Politique de confidentialité

Dernière mise à jour : 6 mai 2026

Presengo ("nous", "notre", "nos") s'engage à protéger vos données personnelles. La présente Politique de confidentialité explique quelles données nous collectons, comment nous les utilisons, comment nous les protégeons et quels droits vous avez en vertu du Règlement général sur la protection des données (RGPD) et des autres lois applicables en matière de protection des données.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est une entreprise individuelle française, exerçant sous le nom commercial Presengo, immatriculée sous le code APE 6201Z (programmation informatique) et dont le siège est situé à Cagnes-sur-Mer (06800), France. L'identité complète de l'exploitant, le numéro SIRET et l'adresse postale du siège sont disponibles sur la page Mentions légales du site, conformément à l'article 6-III de la loi pour la confiance dans l'économie numérique (LCEN).

Compte tenu de la nature et de l'échelle des traitements réalisés, aucun délégué à la protection des données (DPO) n'a été désigné. Toute question, demande ou réclamation relative à vos données personnelles peut être adressée à presengo.support@gmail.com.

Lorsque vous utilisez Presengo pour gérer la présence au sein de votre organisation (école, club, association, entreprise, etc.), vous êtes le responsable du traitement des données personnelles de vos membres (élèves, sportifs, bénévoles, salariés, etc.) et Presengo agit en tant que sous-traitant en votre nom au sens de l'Art. 28 du RGPD. Un accord de traitement des données (DPA) conforme à l'Art. 28 est disponible sur simple demande à presengo.support@gmail.com.

2. Données collectées

Données de compte

Adresse e-mail et nom d'affichage (uniquement si vous créez un compte -- les comptes sont facultatifs pour la plupart des fonctionnalités). L'authentification est gérée de manière sécurisée via Supabase Auth.

Données d'utilisation

Groupes, membres, événements, registres de présence, statuts personnalisés, champs personnalisés, sessions de QR check-in (jetons, horodatages, statut de pointage), signatures et toute donnée que vous saisissez lors de l'utilisation du service. Il s'agit du contenu principal que vous créez et gérez dans Presengo.

Données techniques

Identifiant de l'appareil (UUID), plateforme (iOS, Android ou Web), version de l'application, préférence linguistique et données de stockage local (consentement analytique, préférences de notifications, cache QR check-in pour la limitation du débit et la déduplication des sessions). Ces données sont collectées pour assurer le bon fonctionnement du service et appliquer les restrictions de licence.

Données multimédia

Photos de membres, photos de groupes, photos de présence, signatures capturées lors du pointage, photos de champs personnalisés et fichiers importés -- téléchargés volontairement par vous. Tous les médias sont compressés côté client avant le téléchargement (maximum 1 Mo) et stockés dans des espaces de stockage privés et à accès contrôlé.

Notifications

Les notifications et rappels que vous configurez dans l'application sont générés et affichés localement sur votre appareil via les API natives du système d'exploitation (iOS, Android). Aucune donnée de notification n'est transmise à un service tiers de notification push (FCM, APNs, OneSignal, etc.). Le contenu de vos notifications ne quitte jamais votre appareil.

3. Utilisation de vos données

Nous traitons vos données personnelles strictement aux fins suivantes :

Fournir et exploiter le service de gestion de présence (groupes, membres, événements, appels, QR check-in, synchronisation en temps réel, statistiques).
Gérer votre abonnement et traiter les paiements via Apple In-App Purchase, Google Play Billing ou Stripe (web).
Activer les espaces partagés pour collaborer avec vos collègues en temps réel : lorsqu'un espace est partagé, les utilisateurs invités accèdent aux données de cet espace selon les autorisations qui leur sont accordées par le propriétaire (lecture, modification).
Générer des statistiques de présence et des rapports exportables pour votre propre usage (formats Excel, CSV, PDF).
Programmer et afficher localement les notifications et rappels que vous avez configurés dans l'application.
Opérer les sessions de QR check-in : génération de jetons temporaires, traitement des demandes de pointage (y compris la capture optionnelle de signature et de photo), et synchronisation des données de présence en temps réel sur les appareils connectés.
Envoyer les emails transactionnels indispensables au fonctionnement du compte (confirmation d'inscription, réinitialisation de mot de passe) via Supabase Auth. Aucun email marketing ou commercial n'est envoyé.

4. Base juridique du traitement (RGPD Art. 6)

Nous nous appuyons sur les bases juridiques suivantes pour traiter vos données :

Exécution d'un contrat

Le traitement est nécessaire pour fournir le service que vous utilisez -- création de groupes, enregistrement des présences, opération des sessions de QR check-in, synchronisation des données en temps réel entre appareils, gestion de votre abonnement et envoi des emails transactionnels indispensables (confirmation d'inscription, réinitialisation de mot de passe).

Consentement

Pour les fonctionnalités optionnelles telles que les cookies analytiques (Google Analytics 4 sur la version web), le téléchargement de photos et l'autorisation d'afficher des notifications locales. Vous pouvez retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.

Intérêt légitime

Pour assurer la sécurité du service : journalisation des tentatives d'authentification et des requêtes de QR check-in, limitation du débit (3 tentatives par 5 minutes sur les points d'accès QR, limitation également appliquée à l'authentification), détection de schémas d'utilisation anormaux ou frauduleux, et protection contre les accès non autorisés. Ces traitements sont strictement limités à la finalité de sécurité, les données traitées sont minimisées (identifiants techniques, horodatages, codes de statut), et les journaux de sécurité sont automatiquement supprimés après 90 jours. Une analyse de mise en balance (Legitimate Interest Assessment) a été réalisée et conclut que cet intérêt ne porte pas atteinte de manière disproportionnée à vos droits et libertés fondamentaux. Vous pouvez vous opposer à ce traitement à tout moment (Art. 21 RGPD).

5. Stockage et sécurité des données

Vos données sont hébergées sur l'infrastructure Supabase située dans l'Union européenne (région Frankfurt, Allemagne). Nous mettons en oeuvre des mesures techniques et organisationnelles robustes pour protéger vos données :

Chiffrement au repos via AES-256 sur tous les enregistrements de base de données et fichiers stockés.
Chiffrement en transit via HTTPS/TLS pour chaque requête entre votre appareil et nos serveurs.
Sécurité au niveau des lignes (Row-Level Security) appliquée au niveau de la base de données -- chaque utilisateur ne peut accéder qu'à ses propres données ou aux données partagées avec lui. Les points d'accès QR check-in incluent une limitation du débit (3 tentatives par 5 minutes) pour prévenir les abus.
Identifiants basés sur des UUID ne contenant aucune information personnelle identifiable.
Espaces de stockage privés pour tous les médias téléchargés (photos, signatures, imports) -- aucun accès public, aucune URL devinable.
Authentification sécurisée via Supabase Auth avec hachage des mots de passe (bcrypt) et jetons JWT à durée de vie limitée.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons l'autorité de contrôle compétente (CNIL) dans les 72 heures conformément à l'Art. 33 du RGPD. Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons également directement et sans retard injustifié, conformément à l'Art. 34 du RGPD.

6. Partage des données et tiers

Nous ne vendons, ne louons et n'échangeons pas vos données personnelles. Nous partageons des données uniquement avec les sous-traitants suivants, strictement à des fins opérationnelles :

Supabase -- Supabase Inc. (États-Unis, hébergement effectif dans l'UE -- Frankfurt) -- Hébergement de base de données, authentification, stockage de fichiers et envoi d'emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe).
Apple -- Apple Inc. (États-Unis) -- Traitement des achats intégrés sur les appareils iOS. Apple traite les données de paiement selon sa propre politique de confidentialité.
Google -- Google LLC (États-Unis) -- Facturation Google Play sur les appareils Android et analyses optionnelles (Google Analytics 4, uniquement avec votre consentement explicite). Google traite les données selon sa propre politique de confidentialité.
Stripe -- Stripe Inc. (États-Unis) -- Traitement des paiements pour les abonnements web. Stripe traite les données de paiement selon sa propre politique de confidentialité. Presengo ne stocke aucune donnée de carte bancaire.
RevenueCat -- RevenueCat Inc. (États-Unis) -- Gestion des achats intégrés et vérification du statut des abonnements sur les appareils mobiles (iOS et Android). RevenueCat traite les données de transaction selon sa propre politique de confidentialité.

Nous ne vendons jamais vos données personnelles à des tiers. Nous n'utilisons jamais vos données à des fins publicitaires, de profilage commercial ou d'entraînement de modèles d'intelligence artificielle.

Chaque sous-traitant opère selon sa propre politique de confidentialité et ses propres conditions de traitement des données. Pour plus de détails sur leurs pratiques : Supabase (supabase.com/privacy), Stripe (stripe.com/privacy), Apple (apple.com/legal/privacy), Google (policies.google.com/privacy), RevenueCat (revenuecat.com/privacy).

7. Conservation des données

Nous conservons vos données uniquement aussi longtemps que nécessaire aux fins décrites dans la présente politique :

Compte actif -- Vos données sont conservées tant que votre compte est actif et que vous continuez à utiliser le service.
Compte supprimé -- Lorsque vous supprimez votre compte, toutes les données associées (groupes, membres, événements, registres de présence, photos, signatures, champs personnalisés) sont définitivement et irréversiblement supprimées de nos serveurs dans un délai maximum de 30 jours.
Espaces partagés -- Les espaces partagés expirent automatiquement 30 jours après la dernière connexion du propriétaire. Une fois expirés, toutes les données partagées associées sont définitivement supprimées.
Données de facturation -- Les informations d'abonnement (type de forfait, période de facturation, identifiants de transaction) sont conservées par le prestataire de paiement concerné (Stripe, Apple, Google, RevenueCat) conformément à leurs propres politiques et aux obligations comptables applicables (jusqu'à 10 ans en vertu de l'art. L.123-22 du Code de commerce français). Presengo ne stocke qu'une référence au statut de votre abonnement et ne conserve aucune donnée de carte bancaire.
Journaux techniques -- Les journaux de sécurité et d'accès (tentatives d'authentification, requêtes de QR check-in, journaux d'erreurs) sont conservés pendant 90 jours à des fins de surveillance de la sécurité, puis automatiquement supprimés.
Données analytiques -- Lorsque vous consentez à Google Analytics 4 sur la version web, les données analytiques sont conservées 14 mois maximum, puis automatiquement supprimées.

8. Vos droits en vertu du RGPD

En tant que personne concernée, vous disposez des droits suivants en vertu du RGPD et des lois applicables en matière de protection des données :

Droit d'accès (Art. 15) -- Vous pouvez demander une copie de toutes les données personnelles que nous détenons à votre sujet.
Droit de rectification (Art. 16) -- Vous pouvez corriger toute donnée inexacte ou incomplète directement dans l'application, ou en nous contactant.
Droit à l'effacement (Art. 17) -- Vous pouvez demander la suppression de toutes vos données personnelles. Cela peut être réalisé directement depuis l'application (Paramètres > Supprimer mon compte).
Droit à la portabilité (Art. 20) -- Vous pouvez exporter vos données dans des formats standard (Excel, CSV, PDF) grâce à la fonctionnalité d'export intégrée.
Droit à la limitation du traitement (Art. 18) -- Vous pouvez demander que nous limitions le traitement de vos données dans certaines conditions (par exemple en cas de contestation de l'exactitude des données).
Droit d'opposition (Art. 21) -- Vous pouvez vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime, notamment aux traitements de sécurité décrits à la section 4.
Droit de retrait du consentement -- Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment, sans affecter la licéité du traitement antérieur à ce retrait.
Droit de réclamation -- Vous avez le droit de déposer une réclamation auprès de votre autorité de contrôle locale (en France, la CNIL -- www.cnil.fr) si vous estimez que vos données sont traitées de manière non conforme.

Pour exercer l'un de ces droits, contactez-nous à presengo.support@gmail.com.

L'exercice de vos droits est gratuit. Nous pourrons vous demander de vérifier votre identité par des moyens proportionnés avant de traiter votre demande, lorsque cela est nécessaire pour prévenir une usurpation. Nous répondons dans un délai d'un mois à compter de la réception de votre demande, conformément à l'Art. 12.3 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes ou nombreuses, auquel cas nous vous en informerons dans le délai initial d'un mois en vous indiquant les motifs de cette prolongation. Nous pouvons refuser les demandes manifestement infondées ou excessives, en vous fournissant une explication motivée et en vous informant de votre droit de saisir la CNIL.

Presengo ne procède à aucune prise de décision exclusivement automatisée ni à aucun profilage produisant des effets juridiques ou des effets significatifs similaires vous concernant au sens de l'Art. 22 du RGPD.

9. Suppression de compte

Presengo fournit un mécanisme de suppression de compte en libre-service, simple et conforme à l'Art. 17 du RGPD (droit à l'effacement) :

Ouvrez l'application et accédez aux Paramètres.
Appuyez sur "Supprimer mon compte".
Confirmez la suppression en saisissant le texte de confirmation requis.

Après confirmation, toutes vos données sont définitivement supprimées dans un délai maximum de 30 jours : identifiants de compte, groupes, membres, événements, registres de présence, champs personnalisés, photos, signatures et toute propriété d'espace partagé. Cette action est irréversible. Seules les données de facturation conservées par les prestataires de paiement à des fins comptables légales (voir section 7) subsistent au-delà de cette suppression.

10. Photos et médias

Presengo vous permet de télécharger des photos et de capturer des signatures dans le cadre de la gestion de présence. Voici comment nous traitons vos médias :

Toutes les images sont compressées côté client avant le téléchargement (maximum 1 Mo) afin de minimiser le transfert de données et le stockage.
Tous les fichiers multimédia sont stockés dans des espaces de stockage Supabase privés (member-photos, signatures, attendance-photos, imports). L'accès est restreint aux utilisateurs authentifiés disposant des autorisations appropriées, via des règles de sécurité au niveau des lignes.
Les fichiers multimédia ne sont jamais partagés avec des tiers, jamais utilisés à des fins d'apprentissage automatique ou d'entraînement de modèles d'intelligence artificielle, et jamais rendus publiquement accessibles.
Aucun traitement biométrique au sens de l'Art. 9 du RGPD n'est effectué. Les signatures et photos sont stockées en tant que fichiers statiques à des fins de traçabilité uniquement. Aucune comparaison, correspondance, reconnaissance faciale ou identification automatisée n'est réalisée sur ces médias.

11. Protection des mineurs

Presengo n'est pas destiné à un usage direct par des enfants. L'âge minimum requis pour créer un compte correspond à l'âge de consentement numérique applicable dans le pays de résidence de l'utilisateur, conformément à l'Art. 8 du RGPD : 15 ans en France, 16 ans dans la plupart des autres États membres de l'UE (chaque État membre pouvant fixer ce seuil entre 13 et 16 ans). En dessous de cet âge, le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale. Nous ne collectons pas sciemment de données personnelles auprès d'enfants en dessous de ce seuil sans cette autorisation. Si vous pensez qu'un enfant nous a fourni des données personnelles sans l'autorisation requise, veuillez nous contacter à presengo.support@gmail.com et nous supprimerons rapidement les données concernées.

Lorsque Presengo est utilisé par une institution (école, club sportif, association) pour gérer la présence de mineurs, c'est l'institution qui agit en tant que responsable du traitement et qui est tenue de recueillir les consentements appropriés auprès des titulaires de la responsabilité parentale, conformément à la législation applicable.

12. Cookies et analyses

Presengo utilise des cookies sur sa version web comme suit :

Cookies essentiels -- Nécessaires pour l'authentification et les fonctionnalités de base. Ils ne peuvent pas être désactivés et ne nécessitent pas de consentement.
Cookies analytiques (Google Analytics 4) -- Utilisés pour mesurer l'audience et améliorer le service. Ils ne sont activés qu'avec votre consentement explicite via notre bandeau de cookies. L'anonymisation des adresses IP est activée (anonymize_ip), aucun suivi inter-sites (cross-site tracking) n'est effectué, aucune donnée n'est utilisée à des fins publicitaires, et la durée de conservation des données analytiques est limitée à 14 mois.

Vous pouvez modifier vos préférences en matière de cookies à tout moment en effançant les cookies de votre navigateur ou en utilisant le lien dédié dans le pied de page. Le refus des cookies analytiques n'affecte en rien le fonctionnement de l'application.

13. Transferts internationaux de données

Vos données principales sont stockées et traitées au sein de l'Union européenne (région Supabase Frankfurt, Allemagne). Certains sous-traitants techniques (Apple, Google, Stripe) sont des entités américaines certifiées dans le cadre du EU-US Data Privacy Framework (DPF), qui fournit un niveau de protection adéquat tel que reconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023. Pour les sous-traitants américains non certifiés DPF (notamment RevenueCat), des Clauses contractuelles types (CCT) approuvées par la Commission européenne sont en place pour garantir un niveau de protection équivalent. Aucune donnée personnelle n'est transférée hors de l'UE/EEE sans garanties appropriées au sens des Art. 44 à 49 du RGPD. Le statut de certification DPF de nos sous-traitants peut être vérifié à tout moment sur le registre officiel : https://www.dataprivacyframework.gov/list

14. Modifications de cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques ou les réglementations applicables. En cas de modifications substantielles affectant vos droits ou les finalités du traitement, nous vous informerons via une notification dans l'application et par email (si vous disposez d'un compte) au moins 30 jours avant l'entrée en vigueur des modifications. Les modifications mineures (corrections, clarifications) seront indiquées via la mise à jour de la date de "Dernière mise à jour" en haut de cette page. Nous vous encourageons à consulter cette politique périodiquement.

15. Contact

Pour toute question, préoccupation, demande d'exercice de vos droits ou réclamation relative à cette Politique de confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter à : presengo.support@gmail.com. Nous nous engageons à répondre à toute demande dans les délais légaux applicables.