1. Responsable du traitement
Le responsable du traitement des données personnelles est Cod'Hash, éditeur de Magic List. Pour toute question relative à vos données, vous pouvez contacter notre délégué à la protection des données (DPO) à l'adresse [email protected].
2. Données collectées
Nous collectons : les données de compte (email, nom, mot de passe haché, photo de profil), les données de profil culinaire (préférences alimentaires, allergies, foyer), les contenus générés (recettes, listes de courses, planning, favoris, avis), les données techniques (adresse IP, user-agent, identifiants de session), et les données d'usage (pages vues, interactions) lorsque le consentement analytics est accordé.
3. Finalités du traitement
Vos données sont traitées pour : fournir et personnaliser le service, gérer votre compte et vos abonnements, sécuriser la plateforme, communiquer avec vous (transactionnel), améliorer le service via des statistiques agrégées (avec consentement), et répondre aux obligations légales.
4. Base légale
Le traitement repose sur : l'exécution du contrat (compte, abonnement, fourniture du service), votre consentement (cookies analytics et marketing, communications promotionnelles), notre intérêt légitime (sécurité, prévention de la fraude), et nos obligations légales (facturation, conservation comptable).
5. Durée de conservation
Compte actif : pendant toute la durée d'utilisation. Compte inactif : suppression automatique après 3 ans d'inactivité. Données de facturation : 10 ans (obligation légale). Logs de sécurité : 12 mois. Données de prospection : 3 ans après le dernier contact.
6. Sous-traitants et destinataires
Vos données peuvent être traitées par nos sous-traitants : Vercel et Railway (hébergement, UE/US sous clauses contractuelles types), Cloudinary (stockage des images), Resend (envoi d'emails transactionnels), Better Auth (authentification), Stripe et RevenueCat (paiements), PostHog et Google Analytics (statistiques, sur consentement). Vos données ne sont jamais vendues à des tiers.
7. Transferts hors UE
Certains sous-traitants (Vercel, Cloudinary, Resend, PostHog) peuvent transférer des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne et, le cas échéant, le Data Privacy Framework.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement, portabilité, limitation du traitement, opposition, et retrait du consentement à tout moment. Vous pouvez exercer ces droits depuis votre espace compte ou en contactant [email protected]. Une réponse vous sera apportée sous 30 jours.
9. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : 3 Place de Fontenoy, 75007 Paris — www.cnil.fr.