Diversif

Politique de confidentialité

Dernière mise à jour : 10 mai 2026.

1. Responsable de traitement

Simon Brunou, joignable à simon.brunou@proton.me. Adresse postale : 1 rue Gilles Gahinet 56250 Saint-Nolff.

2. Finalités et bases légales

  • Tenir un compte parent (email, nom d'usage, mot de passe haché) : exécution du contrat (article 6.1.b RGPD).
  • Suivre la diversification alimentaire d'un enfant (prénom et date de naissance de l'enfant, journal des aliments, observations de réactions, notes) : exécution du contrat. Ces données peuvent relever de l'article 9 RGPD (santé d'un mineur) ; elles sont traitées sur la base du consentement explicite du parent (article 9.2.a) recueilli à l'inscription.
  • Partager le suivi avec un co-parent (invitations, appartenances) : exécution du contrat.
  • Sécurité du compte (sessions, clés d'accès WebAuthn, défis WebAuthn éphémères) : intérêt légitime à protéger les comptes.
  • Mémoriser les conseils déjà fermés (rappels et astuces que vous avez écartés sur la fiche d'un enfant) : intérêt légitime à ne pas ré-afficher un élément d'interface déjà fermé (article 6.1.f RGPD).

3. Catégories de données collectées

  • Compte parent : email, nom d'usage, mot de passe haché (Argon2id), horodatages d'acceptation des CGU et de la politique, horodatage de dernière connexion.
  • Enfant : prénom et date de naissance.
  • Journal d'aliments : aliment, date, observation (« RAS », « inconfort », « réaction »), notes libres.
  • Symptômes observés : libellé (rougeur, urticaire, eczéma, vomissement, etc.), heure d'observation, note libre. Supprimés en cascade lors de la suppression du compte ou de l'enfant.
  • Sessions et clés d'accès : identifiants opaques, métadonnées WebAuthn (type d'appareil, transports, compteur de signature).
  • Invitations : code à durée limitée, identifiants du créateur et de l'utilisateur ayant accepté.
  • Conseils écartés : identifiant du conseil fermé pour une fiche enfant, horodatage de fermeture.

Aucun cookie de mesure d'audience, aucune adresse IP et aucun User-Agent ne sont enregistrés dans la base applicative. Un service tiers de remontée d'erreurs techniques (voir section 4) reçoit, en cas de panne, une trace technique sans identifiant utilisateur.

4. Destinataires et sous-traitants

Les données applicatives (compte, enfants, journal, sessions) sont stockées dans une base PostgreSQL hébergée par Auto-hébergé. Aucun tiers de mesure d'audience, de publicité, de suivi commercial, d'e-mail, de notification ou de CDN ne reçoit vos données. Les co-parents auxquels vous transmettez un code d'invitation accèdent au journal de l'enfant correspondant.

Un seul sous-traitant technique reçoit des données strictement limitées :

  • Sentry GmbH (entité européenne de Functional Software, Inc., siège social à Berlin, Allemagne) : collecte des erreurs techniques produites par l'application (trace d'exécution, route SvelteKit anonymisée, identifiant d'erreur opaque). Aucun identifiant utilisateur, aucune adresse e-mail, aucun corps de requête, aucun cookie ni en-tête ne sont transmis. Base légale : intérêt légitime à corriger les pannes (article 6.1.f RGPD). Données hébergées en Union européenne (région Francfort). Durée de conservation : 90 jours. Lien : accord de traitement (DPA).

5. Durées de conservation

  • Compte et journaux : tant que le compte est actif. Un compte sans connexion depuis 1095 jours peut être identifié comme obsolète et supprimé manuellement par l'éditeur.
  • Sessions : 30 jours ; renouvellement automatique en cas d'usage.
  • Invitations : 7 jours (purgées automatiquement après expiration).
  • Défis WebAuthn : 5 minutes (purgés automatiquement).
  • Conseils écartés : conservés tant que la fiche enfant correspondante existe ; supprimés en cascade lors de la suppression de l'enfant ou du compte parent.
  • Suppression du compte : effectuée immédiatement, sans délai, à la demande de l'utilisateur via la page « Mon compte ».

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement.

  • Accès et portabilité : depuis « Mon compte », exportez vos données au format JSON.
  • Rectification : depuis « Mon compte » et la fiche de l'enfant.
  • Effacement : depuis « Mon compte », bouton « Supprimer mon compte ».
  • Toute autre demande : par e-mail à simon.brunou@proton.me.

Vous pouvez à tout moment introduire une réclamation auprès de la CNIL.

7. Mineurs

Diversif est destiné à des parents et personnes responsables d'un enfant. La création d'un compte est réservée aux personnes de 15 ans ou plus (article 45 de la loi Informatique et Libertés). Les données concernant l'enfant sont traitées sous la responsabilité du parent titulaire du compte.

8. Sécurité

Les mots de passe sont hachés avec Argon2id. Les communications sont chiffrées en HTTPS. L'application utilise des en-têtes de sécurité (CSP, HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy). Les clés d'accès WebAuthn sont prises en charge.

9. Transferts hors Union européenne

Aucun transfert hors Union européenne n'est effectué tant que l'hébergement reste assuré par Auto-hébergé.