Politique de confidentialité.

Dernière mise à jour : 22 avril 2026

Sommaire

Qui sommes-nous
Données collectées
Finalités du traitement
Base légale
Destinataires et sous-traitants
Durée de conservation
Tes droits (RGPD)
Sécurité
Cookies et traceurs
Transferts hors UE
Modifications
Contact

1. Qui sommes-nous

Merit (ci-après « l'application » ou « le Service ») est une application mobile et web de discipline personnelle. Le présent document décrit comment nous collectons, utilisons et protégeons tes données personnelles lorsque tu utilises Merit.

Responsable du traitement : Mathis Fleury, entrepreneur individuel, 66 rue de Verdun, 76160 Darnétal, France — SIRET 932 261 266 00013. Contact : m.fleury942@gmail.com. Les coordonnées complètes figurent dans les mentions légales.

2. Données collectées

Merit collecte uniquement les données strictement nécessaires à son fonctionnement.

2.1 Données que tu nous fournis

Adresse e-mail — requise pour la connexion par lien magique / code à 6 chiffres.
Prénom ou nom d'usage — utilisé pour personnaliser l'interface.
Contenu que tu crées dans l'app — objectifs, tâches, KPI, récompenses, intentions. Ce contenu t'appartient ; il n'est jamais utilisé à des fins publicitaires ni revendu.
Choix d'onboarding — presets d'objectifs et de récompenses que tu sélectionnes au premier lancement.
Préférence de langue — français ou anglais.

2.2 Données générées par l'usage

Identifiant utilisateur interne — attribué automatiquement à la création du compte.
Données de progression — XP, récompenses, streaks, équilibre de vie hebdomadaire.
Jetons d'authentification (JWT) — stockés sur ton appareil (Keychain iOS / Keystore Android / localStorage sur le web).
Jetons d'appareil push — uniquement si tu acceptes les notifications.

2.3 Données de paiement (si abonnement)

Les paiements sont traités par Stripe (web), Apple (iOS) ou Google (Android). Nous ne conservons jamais ton numéro de carte bancaire. Nous ne stockons que l'identifiant d'abonnement et son statut.

3. Finalités du traitement

Permettre l'inscription, l'authentification et l'accès à ton compte.
Fournir les fonctionnalités de l'application (tâches, objectifs, récompenses, etc.).
Envoyer les e-mails strictement transactionnels (code de connexion, confirmation d'abonnement).
Gérer les abonnements payants et facturation via les plateformes tierces.
Assurer la sécurité du service (détection d'abus, limite de requêtes).
Améliorer l'application (analyses agrégées et anonymisées).

Aucune donnée n'est utilisée à des fins publicitaires, de ciblage comportemental ou de revente à des tiers.

4. Base légale

Exécution du contrat — pour tout ce qui permet le bon fonctionnement du Service auquel tu as souscrit.
Intérêt légitime — sécurité, prévention de la fraude, amélioration non intrusive.
Consentement — uniquement pour les notifications push, que tu peux révoquer à tout moment depuis les réglages de ton appareil.
Obligation légale — conservation des factures liées aux abonnements payants.

5. Destinataires et sous-traitants

Tes données ne sont partagées avec aucun tiers à des fins commerciales. Nous faisons appel aux sous-traitants techniques suivants, encadrés contractuellement :

Brevo (ex-Sendinblue) — envoi d'e-mails transactionnels (code de connexion). Serveurs en Union européenne.
Stripe — traitement des paiements (abonnement web). Conforme PCI-DSS.
Apple App Store / Google Play — gestion des abonnements in-app mobiles.
o2switch SAS — hébergeur de l'application et de la base de données, 222-224 Boulevard Gustave Flaubert, 63000 Clermont-Ferrand, France. Serveurs situés en France (Union européenne).

6. Durée de conservation

Compte actif — tes données sont conservées tant que ton compte existe.
Suppression de compte — sur demande, tes données sont supprimées définitivement sous 30 jours.
Inactivité prolongée — un compte non utilisé pendant 36 mois est signalé par e-mail, puis supprimé si aucune action n'est prise.
Facturation — les factures d'abonnement sont conservées 10 ans (obligation légale).
Logs techniques — maximum 12 mois.

7. Tes droits (RGPD)

Conformément au Règlement général sur la protection des données, tu disposes des droits suivants :

Accès — obtenir une copie de tes données.
Rectification — corriger des données inexactes.
Effacement — demander la suppression de ton compte et de tes données.
Limitation — demander la suspension temporaire d'un traitement.
Portabilité — recevoir tes données dans un format structuré et lisible par machine.
Opposition — t'opposer à un traitement fondé sur l'intérêt légitime.
Retrait du consentement — à tout moment, sans remettre en cause les traitements déjà effectués.

Pour exercer ces droits, écris à m.fleury942@gmail.com. Tu peux également déposer une réclamation auprès de la CNIL (cnil.fr) si tu estimes que tes droits ne sont pas respectés.

8. Sécurité

La sécurité de tes données est une priorité. Les mesures techniques et organisationnelles suivantes sont mises en œuvre :

Communications chiffrées en TLS (HTTPS) entre l'app et nos serveurs.
Mots de passe inexistants : Merit utilise une authentification sans mot de passe (code à 6 chiffres envoyé par e-mail, valable 15 minutes).
Jetons de session JWT à durée limitée, stockés dans un stockage sécurisé natif (Keychain iOS, Keystore Android, stockage chiffré navigateur).
Base de données avec accès restreint, sauvegardes régulières et chiffrées.
Limitation stricte des personnes ayant accès aux données et journalisation des accès administratifs.
Audit régulier des dépendances logicielles pour identifier les vulnérabilités connues.

Limites et exonération de responsabilité

L'éditeur est tenu à une obligation de moyens et non de résultat s'agissant de la sécurité. Aucune plateforme connectée à internet ne peut garantir une sécurité absolue. En conséquence, et dans toute la mesure permise par le droit applicable (notamment le RGPD, dont l'article 82 ne peut être contractuellement écarté), la responsabilité de l'éditeur ne saurait être engagée :

en cas de cyberattaque sophistiquée (vulnérabilité zero-day, attaque ciblée, compromission d'un sous-traitant, ingénierie sociale) que les mesures de sécurité de l'état de l'art n'auraient raisonnablement pas pu prévenir ;
en cas de faille ou de compromission chez un sous-traitant technique (Brevo, Stripe, Apple, Google, o2switch) dont l'éditeur aurait sélectionné le service de bonne foi et avec diligence ;
en cas de compromission de la boîte e-mail de l'utilisateur, seul moyen d'authentification au Service, dont la protection relève exclusivement de sa responsabilité ;
en cas de perte, fuite ou altération de données résultant d'un cas de force majeure au sens de l'article 1218 du Code civil ;
en cas d'usage du Service depuis un appareil ou un réseau compromis par l'utilisateur (logiciel malveillant, réseau Wi-Fi non sécurisé, partage d'identifiants) ;
pour les dommages indirects : perte d'exploitation, perte de clientèle, perte de chance, trouble commercial, atteinte à la réputation ou tout préjudice ne présentant pas de lien de causalité direct et certain avec un manquement avéré de l'éditeur.

En toute hypothèse, et sauf faute lourde ou dol, la responsabilité totale et cumulée de l'éditeur au titre du présent traitement, toutes causes confondues, est limitée au montant des sommes effectivement payées par l'utilisateur au titre de son abonnement au Service au cours des douze (12) mois précédant le fait générateur. Pour les utilisateurs non-abonnés, aucune indemnité ne sera due au-delà du préjudice directement imputable à une faute prouvée de l'éditeur.

Obligations de l'utilisateur

L'utilisateur s'engage à :

sécuriser l'accès à sa boîte e-mail et ne jamais la partager ;
ne pas communiquer les codes d'authentification à 6 chiffres à des tiers ;
utiliser le Service depuis un appareil dont il maîtrise la sécurité ;
signaler immédiatement à l'éditeur (m.fleury942@gmail.com) toute utilisation non autorisée de son compte ou toute suspicion de compromission.

Notification en cas de violation

Conformément à l'article 33 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'éditeur notifiera la CNIL dans les meilleurs délais et, dans la mesure du possible, au plus tard 72 heures après en avoir pris connaissance. Si la violation est susceptible d'engendrer un risque élevé, les utilisateurs concernés seront informés dans les meilleurs délais, conformément à l'article 34 du RGPD. Cette notification ne saurait valoir reconnaissance de responsabilité.

9. Cookies et traceurs

L'application mobile n'utilise aucun cookie ni traceur publicitaire. Le site web (ce site) utilise uniquement des cookies techniques strictement nécessaires à son fonctionnement (préférence de langue, session). Aucun cookie de mesure d'audience tiers n'est déposé sans ton consentement explicite.

10. Transferts hors UE

Certains sous-traitants (Stripe, Apple, Google) ont leur siège aux États-Unis. Les transferts de données vers ces pays sont encadrés par les clauses contractuelles types de la Commission européenne ou par le Data Privacy Framework, lorsque l'entreprise concernée y est adhérente.

11. Modifications

Nous pouvons mettre à jour cette politique pour refléter une évolution légale ou fonctionnelle. La date de dernière mise à jour est indiquée en haut du document. En cas de modification substantielle, tu seras informé·e par e-mail ou notification in-app.

12. Contact

Pour toute question relative à la protection de tes données :
m.fleury942@gmail.com