus (p. ex. inscriptions automatisées) | Intérêt légitime du Responsable — art. 6 §1 f) RGPD | 6 mois (logs) |
| Obligations légales (demandes d'autorités, contentieux) | Obligation légale — art. 6 §1 c) RGPD | Selon les délais prévus par la réglementation applicable |
Note sur la case marketing : nous l'utilisons actuellement uniquement pour des communications transactionnelles liées à la bêta (invitation, instructions). La case est donc conservatoire : même avec consentement, tu ne recevras pas de newsletters promotionnelles tant que Mida n'a pas été lancé officiellement. Lorsque le service sera opérationnel, tu recevras une communication préalable et pourras t'y opposer.
4. Modalités du traitement
Les données sont traitées avec des moyens électroniques, principalement de manière automatisée, en appliquant des mesures de sécurité techniques et organisationnelles adaptées au risque (chiffrement en transit via TLS, accès restreint à la base de données, authentification par tokens à portée limitée, logs et audit). Nous n'effectuons ni profilage ni décision automatisée produisant des effets juridiques à ton égard (art. 22 RGPD).
5. Destinataires
Tes données peuvent être accessibles aux tiers ci-dessous, chacun désigné Sous-traitant au sens de l'art. 28 RGPD (ou Responsable autonome le cas échéant) :
| Fournisseur | Fonction | Localisation |
|---|---|---|
| Google Cloud EMEA Ltd / Google LLC | Hébergement (Cloud Run, Artifact Registry, Secret Manager) | États-Unis — région us-central1 (Iowa) |
| Supabase Inc. | Base de données PostgreSQL gérée (stockage de tous les champs collectés) | États-Unis |
| Monogram CMS Inc. (Directus auto-hébergé) | Logiciel CMS open-source exécuté sur l'infrastructure Google Cloud précitée | — |
| Google Ireland Ltd | Google Workspace — boîtes @mida.club et réception des demandes RGPD | Irlande (UE) avec des sous-traitants internationaux |
| Google LLC (Google Fonts) | CDN de polices typographiques. Google peut recevoir ton IP au chargement de la page | États-Unis |
| OVH SAS | Bureau d'enregistrement du domaine mida.club (sans accès aux données d'inscription) | France (UE) |
| TikTok Technology Limited / TikTok Inc. | Pixel publicitaire pour la mesure des campagnes et le retargeting — actif uniquement avec ton consentement préalable au marketing | Irlande (UE) et États-Unis |
Tes données ne sont ni cédées à des tiers à des fins commerciales, ni vendues.
6. Transferts hors UE
Une partie de l'infrastructure technique (Google Cloud Run et la base de données Supabase) se trouve aux États-Unis. Ce transfert s'appuie sur les garanties suivantes :
- EU-US Data Privacy Framework — décision d'adéquation de la Commission européenne du 10 juillet 2023 (Google LLC est certifié).
- Clauses contractuelles types (CCT) — décision d'exécution UE 2021/914 signées avec Google Cloud et Supabase.
- TikTok — les données collectées par le pixel publicitaire (uniquement avec consentement) peuvent être transférées vers les États-Unis sur la base des clauses contractuelles types adoptées par TikTok.
- Mesures techniques supplémentaires : chiffrement at-rest et in-transit, contrôles d'accès minimaux, principe du moindre privilège.
Tu peux demander une copie des clauses contractuelles types en écrivant à info [at] mida [dot] club.
7. Tes droits
Au titre des articles 15 à 22 RGPD, tu peux à tout moment, gratuitement :
- Accéder aux données personnelles te concernant (art. 15)
- Rectifier des données inexactes ou les mettre à jour (art. 16)
- Demander la suppression de tes données ("droit à l'oubli") en l'absence d'obligation de conservation (art. 17)
- Obtenir la limitation du traitement (art. 18)
- Recevoir tes données dans un format structuré et couramment utilisé (portabilité, art. 20)
- T'opposer au traitement fondé sur l'intérêt légitime (art. 21)
- Retirer à tout moment les consentements donnés (art. 7 §3)
Pour exercer tes droits, écris à info [at] mida [dot] club. Nous répondrons sous 30 jours ; dans les cas complexes, le délai peut être prolongé de deux mois supplémentaires (art. 12 §3 RGPD).
8. Réclamation auprès de l'autorité de contrôle
Si tu estimes que le traitement de tes données viole le RGPD, tu as le droit de saisir le Garante per la Protezione dei Dati Personali italien (Piazza Venezia 11, 00187 Rome — www.garanteprivacy.it) ou l'autorité de contrôle de ton État de l'UE de résidence habituelle (en France : la CNIL).
9. Cookies et traçage
Pour une navigation normale, le site utilise uniquement des cookies techniques fonctionnels (langue et mémorisation de ton choix concernant le consentement). Les cookies de profilage du pixel TikTok ne sont installés que si tu consens au marketing en cochant la case prévue dans le formulaire d'inscription ; tu peux retirer ton consentement à tout moment (art. 7 §3 RGPD) en supprimant les cookies de ton navigateur ou en nous écrivant. Pour le détail des services tiers, consulte la Politique cookies.
10. Modifications de la politique
La politique peut être mise à jour. La date de la dernière révision est indiquée en haut. Les modifications substantielles te seront communiquées par email.