Flexiness



Gardez un œil sur votre IA

POLITIQUE DE CONFIDENTIALITÉ

Date d'entrée en vigueur : 22 mai 2026

1. Introduction

Bienvenue sur Chaperons&Co. Votre confidentialité est essentielle pour nous. Cette politique explique comment nous collectons, traitons et protégeons vos données conformément au Règlement Général sur la Protection des Données (RGPD).

2. Collecte et traitement des données

2.1 Authentification via Google

Google est utilisé comme fournisseur d'identité fédérée à travers notre service d'authentification AWS Cognito (voir section 2.2), selon le protocole OAuth 2.0 (flux Authorization Code avec PKCE — RFC 7636).

Si l'utilisateur s'authentifie à notre application à travers Google, nous sollicitons les autorisations suivantes pour accéder à d'autres services de Google API :

Autorisations (https://www.googleapis.com)

Utilisation

Autorisations (https://www.googleapis.com)

/auth/userinfo.email

Utilisation

Consultez l'adresse e-mail principale de votre compte Google

Autorisations (https://www.googleapis.com)

/auth/userinfo.profile

Utilisation

Consultez vos informations personnelles, y compris toutes les informations personnelles que vous avez rendues publiques

Autorisations (https://www.googleapis.com)

openid

Utilisation

Associez-vous à vos informations personnelles sur Google

Cela nous permet de vous authentifier via Google et de pré-remplir certaines informations de votre profil.

Nous utilisons ces données uniquement à des fins fonctionnelles et pour mieux comprendre l'usage de l'application en interne.

Vous pouvez désactiver les autorisations à tout moment en modifiant les paramètres de votre compte Google utilisé pour vous authentifier.

Aucune donnée personnelle n'est partagée avec des tiers.

2.2 Authentification via AWS Cognito

Que l'utilisateur crée un compte directement (e-mail et mot de passe) ou s'authentifie via Google, AWS Cognito (hébergé dans l'Union européenne) gère son identité et la session d'authentification.

Les attributs suivants sont collectés et stockés par AWS Cognito :

Attribut (AWS Cognito User Pool)

Description

Attribut (AWS Cognito User Pool)

given_name

Description

Prénom de l'utilisateur, fourni à l'inscription

Attribut (AWS Cognito User Pool)

family_name

Description

Nom de l'utilisateur, fourni à l'inscription

Attribut (AWS Cognito User Pool)

email

Description

Adresse e-mail, utilisée comme identifiant principal et pour les communications transactionnelles

Attribut (AWS Cognito User Pool)

phone_number

Description

Numéro de téléphone, facultatif

Attribut (AWS Cognito User Pool)

password

Description

Mot de passe (uniquement si inscription par e-mail) — haché par AWS Cognito et jamais stocké en clair

Attribut (AWS Cognito User Pool)

sub

Description

Identifiant unique généré par Cognito, utilisé en interne pour relier les ressources de l'application à l'utilisateur

Ces données servent uniquement à authentifier l'utilisateur et à permettre les interactions au sein de la plateforme.

Politique de mot de passe : minimum 8 caractères avec au moins une majuscule, une minuscule, un chiffre et un symbole. L'authentification multi-facteur (MFA) n'est actuellement pas activée.

Portées OAuth 2.0 émises par AWS Cognito à l'application (flux Authorization Code avec PKCE) : email, openid, profile, phone.

Vous pouvez à tout moment demander la modification de vos attributs ou la suppression de votre compte en écrivant à hello@flexiness.com.

Aucune donnée d'authentification n'est partagée avec des tiers en dehors du fournisseur d'infrastructure AWS, soumis à ses propres engagements RGPD.

2.3 Stripe Connect — Création du profil hôte

Lorsqu'un utilisateur souhaite devenir hôte et publier des disponibilités de rendez-vous payants sur la plateforme, nous utilisons Stripe Connect (compte Express). Stripe agit en tant que responsable de traitement distinct pour les données de vérification d'identité réglementaires (KYC / LCB-FT).

Les données suivantes sont fournies directement à Stripe via son formulaire hébergé d'onboarding. Elles ne transitent jamais par nos serveurs :

  • Nom et prénom du titulaire du compte
  • Date de naissance
  • Adresse postale
  • IBAN et coordonnées bancaires
  • Pièce d'identité (passeport, permis de conduire ou carte nationale d'identité) pour la vérification KYC

Les données suivantes sont stockées localement par notre application (base de données AWS DynamoDB hébergée dans l'Union européenne, dans le modèle StripeConnectAccount) afin de gérer le cycle de vie du compte :

  • Identifiant utilisateur AWS Cognito et identifiant de compte Stripe (acct_…)
  • Adresse e-mail du titulaire
  • Statut du compte (onboarding en cours, actif, restreint), capacités activées (paiements par carte, virements)
  • Pays (France par défaut), devise (euro), horodatages d'onboarding
  • Liste des éléments de vérification encore requis par Stripe

Stripe nous transmet les mises à jour de statut de vérification via des webhooks signés (account.updated), afin de tenir à jour l'état d'activation de votre profil hôte.

Responsable de traitement KYC : Stripe est responsable du traitement des données d'identification réglementaires. Consultez la Politique de confidentialité Stripe pour les détails.

Finalité : exécution du contrat (mise à disposition d'un compte de paiement pour recevoir des virements de la plateforme) et respect de nos obligations légales en matière de lutte contre le blanchiment de capitaux.

Conservation : tant que le profil hôte est actif. La suppression de votre compte Stripe peut être demandée à tout moment, sous réserve des obligations légales de conservation applicables à Stripe.

2.4 Stripe — Achat de crédits

Lorsqu'un utilisateur achète des crédits pour réserver des rendez-vous avec un hôte, nous utilisons Stripe Checkout en mode paiement unique (mode: payment). Les fonds sont versés sur notre compte Stripe principal, puis répartis ultérieurement.

Important : à la différence d'une marketplace classique, les fonds ne sont pas transférés à l'hôte au moment de votre achat de crédits. Le transfert intervient ultérieurement, au moment d'une réservation effective, via une opération stripe.transfers.create distincte vers le compte Stripe Connect de l'hôte concerné.

Les données suivantes sont collectées et stockées par notre application pour chaque achat (modèles UserCredits et CreditTransaction) :

  • Identifiant utilisateur AWS Cognito de l'acheteur
  • Adresse e-mail de l'acheteur
  • Identifiant du pack de crédits acheté, nombre de crédits, montant en centimes d'euro
  • Identifiants Stripe de la session de paiement et de l'intention de paiement
  • Statut du paiement (en attente, réussi, annulé, échoué), horodatage

Les données bancaires (numéro de carte, cryptogramme visuel) sont saisies par l'acheteur directement sur la page de paiement hébergée par Stripe (conforme PCI-DSS Level 1). Aucune donnée bancaire n'est jamais transmise à nos serveurs ni stockée par notre application.

Stripe nous transmet l'évolution du statut de paiement via des webhooks signés : checkout.session.completed, checkout.session.expired, payment_intent.payment_failed.

Aucune donnée bancaire conservée : les informations de paiement sont traitées exclusivement par Stripe, responsable de traitement distinct. Consultez la Politique de confidentialité Stripe.

Finalité : exécution de la transaction d'achat de crédits, traçabilité comptable et règlement ultérieur des hôtes.

Conservation : les données relatives aux achats sont conservées pendant la durée légale applicable aux pièces comptables (10 ans en France).

Vous pouvez exercer vos droits d'accès, de rectification ou d'effacement (sous réserve des obligations comptables) en écrivant à hello@flexiness.com.

2.5 Cookies et stockage local

Notre application utilise des cookies HTTP et le stockage local (localStorage) du navigateur. Seuls les éléments strictement nécessaires au fonctionnement de l'application sont déposés.

Strictement nécessaires (toujours actifs) :

  • Cookies d'authentification AWS Cognito — jetons d'accès et de rafraîchissement gérés par AWS Amplify, indispensables pour maintenir votre session connectée.
  • Cookie de préférence de langue (NEXT_LOCALE) — mémorise votre choix de langue (français ou anglais) pour les visites suivantes.

Lorsque vous achetez des crédits, la page de paiement hébergée par Stripe peut déposer ses propres cookies sur le domaine stripe.com. Ces cookies tiers sont régis par la politique de confidentialité de Stripe (voir section 2.4).

Aucun cookie publicitaire, aucun cookie de pistage cross-site, aucun cookie analytique ne sont déposés par notre application.

2.6 Suivi des erreurs (AWS CloudWatch)

Nous enregistrons les erreurs techniques afin de diagnostiquer les incidents et améliorer la fiabilité du service. Les journaux applicatifs côté serveur (sortie console standard) sont captés automatiquement par AWS Amplify Hosting et stockés dans AWS CloudWatch Logs (région eu-west-3, hébergé dans l'Union européenne).

Données potentiellement journalisées :

  • Horodatage, identifiant de requête, environnement (développement / production)
  • Route HTTP, méthode, message et type d'erreur
  • Identifiant utilisateur AWS Cognito uniquement lorsque la session est authentifiée au moment de l'erreur

Nous nous efforçons de limiter au strict minimum les données personnelles présentes dans les messages d'erreur. Les piles d'appel détaillées (stack traces) sont principalement conservées en environnement de développement.

Finalité : intérêt légitime (RGPD Art. 6(1)(f)) — sécurité, débogage et fiabilité du service.

Conservation : selon les politiques de rétention configurées sur AWS CloudWatch.

3. Base légale du traitement

Nous traitons vos données sur les bases légales suivantes :

  • Intérêt légitime : amélioration des fonctionnalités et de l'expérience utilisateur.
  • Nécessité contractuelle : fournir les services de la plateforme (création du profil hôte, achat et utilisation des crédits, réservation de rendez-vous).
  • Obligation légale : respect des obligations réglementaires applicables à Stripe (KYC / LCB-FT) et aux pièces comptables.
  • Consentement : lorsque nécessaire, nous obtenons votre consentement explicite (par exemple pour l'utilisation de Google Calendar).

4. Droits des utilisateurs selon le RGPD

En vertu du RGPD, vous disposez des droits suivants :

  • Accès : demander l'accès à vos données personnelles stockées.
  • Rectification : corriger les données inexactes ou incomplètes.
  • Effacement : demander la suppression de vos données personnelles.
  • Limitation : limiter le traitement de vos données.
  • Portabilité des données : demander un transfert de vos données personnelles.
  • Opposition : vous opposer au traitement dans certaines circonstances.

Pour exercer ces droits, contactez-nous à hello@flexiness.com.

5. Mesures de sécurité

Nous mettons en œuvre des protocoles de sécurité robustes pour protéger vos données, incluant le chiffrement en transit (HTTPS) et au repos, un contrôle d'accès restreint à notre infrastructure AWS, et l'hébergement des données dans l'Union européenne.

6. Autorité de contrôle

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD.

L'autorité de contrôle compétente pour notre organisation est :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
https://www.cnil.fr

7. Contact

Pour toute question relative à la confidentialité, contactez-nous à hello@flexiness.com.

8. Modifications de la présente politique

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. En cas de modifications substantielles, nous vous en informerons sur notre site internet. La date de la dernière révision est indiquée ci-dessous.

Dernière mise à jour : mai 2026