Politique de Confidentialité

Introduction

La protection de vos données personnelles est une priorité pour Oday. Cette Politique de Confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

Responsable du Traitement

Le responsable du traitement de vos données personnelles est :

BESSON Guy Dominique

Exerçant sous le nom : Oday

Résidant à Paris, France

Email : contact@oday.app

Nos Principes Fondamentaux

• Licéité et transparence : Nous traitons vos données de manière légale et vous informons clairement
• Limitation des finalités : Vos données sont collectées pour des finalités déterminées et légitimes
• Minimisation : Nous ne collectons que les données strictement nécessaires
• Exactitude : Nous maintenons vos données à jour et vous permettez de les corriger
• Conservation limitée : Vos données ne sont conservées que le temps nécessaire
• Intégrité et confidentialité : Nous mettons en œuvre des mesures de sécurité appropriées

Données Collectées

Données d'Identification

• Adresse email (utilisée comme identifiant unique)
• Mot de passe (stocké sous forme chiffrée si authentification par mot de passe)
• Tokens d'identification Google ou Apple (si authentification sociale)

Données de Profil

• Nom d'utilisateur
• Langue préférée
• Fuseau horaire de l'appareil (ex. Europe/Paris) — utilisé pour afficher et interpréter correctement les dates et heures de vos tâches et événements

Données de l'Appareil

• Token de notification push (pour les notifications)
• Type d'appareil (iOS, Android)
• Version de l'application installée

Données de conversations

• Vos conversations avec l'IA d'Oday

Données des Applications Connectées

Lorsque vous connectez des applications externes à Oday, nous collectons :

• Rappels : Titre, date d'échéance, statut de complétion et notes de l'application de rappels de votre appareil
• Calendrier : Titre, date, heure, lieu et participants de votre calendrier

Données d'Abonnement et de Paiement

• Statut d'abonnement et date d'expiration
• Historique des achats et identifiants de transaction
• Identifiants des produits souscrits

Important : Les détails de paiement (numéros de carte bancaire, etc.) sont gérés exclusivement par Apple/Google et RevenueCat. Nous n'avons jamais accès à vos informations de paiement.

Données d'Analyse d'Usage

Pour améliorer l'application, nous collectons des analyses d'utilisation via PostHog :

• Identifiant utilisateur lié à votre compte
• Adresse email pour identifier votre compte
• Comment vous interagissez avec l'application (écrans consultés, fonctionnalités utilisées, boutons cliqués)
• Événements de quitte-page : l'URL de la page, l'horodatage et l'identifiant de session enregistrés lorsque vous quittez une page — utilisés pour l'analyse produit et l'amélioration de l'expérience utilisateur
• Événements comportementaux du bilan hebdomadaire : nous capturons comment vous interagissez avec le flux du bilan hebdomadaire — comment vous y accédez, comment vous consultez le résumé hebdomadaire, les actions que vous effectuez sur vos tâches (terminer, supprimer ou reprogrammer), si vous utilisez la reprogrammation en lot, et comment vous interagissez avec l'aperçu de la semaine suivante. Ces événements sont utilisés uniquement pour l'analyse produit et l'amélioration des fonctionnalités.

Données Publicitaires et d'Attribution

Pour mesurer l'efficacité de nos campagnes publicitaires, nous utilisons le SDK TikTok Business, qui peut collecter :

• Identifiant publicitaire (IDFA sur iOS) — uniquement avec votre consentement explicite via la fenêtre App Tracking Transparency
• Événements de l'application : installations, lancements, inscriptions, débuts d'abonnement et achats (aucune donnée de contenu personnel n'est partagée)
• Informations basiques sur l'appareil (modèle, version du système) à des fins d'attribution

Données de Retour de Satisfaction

Lorsque vous soumettez explicitement un retour de satisfaction dans l'application, les données suivantes sont envoyées à Sentry (notre fournisseur de suivi d'erreurs et de retours) :

• Votre message de retour (le texte que vous saisissez et soumettez)
• Votre nom d'affichage (depuis vos paramètres de profil, s'il est défini)
• Votre adresse email (depuis votre compte)

Données du Chat d'Assistance Client

Lorsque vous utilisez le chat d'assistance intégré à l'application (fourni par Crisp), les données suivantes sont transmises aux serveurs de Crisp :

• Votre identifiant utilisateur (pour identifier votre session d'assistance)
• Votre adresse email (pour relier votre conversation d'assistance à votre compte)
• Les messages que vous envoyez et recevez dans le chat d'assistance (traités et conservés par Crisp conformément à leur politique de conservation des données)

Données d'Énergie et de Bien-être

Lorsque vous effectuez un bilan d'énergie dans l'application, nous collectons les données d'auto-évaluation de bien-être suivantes :

• Niveau d'énergie autodéclaré (élevé, normal ou faible) — un indicateur de bien-être subjectif utilisé pour générer des suggestions de tâches personnalisées en fonction de votre capacité du moment
• Fuseau horaire de votre appareil (ex. Europe/Paris) — transmis à chaque soumission de bilan pour déterminer la date locale correcte de votre enregistrement
• Horodatages du bilan (date du bilan, heure de réponse, date de création et de mise à jour) — stockés avec votre identifiant utilisateur, ces données forment un historique longitudinal de votre bien-être lié à votre compte

Base légale : Ces données sont traitées exclusivement sur la base de votre consentement explicite au sens de l'article 9(2)(a) du RGPD (en choisissant d'utiliser la fonctionnalité de bilan d'énergie, comme décrit à la section 13 de nos Conditions d'Utilisation). Bien que le niveau d'énergie soit une auto-évaluation subjective, il peut constituer un indicateur de bien-être à caractère de santé au sens de l'article 9 du RGPD. Nous le traitons avec le même soin que des données sensibles : il n'est jamais partagé avec des tiers à des fins commerciales, jamais utilisé pour entraîner des modèles d'IA, et est définitivement supprimé lors de la suppression de votre compte.

Données de Complétion du Bilan Hebdomadaire

Lorsque vous terminez un bilan hebdomadaire dans l'application, nous enregistrons les données suivantes dans notre base de données :

• La date de début de la semaine évaluée — identifiant pour quelle semaine le bilan a été effectué
• Horodatage de complétion — la date et l'heure à laquelle vous avez terminé le bilan hebdomadaire

Base légale : Ces données sont traitées sur la base de notre intérêt légitime à comprendre l'utilisation des fonctionnalités et à offrir une expérience cohérente dans l'application (par exemple, ne pas vous inviter à nouveau à effectuer un bilan que vous avez déjà terminé). Les enregistrements de complétion du bilan hebdomadaire sont conservés pendant toute la durée de votre compte et sont automatiquement et définitivement supprimés lors de la suppression de votre compte par suppression en cascade.

Données Non Collectées

Nous ne collectons JAMAIS :

• Votre localisation GPS précise
• Vos contacts
• Vos photos ou médias
• Vos messages SMS ou historique d'appels

Utilisation des Données

Fourniture du Service

• Gestion de votre compte et authentification
• Stockage de vos tâches et événements
• Synchronisation entre vos appareils les applications externes
• Envoi de rappels, récapitulatifs quotidiens et rappels de planification hebdomadaires

Intelligence Artificielle

Nous utilisons l'IA pour vous aider à gérer votre productivité. Lors de vos interactions avec l'IA, nous envoyons : votre message, fuseau horaire, date actuelle et le contexte de conversation récent. L'IA accède également à vos tâches et événements — incluant les titres, dates, priorités, étiquettes et règles de récurrence — pour fournir des suggestions de planification, des analyses de productivité et répondre aux demandes de recherche et de récupération. Ces données peuvent être traitées par des modèles d'IA d'OpenAI, Mistral et Google, acheminées via OpenRouter ou directement via Groq selon disponibilité.

Analyse de Planification Automatisée : Lorsque vous créez ou modifiez une tâche ou un événement, l'application analyse automatiquement votre planning de la journée — incluant les titres des événements, heures de début/fin, priorités des tâches, durées et charge de travail — pour détecter les conflits de planification et les surcharges. Cette analyse est utilisée pour suggérer des dates alternatives lorsque votre journée est surchargée. Les données de planification (détails des conflits, statut de surcharge et alternatives suggérées) sont traitées par des modèles d'IA via OpenRouter dans le cadre de cette fonctionnalité d'aide automatisée à la décision.

Votre email, nom et informations d'identification personnelles ne sont JAMAIS envoyés à l'IA.

Important : Vos données ne sont JAMAIS utilisées pour entraîner des modèles d'IA.

Mesure Publicitaire

Nous utilisons le SDK TikTok Business pour mesurer les performances de nos campagnes publicitaires. Cela nous permet de comprendre quelles publicités amènent les utilisateurs à installer et utiliser Oday. Les données d'événements (telles que les installations, inscriptions et abonnements) sont partagées avec TikTok à des fins d'attribution. Aucun contenu personnel de tâches, données de calendrier ou conversations IA n'est jamais partagé à des fins publicitaires.

Amélioration du Service

• Analyse d'usage liée à votre compte (PostHog) - nous suivons votre utilisation de l'application pour améliorer les fonctionnalités et l'expérience utilisateur
• Détection et correction de bugs, et traitement des retours de satisfaction (Sentry) — lors de la soumission d'un retour, votre nom, email et message sont envoyés à Sentry pour l'amélioration du produit
• Optimisation des performances

Rappel de Planification Hebdomadaire

Chaque dimanche soir, Oday envoie automatiquement une notification de rappel de planification hebdomadaire à tous les utilisateurs ayant activé les notifications push. Pour délivrer cette notification à l'heure locale correcte (environ 20h00), nous utilisons votre token de notification push, le fuseau horaire de votre appareil et votre langue préférée. Vos tâches et événements planifiés peuvent également être consultés pour personnaliser le contenu de la notification. Il s'agit d'une communication récurrente initiée par le système, envoyée à tous les utilisateurs éligibles sans opt-in individuel. Vous pouvez cesser de la recevoir en désactivant les notifications push d'Oday dans les paramètres de notification de votre appareil.

Suggestions de Tâches Basées sur l'Énergie (Traitement Automatisé)

Lorsque vous effectuez un bilan d'énergie, l'application utilise un moteur de suggestions automatisé pour générer des recommandations de productivité personnalisées. Ce moteur traite les données suivantes en combinaison : (1) votre niveau d'énergie autodéclaré, (2) les titres de vos tâches — analysés via une classification automatique par mots-clés pour déterminer la complexité cognitive (par exemple, l'identification des tâches à haute charge cognitive telles que les rapports, présentations ou travaux d'architecture, et des tâches à faible charge cognitive telles que les appels ou réponses), (3) votre planning de tâches incluant les tâches en retard et les tâches à venir dans une fenêtre de 30 jours, (4) les titres des objectifs liés à vos tâches, et (5) votre fuseau horaire pour calculer des suggestions relatives aux dates. Sur la base de cette analyse croisée, le moteur peut suggérer de reprogrammer les tâches à haute charge cognitive hors de votre journée lorsque votre énergie est faible, ou d'avancer des tâches en retard ou à venir lorsque votre énergie est élevée. Il s'agit d'une fonctionnalité d'aide automatisée à la décision — aucune suggestion n'est appliquée sans votre action explicite. Le contenu des titres de tâches fait l'objet d'une analyse textuelle automatisée (pas uniquement de stockage) dans le cadre de cette fonctionnalité.

Partage des Données

Nous ne vendons, ne louons, ni n'échangeons JAMAIS vos données personnelles avec des tiers à des fins commerciales.

Nous partageons vos données uniquement avec nos prestataires techniques :

• Supabase : Hébergement base de données et authentification (UE)
• OpenRouter : Passerelle d'inférence IA acheminant les requêtes vers les fournisseurs d'IA (USA)
• Groq, Inc. : Fournisseur d'inférence IA pouvant traiter directement le contenu de vos tâches, vos données de planification et vos textes en langage naturel (USA). Voir la politique de confidentialité de Groq : https://groq.com/privacy-policy/
• Google (Gemini IA via OpenRouter) : Modèle d'IA utilisé pour traiter vos éléments de travail (tâches et événements) pour les demandes de recherche et de récupération. Les données sont acheminées via OpenRouter (USA). Voir la politique de confidentialité de Google : https://policies.google.com/privacy
• RevenueCat : Gestion des abonnements et paiements (USA)
• PostHog : Analyse d'usage (UE)
• Sentry : Suivi d'erreurs et retours de satisfaction — lors de la soumission d'un retour, votre nom, email et message sont envoyés à Sentry (Allemagne/USA)
• Expo : Notifications push (USA)
• Inngest : Tâches en arrière-plan (USA)
• TikTok for Business : Attribution publicitaire et mesure de campagnes (USA/Singapour)
• Crisp (crisp.chat) : Chat d'assistance client intégré à l'application — votre identifiant utilisateur et votre adresse email sont transmis aux serveurs de Crisp lors de la connexion pour identifier votre session d'assistance. Les notifications push pour les réponses d'assistance sont gérées par le SDK Crisp. Voir la politique de confidentialité de Crisp : https://crisp.chat/en/privacy/

Transferts Internationaux

Certains de nos sous-traitants sont situés en dehors de l'Union Européenne. Nous assurons la protection de vos données par :

• Clauses Contractuelles Types (CCT) de la Commission Européenne
• Chiffrement de toutes les données en transit (TLS/HTTPS)

Sécurité

• Communications chiffrées (TLS 1.2+)
• Row Level Security : Vous ne pouvez accéder qu'à vos propres données
• Authentification par tokens JWT signés
• Surveillance continue et plan de réponse aux incidents

Vos Droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : Obtenir une copie de vos données
• Droit de rectification : Corriger des données inexactes
• Droit à l'effacement : Supprimer vos données ("droit à l'oubli")
• Droit à la limitation : Suspendre temporairement le traitement
• Droit à la portabilité : Recevoir vos données dans un format structuré (JSON)
• Droit d'opposition : Vous opposer au traitement
• Droit de retirer votre consentement à tout moment

Pour exercer vos droits, contactez-nous à contact@oday.app. Nous répondrons sous 1 mois.

Vous pouvez également déposer une réclamation auprès de la CNIL (www.cnil.fr).

Conservation des Données

• Compte actif : Données conservées tant que votre compte est actif
• Après suppression : Toutes vos données sont supprimées immédiatement et définitivement
• Logs techniques : 30 à 90 jours selon le type ; les retours de satisfaction soumis à Sentry sont conservés jusqu'à 90 jours conformément à la politique de conservation des données de Sentry
• Bilans d'énergie : Conservés pendant toute la durée de votre compte et supprimés immédiatement et définitivement lors de la suppression de votre compte
• Enregistrements des bilans hebdomadaires complétés : Conservés pendant toute la durée de votre compte et supprimés définitivement lors de la suppression de votre compte (suppression en cascade automatique)
• Inactivité : Après 24 mois sans connexion, nous vous contacterons avant suppression éventuelle

Suppression de Compte

Vous pouvez supprimer votre compte à tout moment dans Paramètres > Compte > Supprimer mon compte. Cette action est immédiate, définitive et irréversible. Toutes vos données seront supprimées, y compris vos tâches, événements, conversations IA, bilans d'énergie et l'ensemble des données personnelles associées.

Cookies et Technologies de Suivi

L'application mobile n'utilise pas de cookies HTTP. Nous utilisons un stockage local sécurisé pour votre session et préférences. Les données de suivi des retours de satisfaction (nombre d'ouvertures de l'application, date de la dernière invite et statut de réponse) sont également stockées dans le stockage local sécurisé de votre appareil et ne sont jamais envoyées à nos serveurs. La fonctionnalité de bilan hebdomadaire stocke un indicateur (weekly_review_triage_tooltip_shown) dans l'AsyncStorage de l'appareil pour mémoriser si vous avez déjà vu l'info-bulle de première utilisation de la fonctionnalité de triage ; cet indicateur ne quitte jamais votre appareil. Sur iOS, le widget d'écran d'accueil stocke un instantané de vos titres de tâches, titres d'événements, dates d'échéance, étiquettes, statut de complétion et heures de début/fin des événements dans le stockage partagé App Group sur l'appareil (accessible à la fois à l'application et à l'extension widget). Ces données du widget restent entièrement sur votre appareil et ne sont jamais transmises à nos serveurs.

Nous utilisons le SDK TikTok Business pour l'attribution publicitaire. Sur iOS, ce SDK demande votre consentement via la fenêtre App Tracking Transparency (ATT) avant d'accéder à votre identifiant publicitaire (IDFA). Vous pouvez refuser cette demande et l'application continuera à fonctionner normalement. Vous pouvez également révoquer cette autorisation à tout moment dans les Réglages de votre appareil > Confidentialité > Suivi.

Modifications

Nous pouvons modifier cette politique pour refléter des changements dans nos pratiques ou la réglementation. Les modifications substantielles vous seront notifiées par email ou notification in-app. Elles entrent en vigueur 30 jours après publication.

Contact

Pour toute question concernant cette Politique de Confidentialité ou vos données, contactez-nous à contact@oday.app.

Autorité de contrôle
CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr