Politique de confidentialité

Ce que nous collectons, pourquoi, qui y a accès, et comment vous pouvez accéder à vos données ou les supprimer.

1. Responsable du traitement

Sylvie Forêt, éditée en France. Contact responsable de traitement et délégué à la protection des données : edouard@sylvie-foret.com.

La présente politique s'applique au site sylvie-foret.com, à la webapp app.sylvie-foret.com, à l'application iOS « Sylvie — Carto forêt » et à l'application Android « Sylvie Forêt » (identifiant com.sylvieforet.app).

2. Données que nous collectons

Nous traitons les catégories de données suivantes :

  • Numéro de téléphone — utilisé pour l'authentification par code à usage unique (OTP). Aucune adresse e-mail n'est requise pour s'inscrire.
  • Identifiant utilisateur (UUID) — généré côté serveur lors de la création de compte.
  • Cartes, tracés, points et leurs métadonnées — coordonnées GPS (latitude, longitude, altitude, vitesse, horodatage), noms de cartes et de tracés, essence, diamètre, parcelle, commentaires et discussions sur tracés que vous saisissez vous-même.
  • Photos terrain — prises depuis l'app et associées à un point de carte. Les photos peuvent contenir des métadonnées EXIF (dont la position GPS) si elles sont activées sur votre appareil.
  • Fichiers importés — GPX, GeoJSON, GeoPackage, Shapefile que vous choisissez d'importer dans l'app.
  • Position précise et approximative — utilisée pour centrer la carte, vous localiser et enregistrer des tracés. Pendant l'enregistrement d'un tracé, la position est collectée en continu, y compris en arrière-plan (cf. section 5).
  • Historique d'achat — statut de l'abonnement Pro, traité via Apple App Store, Google Play Billing et RevenueCat. Nous ne voyons jamais votre numéro de carte bancaire.
  • Identifiant d'appareil (token push) — token APNs (iOS) ou FCM (Android) pour la livraison des notifications de partage et de rappel.
  • Invitations de partage — numéro de téléphone ou identifiant de la personne avec qui vous choisissez de partager une carte.
  • Logs techniques minimaux — horodatage des requêtes API, adresse IP, code de réponse, conservés pour la sécurité et la prévention des abus.

Nous ne collectons pas : nom, e-mail, adresse postale, contacts de votre carnet (cf. section 5), données de santé, données bancaires, historique de navigation web, données analytiques tierces, données publicitaires.

3. Finalités et bases légales (RGPD art. 6)

  • Exécution du contrat (art. 6.1.b) — création de compte, sauvegarde de vos cartes, synchronisation iPhone / Android / webapp, partage avec vos collaborateurs, gestion de votre abonnement.
  • Intérêt légitime (art. 6.1.f) — sécurité de la plateforme, prévention des abus, mesure d'audience anonyme du site.
  • Consentement (art. 6.1.a) — permissions sensibles (position en arrière-plan, appareil photo, micro, notifications) demandées explicitement dans l'app et révocables à tout moment dans les réglages du téléphone.
  • Obligation légale (art. 6.1.c) — conservation de certaines données comptables pour la facturation.

4. Sous-traitants et destinataires

Nous utilisons les sous-traitants suivants, tous engagés par un contrat de traitement (DPA) :

  • Supabase (hébergement EU, Irlande) — base PostgreSQL, authentification OTP, stockage des photos dans des buckets isolés par utilisateur, Edge Functions. Chiffrement au repos et en transit.
  • Google Firebase Cloud Messaging (Google Ireland Ltd, transferts encadrés vers les États-Unis sous les Clauses contractuelles types) — livraison des notifications push sur Android. Seul le token FCM (identifiant d'appareil) et le contenu de la notification transitent par Google.
  • Apple Push Notification service (Apple Distribution International, Irlande) — équivalent côté iOS.
  • RevenueCat (RevenueCat Inc., États-Unis, transferts encadrés sous Clauses contractuelles types) — validation des abonnements Pro. Reçoit votre identifiant utilisateur et l'historique d'achat lié à votre transaction Google Play / App Store. Aucune information de paiement n'est partagée.
  • Google Play Billing et Apple App Store — gèrent le paiement de l'abonnement Pro. Ce sont eux qui collectent et stockent vos informations de paiement, selon leurs propres politiques de confidentialité.
  • IGN — Institut national de l'information géographique et forestière (France) — fournit les fonds de carte (SCAN 25, BD ORTHO, parcellaire cadastral) via le Géoportail. Les requêtes de tuiles révèlent implicitement la zone géographique consultée.
  • MapLibre — bibliothèque open source de rendu cartographique, exécutée intégralement sur votre appareil (pas de transfert de données).
  • Umami Analytics (instance auto-hébergée par Sylvie Forêt en Europe) — mesure d'audience anonyme du site sylvie-foret.com. Pas de cookies tiers, pas de fingerprinting, pas d'identifiant publicitaire.

Nous n'utilisons ni Google Analytics, ni Firebase Analytics, ni Crashlytics, ni AdMob, ni Facebook SDK, ni Mixpanel, ni aucun outil de tracking publicitaire.

5. Permissions des applications mobiles

Les applications iOS et Android demandent explicitement les permissions suivantes. Vous pouvez toutes les refuser ou les révoquer ultérieurement dans les réglages de votre téléphone.

  • Position (précise + arrière-plan) — enregistrement continu de votre tracé GPS en forêt, y compris écran éteint ou téléphone en poche. Un service de premier plan affiche en permanence une notification « Enregistrement en cours » pendant la collecte. L'enregistrement s'arrête dès que vous terminez la session.
  • Appareil photo — prise de photos terrain associées à un point de carte.
  • Microphone et reconnaissance vocale — utilisés uniquement pendant la dictée d'un tracé pour pré-remplir des champs (essence, diamètre, commentaire). La reconnaissance se fait sur l'appareil quand c'est possible (Android : EXTRA_PREFER_OFFLINE ; iOS : reconnaissance on-device).
  • Contacts (Android) — lecture locale uniquement, au moment où vous ouvrez le sélecteur de contact pour partager une carte. Aucun contact n'est envoyé à nos serveurs ni stocké.
  • Notifications — réception des push de partage et de rappels.
  • Ignorer l'optimisation de batterie (Android) — proposée pendant l'onboarding pour éviter qu'Android coupe le service GPS au bout de quelques minutes. Refus possible sans perte de fonctionnalité essentielle.
  • Réseau et stockage local — synchronisation des cartes, mise en cache des tuiles pour utilisation hors connexion en forêt.

6. Durées de conservation

  • Données de compte et contenu utilisateur (cartes, tracés, photos) : tant que votre compte est actif, puis supprimés sous 30 jours après votre demande de suppression de compte.
  • Logs techniques : 12 mois maximum.
  • Données de facturation : 10 ans (obligation comptable française).
  • Tokens push (FCM / APNs) : supprimés à la désinstallation de l'app ou à la suppression du compte.

7. Vos droits (RGPD)

Vous disposez à tout moment des droits suivants :

  • Accès et portabilité — exportez vos données directement depuis l'app aux formats Shapefile, GPX, GeoJSON ou GeoPDF.
  • Rectification — modifiez votre profil et vos contenus depuis l'app.
  • Suppression de compte — depuis l'écran Profil de l'app iOS ou Android, bouton « Supprimer mon compte ». L'action supprime en cascade votre compte d'authentification, vos cartes, vos tracés et vos photos sur Supabase. Vous pouvez également écrire à edouard@sylvie-foret.com ou utiliser le formulaire dédié : sylvie-foret.com/suppression-compte.
  • Limitation et opposition — au traitement, pour les motifs prévus par le RGPD.
  • Réclamation — auprès de la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Pour exercer ces droits ou poser une question : edouard@sylvie-foret.com. Nous répondons sous 30 jours maximum.

8. Sécurité

Toutes les communications entre vos appareils et nos serveurs sont chiffrées en HTTPS / TLS. Les données au repos sont chiffrées sur Supabase. Les photos sont isolées dans des buckets de stockage propres à chaque utilisateur, protégés par des règles d'accès (Row Level Security PostgreSQL) qui empêchent un utilisateur d'accéder aux données d'un autre.

9. Pas de revente, pas de publicité

Vos données ne sont jamais vendues, louées, ni partagées à des fins publicitaires ou marketing. Le seul partage avec un tiers est celui que vous initiez explicitement (partage d'une carte avec un collaborateur que vous désignez par son numéro de téléphone).

10. Enfants

Sylvie Forêt est destinée aux professionnels et propriétaires forestiers majeurs. L'app n'est pas conçue pour les moins de 16 ans et nous ne collectons pas sciemment de données de mineurs. Si vous estimez qu'un mineur a créé un compte, écrivez-nous et nous procéderons à la suppression.

11. Modifications

Cette politique peut être mise à jour pour refléter des évolutions techniques ou réglementaires. La date de dernière mise à jour est indiquée ci-dessous. Les changements substantiels vous sont notifiés dans l'application.

12. Mise à jour

Dernière mise à jour : mai 2026.