BaptiDayBaptiDay

Dernière mise à jour — 2026-04-23

Politique de confidentialité

La présente politique de confidentialité décrit la façon dont BaptiDay collecte, utilise et protège vos données personnelles lorsque vous utilisez notre application mobile, notre site web et nos services associés.

1. Responsable du traitement

Le responsable du traitement au sens du Règlement (UE) 2016/679 (RGPD) est :

WINDFALL (SAS, société par actions simplifiée)
Espaco, 20235 Bisinchi, France
SIRET : 879 950 202 00033
TVA intracommunautaire : FR80 879 950 202

Pour toute question relative à la protection de vos données, vous pouvez nous contacter à hello@bapti.day.

2. Données personnelles collectées

Nous collectons uniquement les données strictement nécessaires à la fourniture de nos services. Les catégories de données traitées sont les suivantes :

2.1 Données que vous nous fournissez

  • Données de compte : adresse email, mot de passe (haché), nom/prénom éventuellement, avatar.
  • Données d'authentification tiers : si vous vous connectez via Apple ou Google, l'identifiant fédéré (sub) et l'email communiqué par le fournisseur.
  • Contenu de l'événement : date, lieu, budget, textes d'invitation, photos, moodboard, checklist, etc.
  • Contacts invités : nom, prénom, email et/ou numéro de téléphone des personnes que vous ajoutez à votre liste d'invités (voir section 7 pour les obligations d'information de ces tiers).
  • Contenu du chat support : messages échangés avec notre équipe via Crisp.
  • Données de paiement : gérées exclusivement par Apple (App Store), Google (Play Store) et RevenueCat. Nous n'avons jamais accès aux numéros de carte bancaire.

2.2 Données collectées automatiquement

  • Données techniques : type d'appareil, système d'exploitation, identifiants de l'appareil, version de l'app, langue, fuseau horaire, adresse IP.
  • Données d'usage : pages visitées, actions réalisées (clics, ouverture de sections), durée de session, nombre de sessions, chemin de navigation.
  • Identifiants universels (UUID) : identifiant anonyme permettant de relier les événements analytics à un même utilisateur.
  • Rapports de crash : logs d'erreur, trace d'exécution, informations sur l'état de l'application au moment du crash.
  • Token de notification push : identifiant d'appareil permettant l'envoi de notifications (via OneSignal et Firebase Cloud Messaging).

3. Finalités et bases légales

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale précise :

FinalitéBase légaleDurée de conservation
Création et gestion de votre compteExécution du contratPendant toute la durée de votre compte, puis 3 ans après sa suppression
Fourniture des fonctionnalités (événement, invités, budget, etc.)Exécution du contratDurée du compte actif + 30 jours après suppression
Gestion des abonnements et paiementsExécution du contrat + obligation légale comptable10 ans (comptabilité) après la dernière transaction
Support clientIntérêt légitime (qualité du service)3 ans à compter du dernier échange
Notifications push, email et SMS transactionnelsExécution du contratDurée du compte actif
Notifications marketing et promotionnellesConsentement (révocable à tout moment)Jusqu'au retrait du consentement ou 3 ans d'inactivité
Analytics, mesure d'audience, amélioration du serviceConsentement ou intérêt légitime selon la nature du traceur13 mois maximum (conforme à la doctrine CNIL)
Prévention de la fraude, sécuritéIntérêt légitime12 mois glissants
Respect d'obligations légales (réquisition judiciaire, etc.)Obligation légaleDurée fixée par la loi

4. Destinataires et sous-traitants

Vos données sont partagées uniquement avec les sous-traitants suivants, liés par contrat conformément à l'article 28 du RGPD :

Sous-traitantFinalitéLocalisation
Supabase, Inc.Hébergement base de données, authentification, stockage fichiersSingapour — Politique
Vercel Inc.Hébergement du site web et des fonctions serverlessÉtats-Unis — Politique
Google LLC (Firebase / Crashlytics / FCM / Analytics)Notifications push, rapports de crash, analyticsÉtats-Unis — Politique
Apple Inc.Authentification Sign in with Apple, paiements in-app, App Store ConnectÉtats-Unis / Irlande — Politique
Amplitude, Inc.Analytics produitÉtats-Unis — Politique
OneSignal, Inc.Notifications push, email et SMSÉtats-Unis — Politique
RevenueCat, Inc.Gestion des abonnements in-app et reportingÉtats-Unis — Politique
Crisp IM SASChat support clientFrance — Politique
Functional Software, Inc. (Sentry)Monitoring des erreurs et de la performanceÉtats-Unis — Politique
Meta Platforms, Inc. (Facebook App Events)Mesure d'attribution et d'audience publicitaire (sous consentement)États-Unis / Irlande — Politique

5. Transferts hors Union européenne

Certains de nos sous-traitants sont établis en dehors de l'Espace économique européen (notamment aux États-Unis et à Singapour). Ces transferts s'effectuent avec les garanties appropriées prévues par les articles 44 et suivants du RGPD :

  • Pour les États-Unis : adhésion au Data Privacy Framework (DPF) lorsque le sous-traitant y est certifié, sinon recours aux Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914).
  • Pour Singapour : signature des Clauses Contractuelles Types et évaluation d'impact (TIA) garantissant une protection équivalente.
  • Mesures techniques complémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos, pseudonymisation lorsque possible.

Vous pouvez nous demander une copie de ces garanties en écrivant à hello@bapti.day.

6. Durée de conservation

Nous conservons vos données uniquement le temps nécessaire aux finalités décrites ci-dessus. Les durées principales sont les suivantes :

  • Compte actif : tant que vous utilisez l'application.
  • Compte supprimé : effacement complet sous 30 jours, sauf obligations légales (facturation, comptabilité, obligations fiscales : jusqu'à 10 ans).
  • Logs de sécurité : 12 mois glissants.
  • Données analytics anonymisées : maximum 13 mois (recommandation CNIL).
  • Messages support : 3 ans à compter du dernier échange.

7. Données des invités que vous ajoutez

Lorsque vous importez ou saisissez les coordonnées de vos invités (nom, email, téléphone), vous agissez en qualité de responsable de traitement indépendant pour ces données.

Les invités peuvent demander la suppression de leurs données en nous contactant directement à hello@bapti.day, nous transmettrons leur demande à l'organisateur concerné.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
  • Droit de rectification : faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement ("droit à l'oubli") : demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement : demander la suspension d'un traitement dans certains cas.
  • Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection.
  • Droit à la portabilité : récupérer vos données dans un format structuré et lisible par machine (JSON).
  • Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent.
  • Droit de définir des directives post-mortem sur le sort de vos données (article 85 loi Informatique et Libertés).
  • Droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr.

Pour exercer vos droits : écrivez-nous à hello@bapti.day. Une réponse vous sera apportée dans un délai d'un mois, pouvant être prolongé de deux mois en cas de complexité. Votre compte peut également être supprimé directement depuis l'application (Profil → Paramètres → Supprimer le compte).

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

  • Chiffrement en transit (TLS 1.2+) et au repos (AES-256).
  • Authentification renforcée avec tokens JWT de courte durée.
  • Contrôle d'accès basé sur les rôles et principe du moindre privilège.
  • Séparation stricte des environnements (développement, production).
  • Row Level Security (RLS) Supabase : chaque utilisateur ne peut accéder qu'à ses propres données.
  • Journalisation des accès et détection d'anomalies.
  • Sauvegardes automatiques quotidiennes et plan de reprise d'activité.
  • Tests de sécurité réguliers et veille sur les vulnérabilités.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous informerons dans les 72 heures suivant sa découverte, conformément à l'article 34 du RGPD.

10. Mineurs

BaptiDay est destiné aux personnes âgées d'au moins 15 ans. Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, les mineurs de moins de 15 ans doivent obtenir l'autorisation de leurs représentants légaux.

Les photos et noms d'enfants présents dans un événement sont saisis sous la responsabilité exclusive de l'organisateur, qui doit disposer de l'accord des représentants légaux.

11. Cookies et traceurs

L'utilisation de cookies et traceurs sur notre site web et application mobile est décrite dans notre Politique de cookies.

12. Modifications de la politique

Nous pouvons mettre à jour cette politique pour refléter des évolutions légales, techniques ou fonctionnelles. Toute modification substantielle vous sera communiquée par email ou via une notification dans l'application au moins 30 jours avant son entrée en vigueur.

13. Contact

WINDFALL
Espaco, 20235 Bisinchi, France

Autorité de contrôle : Commission nationale de l'informatique et des libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.