Politique de Confidentialité
Dernière mise à jour : 10 avril 2026
Nous sommes Museum App Inc. (« Museum App », « nous », « notre »), une société enregistrée dans l'État du Texas, États-Unis.
Siège administratif :
5900 Balcones Drive Ste 100
Austin, TX 78731
États-Unis
1. Qui Nous Sommes et à Qui S'applique Cette Politique
Cette Politique de Confidentialité s'applique à notre site web (https://museum.app), aux applications mobiles (iOS et Android), et à tous les services connexes que nous offrons à nos utilisateurs.
En utilisant Museum App, vous acceptez les pratiques décrites dans cette Politique de Confidentialité. Si vous n'êtes pas d'accord, veuillez ne pas utiliser nos services.
2. Définitions Clés
- Données Personnelles : Informations qui identifient ou peuvent identifier une personne physique.
- Traitement : Toute opération effectuée sur des données personnelles (collecte, utilisation, stockage, transfert, suppression, etc.).
- Responsable du traitement : Entité qui détermine les finalités et les moyens du traitement (généralement, Museum App Inc.).
- Sous-traitant : Entité qui traite les données pour le compte du responsable du traitement (par exemple, hébergement, email, fournisseurs de paiement).
3. Données Que Nous Collectons
3.1 Informations Que Vous Fournissez Directement
Inscription et compte :
- Nom complet et nom d'utilisateur
- Adresse email
- Mot de passe (stocké via hachage cryptographique, jamais en clair)
- Pays de résidence
- Langue préférée
- Date de naissance (pour vérification de l'âge et personnalisation de l'expérience)
- Genre (optionnel)
Profil public et contenu :
- Photo de profil ou avatar
- Biographie et description publique
- Pays (visible sur votre profil public)
- Liens vers réseaux sociaux ou sites web personnels
- Préférences de catégories de collection
- Photos et descriptions d'objets de collection
- Publications, commentaires, messages publics et privés
- Musées virtuels, sections et contenu organisé
- Listes de recherche/wishlist de collectibles
Informations de contact et préférences :
- Numéro de téléphone et indicatif pays (optionnel)
- Préférences de confidentialité (compte public/privé, masquer dernière connexion, afficher/masquer cabinet de collectibles)
- Préférences système : devise, système de mesure, système de poids, format date et heure, séparateurs décimaux
- Paramètres de notification et d'alerte
Abonnements et facturation :
- Plan d'abonnement (Gratuit, Premium, Premium Max)
- Historique des paiements et factures
- ID client chez Stripe (notre processeur de paiement)
- 4 derniers chiffres de carte et informations de transaction (fournis par Stripe ; <strong>nous ne stockons pas les données complètes de carte</strong>)
- Devise de facturation préférée
Support et communications :
- Messages envoyés au support technique
- Pièces jointes, captures d'écran et reçus
- Métadonnées de communication (date, heure, sujet)
- Signalements de contenu ou d'utilisateurs inappropriés
3.2 Informations Collectées Automatiquement
Lorsque vous utilisez Museum App, nous collectons automatiquement certaines informations techniques et d'utilisation :
Données techniques et appareil :
- Adresse IP (avec troncature partielle le cas échéant pour des raisons de confidentialité)
- Géolocalisation approximative (pays et ville) dérivée de votre adresse IP via la base de données MaxMind GeoLite2 (consultation locale ; la base de données est téléchargée périodiquement depuis MaxMind, Inc., États-Unis — les adresses IP ne sont pas transférées par requête)
- Identifiants uniques d'appareil
- Système d'exploitation et version
- Type d'appareil (mobile, tablette, ordinateur)
- Navigateur web et version (user agent)
- Version de l'application mobile
- Langue du navigateur ou du système d'exploitation
- Paramètre de fuseau horaire
- Résolution d'écran
Données d'utilisation et d'activité :
- Pages visitées et temps passé
- Actions effectuées dans l'application (publier, commenter, aimer, sauvegarder, partager, suivre des utilisateurs)
- Événements d'interaction (clics, défilement, recherches)
- Durée de session active
- Dernière connexion et statut d'activité (lastSeen)
- Vues de publications, collectibles et sections de musée (avec métriques de durée)
- Historique de navigation dans la plateforme
- Erreurs techniques, plantages et performances de l'application
Sécurité et authentification :
- Historique de connexion (LoginHistory) : appareil, localisation géographique approximative, date et heure d'accès
- Jetons de session et cookies d'authentification (gérés par NextAuth)
- Modifications des données sensibles du compte (email, mot de passe, nom d'utilisateur, biographie) avec historique pour la sécurité
- Tentatives d'accès échouées ou suspectes
Cookies et technologies similaires :
Nous utilisons des cookies et technologies similaires (localStorage, sessionStorage) pour améliorer votre expérience. Pour plus d'informations, consultez notre Politique de Cookies.
3.3 Informations Provenant de Tiers
Authentification tierce (Single Sign-On) :
- Prénom et nom
- Adresse email
- Photo de profil (Google) ou email relay (Apple)
- ID utilisateur du fournisseur externe
Traitement des paiements (Stripe) :
- ID client (Stripe Customer ID)
- Statut d'abonnement (actif, annulé, expiré)
- 4 derniers chiffres et type de carte (Visa, Mastercard, etc.)
- Historique des transactions (montants, dates, statuts de paiement)
- Événements de facturation (renouvellements, échecs de paiement, remboursements)
Publicité et analytics :
- Nous demandons votre consentement préalable lorsque légalement requis
- Nous recevons des métriques agrégées d'impressions, clics et conversions
- Les fournisseurs utilisent des cookies et technologies de suivi selon vos préférences
- Les abonnés premium ne voient pas de publicités
3.4 Catégories Spéciales de Données Personnelles et Données Sensibles
Museum App NE demande PAS et ne collecte PAS intentionnellement de catégories spéciales de données personnelles conformément au RGPD/UK GDPR (origine raciale ou ethnique, opinions politiques, croyances religieuses, informations de santé, orientation sexuelle, données génétiques ou biométriques).
Nous interdisons expressément aux utilisateurs de télécharger, publier ou traiter via le Service tout contenu contenant :
- Données biométriques (reconnaissance faciale, empreintes digitales, scans d'iris, géométrie faciale, etc.) sans base légale adéquate et consentement explicite
- Catégories spéciales de données personnelles de tiers
- Informations médicales, financières ou de mineurs sans autorisation
Le contenu violant cette interdiction peut être supprimé sans préavis, et le compte responsable peut être suspendu ou définitivement supprimé. Pour plus d'informations, consultez nos Conditions Générales.
4. Comment Nous Utilisons Vos Données Personnelles
4.1 Fourniture et Gestion du Service
- Créer, gérer et authentifier votre compte utilisateur
- Permettre la publication, l'édition et la gestion de collectibles, publications et musées virtuels
- Activer les fonctionnalités sociales : suivre des utilisateurs, aimer, commenter, sauvegarder du contenu, partager des publications, créer des reposts
- Messagerie privée en temps réel (chat 1-à-1) via WebSocket/Socket.io
- Gérer les listes de recherche/wishlist de collectibles
- Personnaliser votre expérience selon vos préférences (langue, thème, devise, formats)
- Mémoriser vos paramètres de confidentialité et de compte
4.2 Sécurité et Protection
- Authentification sécurisée et prévention des accès non autorisés
- Détection et prévention de la fraude, du spam, des abus et des activités malveillantes
- Modération de contenu et examen des signalements utilisateurs
- Protéger l'intégrité et la sécurité de la plateforme
- Envoyer des notifications de sécurité par email : nouveaux appareils détectés, changements de mot de passe, changements d'adresse email, tentatives d'accès suspectes
- Maintenir des journaux d'audit (LoginHistory, modifications de données sensibles) pour les enquêtes de sécurité
4.3 Amélioration et Développement du Produit
- Analytics agrégés et statistiques d'utilisation (sans identification individuelle)
- Corrections de bugs techniques et améliorations de performance
- Tests A/B pour optimiser les fonctionnalités
- Développement de nouvelles fonctionnalités et améliorations
- Recherche et analyse des tendances de collection
4.4 Communications
- <strong>Communications transactionnelles (obligatoires) :</strong> confirmations d'inscription, réinitialisation de mot de passe, notifications de changements de compte, alertes de sécurité, confirmations de paiement
- <strong>Notifications de service :</strong> activité sociale (nouveaux abonnés, likes, commentaires, mentions, messages privés), mises à jour de contenu sauvegardé
- <strong>Support technique :</strong> réponses aux demandes et assistance
- <strong>Avis importants :</strong> changements des Conditions Générales, Politique de Confidentialité, maintenance programmée
- <strong>Communications marketing (optionnelles, avec opt-in) :</strong> newsletters, actualités produit, promotions, contenu éducatif sur la collection
4.5 Facturation et Abonnements
- Traiter les paiements des abonnements Premium et Premium Max
- Gérer les renouvellements automatiques, upgrades, downgrades et annulations
- Émettre des factures et reçus électroniques
- Fournir un support facturation et paiement
- Respecter les obligations fiscales et comptables
4.6 Outils et Fonctionnalités Spéciaux
- <strong>Calculateur de valeur de collection :</strong> estimer la valeur totale de la collection basée sur les données que vous fournissez (ne constitue pas une évaluation professionnelle)
- <strong>Calculateur de prix de lot :</strong> calculer le prix payé pour des lots d'objets
- <strong>Métriques de contenu :</strong> vues de publications et collectibles, durée de visionnage, engagement
- <strong>Recommandations :</strong> suggérer des utilisateurs, catégories ou contenus pertinents basés sur vos intérêts
4.7 Publicité (web et applications mobiles)
Museum App peut afficher de la publicité via des réseaux tels que Google AdSense (web) et Google AdMob (applications mobiles). La disponibilité publicitaire peut varier selon votre localisation géographique et les paramètres de compte. Lorsque la publicité est active dans votre région :
- Dans l'UE/EEE et Royaume-Uni : Nous demandons votre consentement explicite avant d'utiliser des cookies/SDK non essentiels ou de personnaliser les publicités. Sans consentement, nous affichons des publicités non personnalisées et appliquons les Limited Ads le cas échéant
- Aux États-Unis : Nous respectons les signaux de confidentialité comme Global Privacy Platform (GPP) et Global Privacy Control (GPC), et offrons des contrôles opt-out pour la « vente/partage » là où les lois d'État s'appliquent (CCPA/CPRA, Virginie, Colorado, Connecticut, Texas)
- Nous utilisons une Plateforme de Gestion du Consentement (CMP) compatible avec les standards IAB TCF 2.2 pour gérer vos préférences publicitaires et de cookies
- Nous offrons des publicités contextuelles (non personnalisées) comme alternative quand vous ne consentez pas à la publicité personnalisée
- Les détails complets sur les catégories de partenaires, finalités publicitaires et durées de cookies sont disponibles dans notre Politique de Cookies
Base légale dans l'EEE/Royaume-Uni : La base légale pour l'utilisation des cookies/SDK publicitaires et publicités personnalisées est votre consentement (art. 6.1.a RGPD). Si vous le refusez ou le retirez, nous ne servirons que des publicités non personnalisées et limiterons les identifiants selon les politiques Limited Ads.
4.8 Conformité Légale
- Répondre aux demandes valides des autorités compétentes
- Défendre nos droits légaux dans des procédures judiciaires ou administratives
- Faire respecter nos Conditions Générales
- Prévenir les activités illégales ou nuisibles
4.9 Analyse et Outils Prédictifs (Futur)
À l'avenir, Museum App pourrait développer des outils d'analyse de marché et de prédiction de valeur utilisant des données de prix de collectibles entièrement anonymisées.
- Estimations de valeur marchande pour des collectibles similaires
- Tendances de prix historiques sur le marché des collectibles
- Outils prédictifs basés sur des données de marché agrégées
- Toute analyse serait effectuée exclusivement avec des données entièrement anonymisées, sans possibilité d'identifier des utilisateurs ou collectibles individuels
5. Base Légale du Traitement (RGPD/UK GDPR)
5.1 Consentement
Nous obtenons votre consentement explicite et éclairé pour :
- Cookies non essentiels et publicité personnalisée (via CMP conforme TCF 2.2)
- Communications marketing par email (vous pouvez vous désabonner à tout moment)
- Partage de données avec certains tiers en dehors du cadre strictement opérationnel
5.2 Exécution du Contrat
Le traitement est nécessaire pour exécuter le contrat que vous avez avec nous (Conditions Générales) :
- Créer et gérer votre compte
- Fournir les fonctionnalités du service (publications, collectibles, musées, chat, listes de recherche)
- Traiter les abonnements et paiements
- Fournir le support technique
5.3 Obligation Légale
Le traitement est nécessaire pour respecter les obligations légales applicables :
- Conservation des données financières et de facturation pendant les périodes légales (ex. 7 ans)
- Réponse aux demandes légitimes des autorités compétentes
- Respect des réglementations fiscales et comptables
5.4 Intérêts Vitaux
Dans des cas exceptionnels, nous pouvons traiter des données pour protéger la vie ou l'intégrité physique d'une personne.
5.5 Intérêts Légitimes
Le traitement est nécessaire pour nos intérêts légitimes, à condition que vos droits et libertés ne prévalent pas :
- Sécurité de la plateforme et prévention de la fraude/abus
- Modération de contenu et application des politiques
- Analytics agrégés non intrusifs pour améliorer le produit
- Détection d'erreurs techniques et amélioration des performances
- Publicité personnalisée (une fois implémentée)
- Communications marketing (newsletters, promotions)
- Certaines permissions d'appareil mobile (caméra, galerie photo, notifications push)
- Utilisation de données de localisation précise (si demandé à l'avenir)
6. Avec Qui Nous Partageons Vos Données Personnelles
Museum App ne vend pas vos données personnelles à des tiers au sens traditionnel du terme. Cependant, nous partageons certaines informations avec des prestataires de services et dans les circonstances décrites ci-dessous :
6.1 Prestataires de Services (sous-traitants)
Nous partageons des données avec des tiers qui fournissent des services en notre nom, sous contrats les obligeant à protéger vos données et à ne les utiliser qu'aux fins spécifiées :
- Hébergement et infrastructure : Digital Ocean (serveurs et hébergement web)
- CDN (Content Delivery Network) : Cloudflare (distribution mondiale de contenu statique, protection DDoS)
- Traitement des paiements : Stripe Inc. (traitement sécurisé des cartes de crédit, gestion des abonnements, facturation)
- Email transactionnel : Amazon Web Services (envoi d'emails de vérification, notifications de sécurité, factures, support)
- Email transactionnel (secours) : Resend (Resend Inc., États-Unis) — utilisé uniquement lorsque AWS SES est temporairement indisponible, afin que les e-mails de vérification et de sécurité vous parviennent quand même. Même portée des données que la voie principale : adresse du destinataire et contenu du message envoyé.
- Authentification : NextAuth (gestion des sessions), Google OAuth (connexion Google) et Apple Sign-In (connexion Apple)
- Chat en temps réel : Socket.io (WebSocket auto-hébergé sur nos serveurs, pas de transfert à des tiers)
- Traitement d'images : Sharp (traitement local d'images sur nos serveurs, pas de transfert externe)
- Géolocalisation : MaxMind GeoLite2 (consultation locale IP vers localisation géographique approximative ; la base de données GeoLite2 est téléchargée périodiquement depuis MaxMind, Inc., États-Unis — les adresses IP ne sont pas transférées par requête)
- Rapports d'erreurs et APM : Sentry (Functional Software Inc., États-Unis) — capture d'erreurs et de métriques de performance de l'application mobile. Les en-têtes d'autorisation, les JWT et les paramètres sensibles sont expurgés avant transmission ; les utilisateurs sont identifiés uniquement par leur identifiant numérique, jamais par nom d'utilisateur ou e-mail.
6.2 Réseaux Publicitaires et Mesure
Lorsque la publicité est activée dans votre région, nous pouvons partager des informations avec des réseaux publicitaires (comme Google AdSense, Google AdMob) conformément à vos préférences de consentement et aux lois applicables. Les informations partagées peuvent inclure :
- Identifiants d'appareil ou publicitaires (ad IDs, cookies publicitaires)
- Données de navigation et d'utilisation (pages visitées, interactions, événements d'application), toujours avec contrôles de confidentialité régionaux
- Métriques d'impressions, clics, conversions et performances publicitaires
- Informations démographiques approximatives (âge, genre, localisation générale) lorsque vous avez donné votre consentement
Dans l'UE/EEE et Royaume-Uni, ce partage n'a lieu qu'après avoir obtenu votre consentement explicite via notre CMP. Aux États-Unis, nous reconnaissons automatiquement les signaux opt-out (GPC/GPP) et respectons les lois d'État applicables.
Note pour les résidents de certains États américains : Certaines lois d'État (CCPA/CPRA Californie, VCDPA Virginie, CPA Colorado, CTDPA Connecticut, TDPSA Texas) peuvent considérer ce partage comme « vente » ou « partage pour publicité comportementale ». Nous offrons des contrôles opt-out via les signaux de confidentialité du navigateur (GPC/GPP) et depuis les paramètres de votre compte (Paramètres → Confidentialité → Préférences publicitaires). Pour plus d'informations, voir Section 14 de cette Politique.
6.3 Autorités Légales et Conformité Réglementaire
Nous pouvons divulguer vos données personnelles lorsque requis par la loi ou lorsque nous croyons de bonne foi que c'est nécessaire pour :
- Répondre à des ordonnances judiciaires, citations à comparaître, demandes gouvernementales valides
- Faire respecter nos Conditions Générales
- Protéger nos droits, propriété ou sécurité, ainsi que ceux de nos utilisateurs ou du public
- Prévenir la fraude, les abus ou activités illégales
- Coopérer avec les enquêtes des forces de l'ordre
6.4 Transferts d'Entreprise
En cas de fusion, acquisition, vente d'actifs ou restructuration d'entreprise, vos données personnelles peuvent être transférées à l'entité successeur. Nous vous notifierons par avis visible avant que vos données soient transférées et soumises à une Politique de Confidentialité différente.
6.5 Visibilité du Profil et Distinction Entre Données Publiques et Privées
Museum App est un réseau social conçu pour connecter les collectionneurs et partager du contenu. Par sa nature de plateforme sociale, les profils utilisateurs sont publics par conception et visibles par quiconque sur internet, y compris les utilisateurs non inscrits et les moteurs de recherche.
Données personnelles qui sont publiques :
- Votre nom d'utilisateur, nom de profil et biographie
- Votre photo de profil et musée virtuel
- Collectibles que vous publiez dans votre collection publique
- Publications, commentaires et contenu que vous partagez publiquement
- Vos listes d'abonnés et comptes que vous suivez
- Vos interactions publiques (likes, commentaires publics, reposts)
Base légale : En créant un compte sur Museum App, vous donnez votre consentement exprès pour que ces informations soient publiques et accessibles à tous, tel qu'établi dans nos Conditions de Service (Section 8.4).
Cabinet de Collection Privé (Fonctionnalité Premium) : Les utilisateurs avec abonnement Premium ou Premium Max ont accès à un cabinet de collection privé qui leur permet de stocker et organiser des collectibles de manière privée sans être visibles par d'autres utilisateurs. Cette fonctionnalité est exclusivement disponible pour les abonnés actifs aux plans premium.
Données privées que nous NE partageons ou rendons JAMAIS publiques :
- Prix d'achat et date d'acquisition des collectibles
- Valeur estimée actuelle des collectibles
- Notes personnelles et documentation privée
- Factures et reçus d'achat
- Toute autre information sensible liée aux acquisitions
- Messages privés et conversations directes
- Paramètres de confidentialité et préférences de compte
<strong>Garantie de confidentialité :</strong> Ces données privées sont protégées par des mesures de sécurité techniques et organisationnelles, et ne sont accessibles que par le propriétaire du compte. <strong>Elles ne seront jamais publiquement visibles ou partagées avec d'autres utilisateurs sous forme identifiable</strong>, que le collectible soit public ou privé.
Utilisation future possible des données de prix pour outils prédictifs :
À l'avenir, Museum App <strong>pourrait développer</strong> des outils de prédiction de prix et d'estimation de valeur marchande au bénéfice de la communauté des collectionneurs. Si nous implémentons ces fonctionnalités, nous <strong>pourrions utiliser</strong> les données de prix d'achat et de valeur actuelle des collectibles de manière <strong>complètement anonyme et agrégée</strong> pour :
- Générer des modèles prédictifs des tendances du marché
- Calculer des estimations de valeur pour des objets similaires
- Fournir des fourchettes de prix historiques et projections futures
- Améliorer les outils de valorisation et calculateurs de collection
Engagement d'anonymisation :
Si nous implémentons ces outils prédictifs à l'avenir, nous garantissons que :
- Anonymisation irréversible : Les données seront traitées de sorte qu'il soit techniquement impossible de les relier à un utilisateur spécifique ou collectible individuel
- Pas d'identification : Aucun utilisateur, pas même Museum App, ne pourra identifier la provenance des données utilisées dans les prédictions
- Agrégation massive : Les données seront combinées avec des informations de multiples utilisateurs et collectibles avant tout traitement
- Pas de prix individuels : Les prix individuels ou informations permettant d'identifier le propriétaire ne seront jamais partagés publiquement
- Conformité légale : Ces données anonymisées respecteront le concept de « données anonymes » selon le RGPD (Considérant 26), ne constitueront pas d'« informations personnelles » selon CCPA §1798.140(o)(2), et ne seront pas considérées comme « données personnelles » selon LGPD Art. 12
Base légale pour traitement futur :
- RGPD/UK GDPR : Intérêt légitime (Art. 6(1)(f)) - Les données véritablement anonymisées ne sont pas des données personnelles et ne nécessitent pas de base légale sous le RGPD ; de plus, améliorer le service par l'analyse statistique bénéficie à toute la communauté
- CCPA/CPRA : Les données anonymisées sont explicitement exclues de la définition d'« informations personnelles » (§1798.140(o)(2))
- LGPD (Brésil) : Les données anonymisées ne constituent pas des données personnelles et sont hors du champ de la loi (Art. 12)
- Transparence : Nous vous notifierons par mise à jour de cette Politique de Confidentialité et avis visible dans l'application si nous implémentons ces outils à l'avenir, vous donnant l'opportunité d'exercer vos droits d'opposition avant l'implémentation
Vos droits : Vous pouvez exercer votre droit d'accès, de rectification, de suppression, de portabilité, d'opposition et de limitation du traitement à tout moment conformément à la section 10 de cette Politique. Vous pouvez supprimer votre compte et toutes vos données personnelles depuis les paramètres de votre compte à tout moment.
<strong>Contrôle de confidentialité :</strong> Utilisez les paramètres de confidentialité disponibles dans <strong>Paramètres → Confidentialité</strong> pour gérer vos préférences de visibilité, consentements pour le marketing, analytics et publicité personnalisée.
7. Transferts Internationaux de Données
Museum App opère depuis les États-Unis. Nous hébergeons et traitons les données aux États-Unis et dans d'autres localisations selon nos prestataires de services (Digital Ocean, Cloudflare, Stripe, Amazon Web Services, Sentry).
Pour les utilisateurs de l'Union européenne, de l'Espace économique européen et du Royaume-Uni :
Lorsque nous transférons des données personnelles hors de l'EEE/Royaume-Uni vers des pays sans décision d'adéquation de la Commission européenne, nous appliquons les garanties suivantes :
- Clauses Contractuelles Types (CCT) : contrats approuvés par la Commission européenne garantissant une protection adéquate
- Royaume-Uni : Pour les transferts soumis au UK GDPR, nous utilisons l'International Data Transfer Agreement (UK IDTA) ou les CCT de l'UE avec l'Addendum UK, selon le cas
- Mesures techniques et organisationnelles supplémentaires : chiffrement des données en transit et au repos, contrôles d'accès stricts, minimisation des données
- Évaluation d'impact du transfert : analyse des risques et garanties supplémentaires si nécessaire
Vous pouvez demander des copies non confidentielles des Clauses Contractuelles Types, UK IDTA ou UK Addendum que nous avons implémentés en envoyant un email à [email protected].
8. Durée de Conservation de Vos Données
Nous conservons vos données personnelles uniquement le temps nécessaire pour remplir les finalités pour lesquelles elles ont été collectées, sauf si la loi exige ou permet une période de conservation plus longue :
8.1 Compte Actif
Tant que votre compte reste actif et que vous utilisez le service, nous conservons vos données personnelles pour vous fournir le service.
8.2 Contenu Supprimé ou Compte Fermé
- Suppression opérationnelle : Les données sont supprimées de nos systèmes de production dans un délai d'environ 90 jours à compter de la suppression du contenu ou de la fermeture du compte
- Sauvegardes : Les données peuvent rester dans les copies de sauvegarde automatiques pour une période supplémentaire allant jusqu'à 90 jours, après quoi elles sont définitivement purgées
- Exceptions : Nous pouvons conserver certaines données plus longtemps si :
- C'est nécessaire pour respecter des obligations légales (factures, registres fiscaux)
- Il existe un litige juridique en cours ou une procédure de résolution
- Elles sont nécessaires pour des enquêtes de sécurité, fraude ou abus
- Vous avez spécifiquement demandé leur conservation
8.3 Données de Facturation et Transactions
Factures, reçus, historique des paiements et données liées aux abonnements : 5 à 10 ans, selon les exigences des lois fiscales et comptables applicables (IRS aux États-Unis, réglementations locales dans d'autres pays).
8.4 Journaux de Sécurité et d'Audit
- Historique de connexion (LoginHistory) : 12 à 24 mois
- Journaux d'accès et événements de sécurité : 12 mois
- Enregistrements des modifications de données sensibles (email, mot de passe, nom d'utilisateur) : 24 mois
8.5 Enregistrements de Consentement et Préférences de Confidentialité
Nous conservons le statut de consentement, opt-out et préférences de confidentialité (signaux CMP, chaînes TCF 2.2, GPP/GPC, choix de cookies, préférences publicitaires) pendant 24 mois ou la période minimale requise par la loi, selon la plus longue. Cette conservation nous permet de respecter les exigences d'audit des réseaux publicitaires et de démontrer un consentement valide lorsque légalement requis.
8.6 Critères de Conservation
Pour déterminer la période de conservation appropriée, nous considérons :
- La nature et la sensibilité des données
- Le risque potentiel de préjudice en cas d'utilisation ou divulgation non autorisée
- Les finalités du traitement
- Si nous pouvons atteindre les finalités par d'autres moyens moins intrusifs
- Les obligations légales, réglementaires, fiscales ou comptables applicables
Vous pouvez demander des informations détaillées sur nos critères et périodes de conservation spécifiques en envoyant un email à [email protected].
9. Sécurité de Vos Données
Museum App implémente des mesures techniques et organisationnelles raisonnables pour protéger vos données personnelles selon les standards de l'industrie :
9.1 Mesures Techniques
- Chiffrement : Données en transit via HTTPS/TLS ; mots de passe stockés avec hachage cryptographique bcrypt (jamais en clair)
- Authentification sécurisée : Jetons de session sécurisés gérés par NextAuth, support pour authentification à deux facteurs (futur)
- Contrôle d'accès : Accès basé sur les rôles, principe du moindre privilège
- Surveillance de sécurité : Détection des accès non autorisés, tentatives d'intrusion, activité suspecte
- Sauvegardes : Sauvegardes automatiques régulières avec chiffrement et stockage sécurisé
- Ségrégation d'environnement : Séparation entre production, développement et test
- Protection DDoS : Cloudflare pour l'atténuation des attaques par déni de service
9.2 Mesures Organisationnelles
- Politiques de sécurité et protection des données
- Formation et sensibilisation du personnel
- Accords de confidentialité avec employés et prestataires
- Audits de sécurité et revues périodiques
- Plan de réponse aux incidents de sécurité
9.3 Limitations
Malgré nos efforts, aucun système de sécurité n'est complètement infaillible. Nous ne pouvons garantir que nos systèmes sont invulnérables à tous types de cyberattaques, piratage ou accès non autorisé.
9.4 Notification de Violation de Sécurité
En cas de violation de sécurité affectant des données personnelles, Museum App respectera toutes les obligations de notification établies par les lois applicables :
- RGPD/UK GDPR : Notification à l'autorité de contrôle dans les 72 heures ; communication aux personnes concernées sans retard injustifié en cas de risque élevé
- Lois d'État américaines : Notification aux résidents concernés selon les délais de chaque État
- Nous fournirons des informations sur la nature de la violation, les données affectées, les mesures prises et les étapes que vous pouvez suivre pour vous protéger
9.5 Votre Responsabilité
Vous êtes responsable de :
- Maintenir la confidentialité de votre mot de passe et identifiants d'accès
- Ne pas partager votre compte avec des tiers
- Nous notifier immédiatement de toute utilisation non autorisée de votre compte en envoyant un email à [email protected]
- Utiliser des mots de passe forts (minimum 8 caractères, combinaison de lettres, chiffres et symboles)
- Maintenir à jour les logiciels de votre appareil et navigateur
Pour plus d'informations sur nos limitations de responsabilité en cas de violations de sécurité, voir Section 8 de nos Conditions Générales.
10. Protection des Mineurs
10.1 États-Unis (COPPA)
Museum App n'autorise pas l'utilisation du service aux utilisateurs n'ayant pas atteint l'âge minimum du consentement numérique dans leur juridiction — 13 ans dans la plupart des pays (conformément au Children's Online Privacy Protection Act, COPPA) et 16 ans dans l'Espace économique européen, au Royaume-Uni et en Suisse (conformément à l'article 8 du RGPD).
Nous ne collectons pas intentionnellement d'informations personnelles auprès d'enfants en dessous de ce seuil. Si nous découvrons avoir collecté des données d'un tel utilisateur sans consentement parental vérifiable, nous supprimerons ces informations de nos systèmes dès que possible.
10.2 Union Européenne et Royaume-Uni (RGPD/UK GDPR)
Les âges minimaux locaux pour le consentement numérique tels que prévus par l'article 8 du RGPD/UK GDPR s'appliquent (entre 13 et 16 ans selon le pays membre). Lorsque légalement requis, Museum App implémentera des mécanismes raisonnables de vérification du consentement parental ou du tuteur légal.
10.3 Publicité Ciblant les Mineurs
Museum App n'utilise pas de publicités personnalisées ou d'identifiants pour le ciblage comportemental dirigés vers des utilisateurs que nous savons ou supposons raisonnablement être mineurs.
Nous appliquons des politiques de contenu adapté aux familles et des limitations de ciblage conformément aux politiques des réseaux publicitaires (Google AdSense/AdMob « Child-directed treatment »).
10.4 Si Vous Êtes Parent ou Tuteur Légal
Si vous pensez que votre enfant mineur a fourni des données personnelles à Museum App sans votre consentement, contactez-nous immédiatement à [email protected]. Nous prendrons des mesures pour supprimer ces informations dès que possible.
11. Vos Droits en Matière de Confidentialité
Selon votre localisation, vous disposez de droits concernant vos données personnelles. Les plus courants incluent :
- ✓ Accès : Obtenir une copie de vos données personnelles
- ✓ Rectification : Corriger des données inexactes ou incomplètes
- ✓ Suppression : Demander la suppression de vos données (avec certaines exceptions légales)
- ✓ Portabilité : Recevoir vos données dans un format téléchargeable
- ✓ Opposition : S'opposer à certains traitements de données
- ✓ Retrait du consentement : Annuler des consentements précédemment accordés
- ✓ Opt-out publicitaire : Refuser la publicité personnalisée (une fois implémentée)
Lois applicables selon votre localisation
- 🇪🇺 Union Européenne / EEE / Royaume-Uni : Le RGPD et UK GDPR accordent des droits étendus incluant la portabilité, la limitation du traitement. De plus, vous avez le droit de déposer une plainte auprès de votre autorité de contrôle si vous considérez que nous avons violé vos droits de protection des données, sans préjudice de tout autre recours administratif ou judiciaire. Vous pouvez contacter directement des autorités telles que CNIL (France), ICO (Royaume-Uni), ou autres autorités UE/EEE dans votre pays de résidence.
- 🇺🇸 États-Unis : CCPA/CPRA (Californie), VCDPA (Virginie), CPA (Colorado), CTDPA (Connecticut), TDPSA (Texas), et autres lois d'État accordent des droits d'accès, correction, suppression, portabilité, et opt-out de la vente/partage de données. Inclut le droit à la non-discrimination et de faire appel des refus.
- 🇧🇷 Brésil : La LGPD accorde des droits de confirmation, accès, correction, anonymisation, suppression, portabilité, information sur le partage, et révocation du consentement.
- Autres juridictions : Si vous résidez dans un autre pays avec des lois de protection des données, vous pouvez avoir des droits supplémentaires. Contactez-nous à [email protected].
12. Comment Exercer Vos Droits
12.1 Depuis Votre Compte
Allez dans Paramètres → Confidentialité et Sécurité pour :
- Voir et modifier vos informations personnelles
- Télécharger vos données : Demander un export complet incluant publications, collectibles, messages, commentaires, historique d'activité, et plus (voir processus détaillé ci-dessous)
- Supprimer votre compte définitivement
- Gérer les préférences de confidentialité, cookies et notifications
📥 Processus de téléchargement de données :
- Cliquez sur « Télécharger mes données » dans Paramètres
- Vous recevrez un code de vérification par email
- Entrez le code pour confirmer votre demande
- Vos données seront disponibles dans un délai maximum de 30 jours
- Vous recevrez un email avec lien de téléchargement (valide 7 jours)
- Le fichier inclut toutes vos données au format JSON téléchargeable
Note : Vous ne pouvez avoir qu'une seule demande active à la fois. Si vous en avez déjà une en cours, attendez qu'elle soit terminée avant d'en demander une autre.
12.2 Par Email
Pour des demandes spéciales (correction de données spécifiques, suppression partielle, portabilité vers un autre service, etc.), envoyez un email à [email protected] en indiquant :
- Votre nom complet et nom d'utilisateur
- Email associé à votre compte
- Droit que vous souhaitez exercer (accès, rectification, suppression, portabilité, opposition)
- Description détaillée de votre demande
Délais de réponse : 30-45 jours selon votre localisation (RGPD : 30 jours ; CCPA : 45 jours). Nous vérifierons votre identité par code email avant de traiter les demandes sensibles.
12.3 Droits Supplémentaires
- Agents autorisés : Vous pouvez désigner un représentant légal pour soumettre des demandes en votre nom (nécessite une procuration)
- Appels (États-Unis) : Si nous rejetons votre demande, vous pouvez faire appel en écrivant à [email protected] avec le sujet « Appel ». Nous répondrons dans les 45 jours, ou la période requise par la loi applicable
- Signaux de confidentialité : Nous reconnaissons Global Privacy Control (GPC) et Global Privacy Platform (GPP) pour l'opt-out publicitaire automatique
13. Communications Marketing et Promotionnelles
13.1 Opt-in (consentement préalable)
Pour les utilisateurs de l'Union européenne, de l'Espace économique européen, du Royaume-Uni et autres juridictions qui l'exigent, nous demandons votre consentement explicite (opt-in) avant de vous envoyer des communications marketing, telles que :
- Newsletters avec actualités produit
- Promotions et offres spéciales
- Contenu éducatif sur la collection
- Sondages et retours utilisateurs
13.2 Opt-out (désabonnement)
Vous pouvez vous désabonner des communications marketing à tout moment via :
- Lien « Se désabonner » dans chaque email marketing
- Paramètres du compte : Paramètres → Notifications → Désactiver « Emails promotionnels »
- Email : [email protected] avec sujet « Désabonnement marketing »
13.3 Communications Transactionnelles (non annulables)
Certaines communications sont essentielles au fonctionnement du service et ne peuvent pas être annulées tant que vous maintenez votre compte actif :
- Confirmations d'inscription et vérification email
- Réinitialisation de mot de passe
- Notifications de sécurité (nouvel appareil, changements de compte)
- Confirmations de paiement et factures
- Changements des Conditions Générales ou Politique de Confidentialité
- Avis de fermeture ou suspension de compte
14. Vente et Partage de Données (États-Unis)
Museum App ne vend pas vos données personnelles au sens traditionnel. Cependant, certaines lois américaines (CCPA/CPRA, Virginie, Colorado, Connecticut, Texas, etc.) définissent la « vente » de manière large, incluant le partage de données avec des réseaux publicitaires pour la publicité comportementale.
Dans la mesure où notre utilisation de la publicité peut être qualifiée de « vente » selon ces lois :
- Opt-out automatique : Nous reconnaissons les signaux de préférence de confidentialité comme Global Privacy Control (GPC) et Global Privacy Platform (GPP)
- Contrôle du compte : Vous pourrez gérer les préférences publicitaires depuis Paramètres → Confidentialité → Préférences publicitaires
- Non-discrimination : Nous ne vous refuserons pas le service ni ne facturerons des prix différents pour l'exercice de vos droits de confidentialité
Vous pouvez gérer ces préférences dans Paramètres → Confidentialité → Préférences publicitaires ou via les signaux du navigateur (GPC/GPP). Nous fournirons également un lien « Ne pas vendre/partager mes informations personnelles » lorsque requis par la loi d'État applicable.
15. Décisions Automatisées et Profilage
Museum App peut effectuer un profilage de base pour améliorer votre expérience, incluant :
- Classifier vos préférences thématiques de collection basées sur votre activité
- Recommander des utilisateurs, catégories ou contenus pertinents
- Détecter et limiter le spam, la fraude ou l'activité suspecte
- Sélectionner des publicités contextuelles ou personnalisées (uniquement avec votre consentement lorsque légalement requis)
Nous NE prenons PAS de décisions automatisées produisant des effets juridiques significatifs sur vous ou vous affectant de manière similaire sans intervention humaine, sauf si :
- C'est nécessaire pour l'exécution du contrat avec vous
- C'est autorisé par la loi applicable
- Vous avez donné votre consentement explicite
Si vous avez des questions sur notre utilisation du profilage ou des décisions automatisées, contactez-nous à [email protected].
16. Modifications de Cette Politique de Confidentialité
Museum App se réserve le droit de mettre à jour ou modifier cette Politique de Confidentialité à tout moment. Lorsque nous apportons des modifications :
16.1 Notification des Modifications
Modifications mineures : Nous mettons à jour la date « Dernière mise à jour » au début de cette Politique
Modifications importantes : Nous vous notifierons par :
- Email à votre adresse enregistrée
- Notification visible dans l'application (bannière ou pop-up)
- Avis sur notre site web
16.2 Date d'Entrée en Vigueur
Les modifications prendront effet à la date indiquée en haut de cette Politique (« Dernière mise à jour »). Votre utilisation continue du service après la date d'entrée en vigueur constitue votre acceptation des modifications.
16.3 Historique des Versions
Vous pouvez demander des versions précédentes de cette Politique de Confidentialité en envoyant un email à [email protected].
16.4 Services Tiers - Géolocalisation
Ce site utilise les données GeoLite2 créées par MaxMind, disponibles sur https://www.maxmind.com. Ce service nous permet de détecter votre pays d'origine pour respecter les réglementations de confidentialité applicables (RGPD, CCPA, LGPD).
17. Contact
Si vous avez des questions, commentaires ou préoccupations concernant cette Politique de Confidentialité ou la façon dont nous traitons vos données personnelles, contactez-nous à :
Museum App Inc.
5900 Balcones Drive Ste 100
Austin, TX 78731
États-Unis
Email de contact : [email protected]
Nous ferons de notre mieux pour répondre à votre demande dans un délai raisonnable (généralement 5-10 jours ouvrables pour les demandes générales ; délais légaux spécifiques pour les demandes de droits de confidentialité).