Données personnelles

Politique de confidentialité

Dernière mise à jour : 11/05/2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur bento-pop.com est :

2. Données collectées

2.1 Site web bento-pop.com

  • Vote hebdomadaire : un identifiant anonyme aléatoire (UUID) stocké dans un cookie technique bp_anon_id (durée 1 an, httpOnly), pour empêcher qu'un même navigateur vote plusieurs fois sur la même semaine. Aucune donnée personnelle (nom, email, IP) n'est associée à ce vote.
  • Cookies techniques d'authentification (uniquement sur le backoffice admin.bento-pop.com) : pour maintenir la session des administrateurs connectés.
  • Logs serveur : adresse IP, user-agent et URL consultée, conservés temporairement par OVH à des fins de sécurité et de diagnostic technique.

2.2 Application mobile « Mon Bento Pop »

L'application iOS / Android collecte les données suivantes :

  • Identifiant anonyme : un UUID généré automatiquement au premier lancement, persisté dans le stockage sécurisé de l'appareil. Sert de clé pour relier l'utilisateur à son bento. Aucune information personnelle (nom réel, email, téléphone) n'y est associée.
  • Pseudonyme : choisi par l'utilisateur à l'onboarding (3 à 20 caractères alphanumériques). Visible publiquement sur le bento partagé.
  • Nom d'affichage (facultatif) : si renseigné par l'utilisateur.
  • Composition du bento : les films, séries, artistes, chansons, créateurs et lieux que l'utilisateur a choisis dans son bento, ainsi que la date de publication. Visible publiquement.
  • Signalements (table reports) : si l'utilisateur signale un bento ou un pseudo, le motif éventuel est conservé pour la modération. Le signalement est lié à l'identifiant anonyme du signaleur (jamais visible publiquement).
  • Logs Supabase : adresses IP et user-agent des requêtes API, conservés ~7 jours par Supabase à des fins de sécurité et diagnostic.

L'application ne collecte ni email, ni téléphone, ni adresse réelle, ni identifiant publicitaire (IDFA / GAID).Aucun SDK de tracking tiers (Google Analytics, Meta SDK, Firebase Analytics…) n'est intégré.

2.3 Sources de données externes

Lorsque l'utilisateur recherche un film, une série, un artiste, un lieu ou un créateur de contenu, l'app interroge en temps réel les APIs publiques de :

  • The Movie Database (TMDb) pour les films et séries
  • MusicBrainz pour les artistes et chansons
  • OpenStreetMap (Nominatim) pour les lieux de voyage
  • Wikidata pour les créateurs de contenu

Ces APIs reçoivent uniquement le terme recherché et l'adresse IP publique de l'utilisateur (logs standards), conformément à leurs propres politiques.

3. Finalités & bases légales

  • Cookie anonyme de vote : empêcher la fraude au vote (intérêt légitime).
  • Cookies de session admin : exécution du contrat de mise à disposition du backoffice (intérêt légitime).
  • Identifiant anonyme app : authentification technique permettant la persistance du bento (intérêt légitime).
  • Pseudonyme + composition de bento : exécution du service de partage culturel (consentement, recueilli à l'onboarding et révocable à tout moment via la suppression de compte).
  • Signalements : modération des contenus utilisateurs (intérêt légitime — obligation Apple App Store guideline 1.2).
  • Logs serveur : sécurité et diagnostic (intérêt légitime).

4. Durée de conservation

  • Cookie bp_anon_id : 1 an (puis renouvellement).
  • Votes anonymes en base : durée de la saison en cours, puis anonymisés à la clôture de la semaine concernée.
  • Données utilisateur app mobile (pseudo, bento, composition) : conservées tant que l'utilisateur n'a pas supprimé son compte depuis l'app. Suppression définitive immédiate (cascade sur l'ensemble des données liées) sur demande via le bouton « Supprimer mon compte » de la tab Profil.
  • Signalements : 1 an après traitement par l'équipe modération, puis anonymisation dureporter_id.
  • Logs serveur : 30 jours.
  • Logs Supabase API : 7 jours.

5. Destinataires des données

Les données techniques sont uniquement traitées par :

  • OVH SAS (Roubaix, France) — hébergement front-end, traitement intégralement réalisé en Union européenne.
  • Supabase Inc. (Singapour, instance UE) — bases de données PostgreSQL (deux projets distincts : un pour la landing / BO, un dédié à l'app mobile).
  • Apple Inc. et Google LLC — pour les utilisateurs ayant téléchargé l'app via App Store ou Play Store, ces plateformes reçoivent les données techniques liées à l'installation (identifiants techniques de leurs propres services, gérés selon leurs CGU respectives).

Aucune donnée n'est transmise à des tiers à des fins commerciales ou publicitaires. Aucun SDK de tracking ni régie publicitaire n'est intégré dans l'app ou le site.

6. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • droit d'accès à vos données ;
  • droit de rectification ;
  • droit à l'effacement (« droit à l'oubli ») ;
  • droit à la limitation du traitement ;
  • droit d'opposition ;
  • droit à la portabilité.

Pour les utilisateurs de l'app mobile : le droit à l'effacement est directement accessible depuis la tab Profil → « Supprimer mon compte ». La suppression est immédiate et définitive (cascade automatique sur toutes les données liées : pseudo, bento, composition).

Pour exercer les autres droits, contactez-nous à contact@bento-pop.com. Une réponse vous sera apportée dans un délai maximal d'un mois.

Vous pouvez également introduire une réclamation auprès de la CNIL — cnil.fr.

7. Cookies tiers (lecteurs YouTube, Spotify, TikTok)

La page d'accueil intègre des lecteurs YouTube, Spotify et TikTok. Ces lecteurs déposent leurs propres cookies (préférences de lecture, mesure d'audience YouTube/Spotify/TikTok). Pour le lecteur YouTube, nous utilisons le domaine youtube-nocookie.com qui ne dépose pas de cookie tant que la vidéo n'est pas lancée.

Vous pouvez gérer ces cookies tiers via les paramètres de votre navigateur, ou refuser le chargement de ces lecteurs en activant un bloqueur (par ex. uBlock Origin).