Politique de Confidentialité

Le responsable du traitement des données à caractère personnel collectées via l'Application Koda et le site trykoda.app est :

Alexandre Villanueva
Développeur indépendant
Basé en France
Email : alexvilcontact@gmail.com

Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, la présente politique détaille les conditions dans lesquelles les données personnelles sont collectées et traitées.

Koda applique le principe de minimisation des données. Voici le détail exhaustif des données collectées :

a) Adresse email :

• Collectée lors de l'inscription à la waitlist (via le site trykoda.app)
• Collectée par LemonSqueezy lors de la souscription d'un abonnement payant

b) Données de licence :

• Clé de licence (générée par LemonSqueezy)
• Statut de la licence (active, expirée, suspendue)
• Plan souscrit (Pro)
• Dates de début et fin d'abonnement

c) Données de benchmarks (opt-in volontaire) :

• Données analytiques anonymisées et agrégées relatives aux performances des applications de l'Utilisateur
• Ces données sont dépourvues de tout identifiant personnel et ne permettent pas d'identifier l'Utilisateur
• La participation aux benchmarks est entièrement volontaire et peut être désactivée à tout moment dans les réglages de l'Application

d) Données ASO (100% locales) :

• Mots-clés, classements, avis, métadonnées d'applications
• Stockées exclusivement sur le Mac de l'Utilisateur dans une base SQLite
• Ces données ne sont jamais transmises à nos serveurs ni à aucun tiers

e) Données d'analyse du site trykoda.app (sous consentement) :

• Pages visitées, durée de session, source de trafic — collectées via Google Analytics 4 (GA4) uniquement après consentement explicite du visiteur (bandeau de consentement)
• Pour les visiteurs situés hors UE/EEE, la mesure est active sans bannière
• Ces données sont pseudonymisées et transmises à Google LLC

f) Données NON collectées :

• Aucun cookie ni traceur dans l'Application Koda native
• Aucune donnée de navigation, de géolocalisation ou d'appareil collectée par l'Application
• Aucune donnée biométrique

Les données personnelles sont traitées pour les finalités suivantes :

• Gestion de la waitlist : envoi d'une notification lors du lancement de l'Application (email)
• Gestion des licences et abonnements : activation, validation et suivi des licences d'utilisation (email, clé de licence, statut)
• Fourniture du Service : accès aux fonctionnalités premium correspondant au plan souscrit
• Benchmarks communautaires : calcul et fourniture de benchmarks anonymisés et agrégés à l'ensemble des Utilisateurs participants (données de benchmarks opt-in)
• Mesure d'audience du site trykoda.app : analyse statistique du trafic via Google Analytics 4 (GA4), sous consentement explicite pour les visiteurs UE/EEE, afin d'améliorer le contenu et l'expérience du site
• Communication : réponse aux demandes de support, notifications relatives au Service (mises à jour, modifications des CGU)

Les données ne sont en aucun cas utilisées à des fins de profilage, de publicité ciblée ou de revente à des tiers.

Chaque traitement repose sur une base légale conforme à l'article 6 du RGPD :

• Exécution du contrat (art. 6.1.b) : gestion de l'abonnement, validation de la licence, fourniture du Service et fonctionnalités premium
• Consentement (art. 6.1.a) : inscription à la waitlist, participation aux benchmarks communautaires (opt-in explicite), mesure d'audience du site via Google Analytics 4 (pour les visiteurs UE/EEE). L'Utilisateur peut retirer son consentement à tout moment
• Intérêt légitime (art. 6.1.f) : amélioration du Service, détection de fraude et utilisation abusive des licences, sécurité de l'Application, mesure d'audience pour les visiteurs hors UE/EEE

Les données personnelles sont partagées avec les destinataires suivants, dans le strict cadre des finalités décrites ci-dessus :

• LemonSqueezy (Lemon Squeezy LLC) : en qualité de merchant of record, LemonSqueezy traite les données de paiement, l'adresse email et les informations de facturation pour la gestion des abonnements et l'émission des factures
• Google Cloud Platform (Google LLC) : hébergeur du backend de l'Application, localisé en région Europe West 1 (Belgique). Google Cloud traite les données de licence et les données de benchmarks anonymisées
• Google LLC (Google Analytics 4) : analyse statistique de l'audience du site trykoda.app. Google reçoit des données de navigation pseudonymisées (pages visitées, durée de session, provenance) uniquement après consentement explicite des visiteurs UE/EEE. Google peut traiter ces données sur des serveurs situés aux États-Unis, conformément à l'EU-US Data Privacy Framework

Aucun autre tiers n'a accès aux données personnelles des Utilisateurs. Les données ne sont jamais vendues, louées ou échangées à des fins commerciales.

Certaines données sont transférées en dehors de l'Espace Économique Européen (EEE) :

LemonSqueezy (États-Unis) : les données de paiement et d'abonnement sont traitées par LemonSqueezy dont le siège est aux États-Unis. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, conformément à l'article 46.2.c du RGPD.

Google Cloud (Belgique) : le backend est hébergé en Europe (région europe-west1, Belgique). Les données traitées par Google Cloud restent dans l'EEE. Google LLC adhère néanmoins au EU-US Data Privacy Framework pour tout traitement annexe.

L'Éditeur s'assure que ses sous-traitants offrent des garanties suffisantes en matière de protection des données personnelles.

Les données personnelles sont conservées pour les durées suivantes :

• Email de waitlist : conservé jusqu'au lancement de l'Application ou jusqu'à la demande de suppression par l'Utilisateur, puis supprimé sous 30 jours
• Données de licence et abonnement : conservées pendant toute la durée de l'abonnement actif, puis 1 an après la fin de l'abonnement (à des fins de gestion des litiges et obligations légales), puis supprimées
• Données de benchmarks anonymisées : conservées sans limitation de durée, car elles sont entièrement anonymisées et ne constituent pas des données à caractère personnel au sens du RGPD
• Données de facturation : conservées par LemonSqueezy conformément aux obligations légales et fiscales applicables (10 ans en droit français)
• Données ASO locales : stockées sur le Mac de l'Utilisateur, sous son contrôle exclusif. L'Éditeur n'y a aucun accès et n'en maîtrise pas la durée de conservation

Conformément au RGPD (articles 15 à 22), l'Utilisateur dispose des droits suivants :

• Droit d'accès (art. 15) : obtenir la confirmation que des données personnelles sont traitées et en obtenir une copie
• Droit de rectification (art. 16) : demander la correction de données inexactes ou incomplètes
• Droit à l'effacement (art. 17) : demander la suppression des données personnelles, sous réserve des obligations légales de conservation
• Droit à la limitation du traitement (art. 18) : obtenir la limitation du traitement dans les cas prévus par le RGPD
• Droit à la portabilité (art. 20) : recevoir les données personnelles dans un format structuré, couramment utilisé et lisible par machine
• Droit d'opposition (art. 21) : s'opposer au traitement des données fondé sur l'intérêt légitime
• Droit au retrait du consentement : retirer son consentement à tout moment pour les traitements fondés sur le consentement (waitlist, benchmarks), sans que cela n'affecte la licéité du traitement effectué avant le retrait

Pour exercer l'un quelconque de ses droits, l'Utilisateur peut adresser sa demande par email à : alexvilcontact@gmail.com

La demande doit être accompagnée d'un justificatif d'identité en cas de doute raisonnable sur l'identité du demandeur.

L'Éditeur s'engage à répondre à toute demande dans un délai maximum de 30 jours à compter de sa réception. Ce délai peut être prolongé de 60 jours supplémentaires en cas de complexité ou de nombre élevé de demandes, auquel cas l'Utilisateur sera informé de la prolongation et de ses motifs dans le délai initial de 30 jours.

Si l'Utilisateur estime que le traitement de ses données personnelles constitue une violation du RGPD, il dispose du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Site web : www.cnil.fr

L'Éditeur invite l'Utilisateur à le contacter préalablement afin de tenter de résoudre le litige à l'amiable.

Site web trykoda.app : le site utilise Google Analytics 4 (GA4) pour mesurer son audience. Cette mesure repose sur des cookies analytics déposés après consentement explicite des visiteurs. Le mode Consentement Google v2 est activé : par défaut, aucun cookie n'est déposé et aucune donnée de navigation n'est transmise tant que vous n'avez pas exprimé votre choix via la bannière affichée lors de votre première visite.

Les cookies suivants peuvent être déposés après acceptation :

• _ga : identifie les sessions utilisateur (durée : 2 ans)
• _ga_XXXXXXXX : conserve l'état de session GA4 (durée : 2 ans)

Pour les visiteurs situés hors de l'Union européenne et de l'EEE, la mesure d'audience est active sans bandeau de consentement.

Retrait du consentement : vous pouvez modifier ou retirer votre choix à tout moment en cliquant sur « Paramètres cookies » dans le pied de page du site, ou en effaçant les données de votre navigateur pour le domaine trykoda.app. Aucun cookie de publicité ou de reciblage n'est utilisé.

Application Koda : l'Application native ne dépose aucun cookie et n'intègre aucun SDK de tracking ou d'analyse. Aucune donnée de navigation n'est collectée.

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles :

• Chiffrement en transit : toutes les communications entre l'Application et le backend sont chiffrées via TLS 1.3 (rustls, sans OpenSSL)
• Signature des requêtes : chaque requête entre l'Application et le backend est signée via HMAC-SHA256, empêchant toute falsification
• Certificate pinning : le certificat du serveur backend est épinglé dans l'Application, prévenant les attaques de type man-in-the-middle
• Stockage local sécurisé : les données ASO sont stockées localement dans une base SQLite, bénéficiant de la sécurité du système de fichiers macOS
• Requêtes paramétrées : toutes les requêtes SQL utilisent des paramètres liés (via sqlx), prévenant les injections SQL

L'Éditeur fait appel aux sous-traitants suivants pour le traitement des données personnelles :

Sous-traitant	Rôle	Localisation	Garanties
LemonSqueezy (Lemon Squeezy LLC)	Paiement, facturation, gestion de licence	États-Unis	Clauses Contractuelles Types (CCT)
Google Cloud Platform (Google LLC)	Hébergement backend (Cloud Run)	Belgique (europe-west1)	Données en EEE + EU-US Data Privacy Framework
Google LLC (Google Analytics 4)	Analyse statistique de l'audience du site trykoda.app (sous consentement)	États-Unis / EEE	EU-US Data Privacy Framework + Consent Mode v2

Aucun autre sous-traitant n'intervient dans le traitement des données personnelles.

L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. Toute modification substantielle sera notifiée aux Utilisateurs par email ou par notification dans l'Application au moins 30 jours avant son entrée en vigueur.

La date de dernière mise à jour est indiquée en haut de la présente politique. L'Utilisateur est invité à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.

La poursuite de l'utilisation du Service après l'entrée en vigueur de la politique modifiée vaut acceptation des modifications.

Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits, vous pouvez contacter le responsable du traitement :

Alexandre Villanueva
Email : alexvilcontact@gmail.com
Site web : trykoda.app