Politique de confidentialité — Citerne
Version : 1.0 Date d'entrée en vigueur : 7 mai 2026 Dernière mise à jour : 7 mai 2026
1. Qui sommes-nous ?
L'application Citerne (« l'Application ») est éditée par :
- Dénomination : Christopher Denis (Entrepreneur Individuel)
- Nom commercial : Waideline
- Forme juridique : Entrepreneur individuel (EI)
- Siège social : 200 rue de la Croix Nivert, 75015 Paris, France
- SIREN : 829 530 757
- Contact RGPD :
legal@waideline.com - Délégué à la protection des données (DPO) : non désigné.
Au sens du Règlement (UE) 2016/679 (« RGPD »), nous sommes responsable de traitement pour l'ensemble des données décrites ci-dessous.
2. Données que nous collectons
Nous appliquons un principe de minimisation : nous ne collectons que ce dont l'Application a besoin pour fonctionner.
2.1 Données d'identification et d'authentification
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Numéro de téléphone (E.164) | Saisi par l'utilisateur lorsqu'il choisit cette méthode | Authentification, mise en relation avec les contacts | Exécution du contrat (Art. 6.1.b RGPD) |
| Adresse email | Fournie par Google/Apple OAuth ou saisie | Authentification, communications de service | Exécution du contrat |
Identifiant de fournisseur OAuth (provider_subject) |
Google ou Apple | Authentification | Exécution du contrat |
| Date de naissance | Saisie à l'inscription | Vérification de l'âge minimum (16 ans) | Exécution du contrat |
| Version des CGU acceptée + horodatage | Inscription | Preuve d'acceptation des conditions applicables | Exécution du contrat + intérêt légitime probatoire |
2.2 Données de profil
- Nom d'affichage (
display_name) - Discriminateur à 4 chiffres
- Avatar (URL, image hébergée par nos soins)
- Langue, fuseau horaire
2.3 Données relationnelles
- Carnet de contacts : la découverte automatique par carnet de contacts est actuellement désactivée. Si elle est activée ultérieurement, seules des empreintes de numéros seront transmises pour identifier les contacts déjà inscrits, et les lots transmis ne seront pas conservés au-delà de la requête.
- Liens « contact » bidirectionnels entre utilisateurs.
- Composition des canaux (membres, rôles).
2.4 Contenus partagés
- « Drops » : URLs partagées, légendes, métadonnées extraites (titre, vignette).
- Interactions : sips (ouvert), splashes (réactions emoji), echoes (commentaires).
2.5 Données techniques
- Token de notification push (APNs / FCM)
- Version de l'OS, version de l'application
- Horodatage de dernière connexion
- Logs serveur (IP, user-agent, endpoints appelés) — durée 30 jours
- Rapports d'erreur Sentry, sans contenu sensible
2.6 Données que nous ne collectons pas
- Géolocalisation
- Microphone, caméra (hors sélection volontaire d'un avatar)
- Identifiants publicitaires (IDFA, GAID)
- Données de navigation web hors de l'Application
3. Pourquoi nous traitons ces données (finalités)
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et authentification du compte | Téléphone OU email/OAuth, date de naissance, CGU | Contrat |
| Mise en relation avec les contacts | Contacts ajoutés manuellement ; empreintes de numéros si la découverte automatique est réactivée | Consentement explicite (Art. 6.1.a) pour la découverte par carnet |
| Diffusion de drops aux destinataires | Contenu, identifiants destinataires | Contrat |
| Notifications push | Token push, préférences | Contrat + consentement OS |
| Sécurité, prévention de la fraude, modération | Logs, signalements | Intérêt légitime (Art. 6.1.f) |
| Respect d'obligations légales (DSA, réquisitions) | Selon la demande | Obligation légale |
| Statistiques agrégées d'usage interne | Données agrégées et anonymisées | Intérêt légitime |
Nous n'utilisons aucune donnée à des fins publicitaires et ne pratiquons aucun profilage au sens de l'Art. 22 RGPD.
4. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte actif | Tant que le compte existe |
| Compte supprimé | Suppression immédiate ou anonymisation des données d'identité et d'authentification ; suppression des tokens, appareils, contacts, appartenance aux canaux, éléments du réservoir et signaux personnels ; conservation technique minimale d'un compte pseudonymisé Compte supprimé et des contenus déjà remis aux destinataires afin de préserver l'intégrité des échanges |
| Logs serveur | 30 jours |
| Rapports d'erreur Sentry | 90 jours |
| Signalements DSA et décisions de modération | 5 ans à compter du traitement du signalement, sauf obligation légale plus courte ou plus longue |
| Données conservées pour obligation légale, fraude ou litige | Durée strictement nécessaire à l'obligation ou à la défense des droits concernés |
5. Destinataires et sous-traitants
Vos données sont accessibles à :
- L'équipe Citerne, dans la stricte limite de leurs missions.
- Les sous-traitants techniques listés ci-dessous, liés par un Data Processing Agreement (DPA).
Hébergement : l'Application et la base de données sont auto-hébergées par l'éditeur. Aucune donnée applicative n'est stockée chez un hébergeur cloud tiers.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Cloudflare, Inc. | Tunnel réseau, DNS, CDN, protection DDoS, Cloudflare Pages (site public) | États-Unis (transit mondial via PoPs) |
| Google LLC | Sign in with Google + Firebase Cloud Messaging (notifications Android) | États-Unis (Data Privacy Framework) |
| Apple Inc. | Sign in with Apple + Apple Push Notification Service (notifications iOS) | États-Unis / Union européenne |
| Sentry | Supervision d'erreurs | États-Unis / Union européenne |
Transferts hors UE : les transferts vers les États-Unis (Cloudflare, Google, Apple, Sentry) reposent sur les Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, sur le Data Privacy Framework UE-US.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez :
- d'un droit d'accès à vos données ;
- d'un droit de rectification ;
- d'un droit à l'effacement (« droit à l'oubli ») ;
- d'un droit à la limitation du traitement ;
- d'un droit à la portabilité (export JSON disponible directement dans l'application) ;
- d'un droit d'opposition ;
- du droit de retirer votre consentement à tout moment ;
- du droit de définir des directives post-mortem sur vos données.
Comment exercer ces droits ?
- Directement dans l'application :
Profil → Confidentialité → Mes données. - Par email :
legal@waideline.com. - Délai de réponse : 1 mois maximum.
L'export applicatif est généré immédiatement au format JSON. Il inclut notamment le profil, les contacts, canaux, drops émis, interactions, éléments du réservoir, appareils actifs et signaux de modération liés au compte. Il n'inclut pas les hashes, secrets, tokens d'accès ou refresh tokens. La suppression du compte est immédiate côté API : elle anonymise le profil, supprime les données purement personnelles et conserve seulement ce qui est nécessaire aux échanges déjà remis aux destinataires ou aux obligations légales.
Réclamation : vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente de votre État membre de résidence ou de travail — par exemple la CNIL en France (https://www.cnil.fr/fr/plaintes), la GBA/APD en Belgique, l'AEPD en Espagne, le Garante en Italie, etc. La liste complète est tenue par le Comité européen de la protection des données (https://edpb.europa.eu/).
7. Sécurité
- Trafic chiffré TLS 1.3.
- Tokens d'accès courts + rotation des refresh tokens.
- Logs sans données sensibles (numéros, contenus de drops).
- Accès production réservé en moindre privilège, revue trimestrielle.
8. Mineurs
L'âge minimum d'utilisation est de 16 ans. L'âge est auto-déclaré à l'inscription via la date de naissance. Tout compte identifié comme appartenant à un utilisateur en dessous de cet âge sera supprimé.
9. Cookies et traceurs
L'Application mobile n'utilise pas de cookies. Le site citerne.waideline.com n'utilise que des cookies strictement nécessaires (pas de mesure d'audience tierce).
10. Modifications
Toute modification substantielle vous sera notifiée dans l'Application. La version en vigueur est toujours la dernière publiée à https://citerne.waideline.com/privacy.
11. Contact
legal@waideline.com