Politique de confidentialité

Dernière mise à jour : avril 2026 — Version 1.0

1. Responsable du traitement

Janazah Connect est responsable du traitement de vos données personnelles au sens du Règlement Général sur la Protection des Données (RGPD).

Pour toute question relative à vos données ou pour exercer vos droits, contactez-nous à : contact@janazahconnect.com

2. Données collectées

Nous collectons les données suivantes :

  • Données d'inscription : nom, prénom, email, téléphone, mot de passe (haché avec bcrypt — jamais stocké en clair). Si connexion via Google OAuth : email et photo de profil Google.
  • Données de profil acteur professionnel: nom de l'organisme, ville/département/région d'intervention, SIRET, description, documents justificatifs (Kbis, attestations d'assurance, habilitations préfectorales pour les pompes funèbres).
  • Données spécifiques aux laveurs : réponses au questionnaire de connaissance des rites du Ghusl (à des fins de validation interne uniquement, jamais affichées au laveur ni à des tiers).
  • Données funéraires: identité du défunt (nom, civilité), date et lieu de la prestation, ville. Les certificats de décès, lorsque requis, sont collectés uniquement lors de la confirmation d'une prestation.
  • Données de messagerie : contenu des conversations entre familles et professionnels, ainsi que les avis laissés après prestation.
  • Données de géolocalisation: ville (et optionnellement département/région) de votre zone d'intérêt pour les notifications — pas de géolocalisation GPS précise.
  • Données techniques: adresse IP, type de navigateur, système d'exploitation, identifiants de session, tokens de notifications push (si activées).

Nous ne collectons jamais vos coordonnées bancaires : elles sont gérées exclusivement par Stripe pour les abonnements professionnels, conformément aux normes PCI-DSS.

3. Finalités du traitement

  • Gestion des comptes utilisateurs (fidèles, professionnels, aumôniers, modérateurs)
  • Envoi de notifications push pour les prières Janazah dans votre zone
  • Mise en relation entre familles et professionnels funéraires
  • Validation des professionnels et examen des questionnaires Ghusl par notre équipe
  • Facturation des abonnements professionnels (via Stripe)
  • Tenue de la comptabilité (obligation légale)
  • Modération des conversations et résolution des litiges
  • Amélioration continue de la plateforme (statistiques anonymisées)

4. Base légale

  • Exécution du contrat : compte, mise en relation, messagerie, fonctionnalités essentielles.
  • Consentement explicite: notifications push, cookies analytiques, configuration de votre zone d'intérêt.
  • Obligation légale : conservation des justificatifs professionnels (3 ans), facturation et comptabilité (10 ans).
  • Intérêt légitime : conservation des conversations (preuve en cas de litige), statistiques anonymisées, sécurité de la plateforme.

5. Durées de conservation

  • Compte utilisateur : durée du compte + 1 an après suppression
  • Conversations dans la messagerie : 1 an après la fin de la prestation, puis suppression automatique
  • Identité du défunt et données funéraires : 1 an après la prestation, puis pseudonymisation
  • Justificatifs professionnels : 3 ans après la fin du contrat
  • Données de facturation : 10 ans (obligation Code de commerce)
  • Logs techniques : 12 mois maximum
  • Statistiques anonymisées : sans limite (les données ne permettent plus de vous identifier)

Les données relatives aux défunts (identité, certificats de décès) sont considérées comme particulièrement sensibles. Elles sont chiffrées en transit (HTTPS) et au repos, et leur accès est restreint aux seules personnes habilitées (administration, modération, parties prenantes à la prestation).

6. Sous-traitants

Nous faisons appel à des prestataires techniques pour faire fonctionner le service. Tous sont conformes au RGPD ou liés par des clauses contractuelles types de la Commission européenne.

  • Vercel Inc. (États-Unis) — hébergement de l'application web et stockage des documents uploadés
  • Supabase (Union européenne, région Francfort) — base de données PostgreSQL
  • Google LLC — connexion via Google OAuth (optionnel)
  • Resend Inc. (États-Unis) — envoi des emails transactionnels
  • Pusher Ltd. (Royaume-Uni) — notifications temps réel dans la messagerie
  • Firebase Cloud Messaging (Google) — notifications push mobiles et navigateur
  • Stripe Inc. (États-Unis, certifié PCI-DSS) — paiements des abonnements professionnels

Nous ne vendons aucune donnée personnelle à des annonceurs ni à des tiers commerciaux. Aucune donnée n'est partagée à des fins publicitaires.

7. Transferts hors Union européenne

Certains sous-traitants (Vercel, Resend, Stripe, Google, Pusher) sont établis hors UE. Ces transferts sont encadrés par :

  • Le Data Privacy Framework UE-États-Unis pour les prestataires américains certifiés
  • Les clauses contractuelles types de la Commission européenne pour les autres

Notre base de données principale est hébergée dans l'Union européenne (Supabase, région Francfort, Allemagne).

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données
  • Droit de rectification : corriger vos données erronées
  • Droit à l'effacement (droit à l'oubli) : supprimer votre compte et vos données dans la mesure permise par la loi
  • Droit d'opposition : vous opposer à certains traitements (notamment les notifications)
  • Droit à la limitation : restreindre temporairement le traitement de vos données
  • Droit à la portabilité : récupérer vos données dans un format structuré
  • Droit de retirer votre consentement à tout moment pour les traitements basés sur le consentement

Pour exercer ces droits, contactez-nous à contact@janazahconnect.com. Nous répondons sous 30 jours maximum. Vous pouvez également introduire une réclamation auprès de la CNIL.

9. Cookies et traceurs

  • Cookies strictement nécessaires: session d'authentification, préférences locales (zone, thème), protection anti-CSRF — pas de consentement requis.
  • Cookies analytiques: amélioration de la plateforme (mesure d'audience anonymisée) — soumis à votre consentement via la bannière cookies.

Vous pouvez configurer vos préférences via la bannière cookies à votre première visite, ou en supprimant les cookies depuis les paramètres de votre navigateur.

10. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement HTTPS/TLS pour toutes les communications
  • Mots de passe stockés sous forme hachée (bcrypt)
  • Base de données accessible uniquement via API authentifiée
  • Accès aux données limité aux personnes strictement habilitées
  • Sauvegardes régulières chiffrées (Supabase)
  • Mise à jour régulière des dépendances de sécurité

En cas de violation de données affectant gravement vos droits, nous nous engageons à vous notifier sous 72 heuresconformément à l'article 34 du RGPD.

11. Mineurs

L'accès au service est réservé aux personnes majeures. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 15 ans. Si vous pensez qu'un mineur nous a transmis ses données, contactez-nous pour suppression immédiate.

12. Modifications de cette politique

Cette politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. Toute modification importante sera notifiée par email et/ou bannière sur le site avant entrée en vigueur.