← Retour à DayDo

Politique de Confidentialité

1. Présentation

DayDo est une application mobile de défis quotidiens créatifs permettant aux utilisateurs de partager des photos, vidéos et enregistrements audio, d'interagir avec une communauté, et de participer à un classement mensuel.

L'Application est éditée par DayDo, joignable à l'adresse : contact@daydo.app

La présente politique vous informe sur la manière dont nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

2. Données collectées

2.1 Données de compte

• Adresse e-mail
• Nom d'utilisateur (pseudonyme)
• Mot de passe (stocké sous forme chiffrée via bcrypt, jamais en clair)
• Date d'inscription
• Photo de profil ou avatar (optionnel)

2.2 Données de participation

• Photos prises via l'appareil photo
• Vidéos filmées via l'appareil photo (45 secondes maximum)
• Enregistrements audio via le microphone (60 secondes maximum)
• Légendes et commentaires textuels
• Date et heure de vos participations
• Score, points et niveau accumulés

2.3 Données d'interaction

• Likes, commentaires et votes de créativité
• Streak (série de jours consécutifs)
• Duels (défis 1v1 acceptés, refusés, résultats)
• Messages privés échangés
• Posts enregistrés et signalements
• Vœux soumis via la Wishlist
• Abonnements (follows) et blocages

2.4 Données techniques

• Type d'appareil et système d'exploitation
• Identifiant de session (pour la gestion session unique)
• Token de notification push (Expo Push)
• Logs de connexion
• Région géographique approximative (pays + région administrative, jamais la ville ni l'adresse précise) déduite de l'adresse IP au moment de la publication d'un contenu, sans stockage de l'IP brute

3. Finalités du traitement

Vos données sont collectées et traitées pour :

• Création et gestion de votre compte utilisateur
• Permettre votre participation aux défis quotidiens et bonus
• Afficher votre contenu dans le fil d'actualité
• Calculer et afficher votre score, niveau et classement
• Gérer le système de duels entre utilisateurs
• Vous envoyer des notifications (si vous y avez consenti)
• Modérer automatiquement le contenu publié (détection de contenus inappropriés)
• Assurer la sécurité et prévenir les abus (détection multi-comptes, triche)
• Améliorer l'Application
• Alimenter, sous une forme strictement anonymisée et agrégée en masse, un observatoire des tendances visuelles dont les rapports peuvent être commercialisés à des marques, instituts d'études ou organismes de recherche, sans jamais transmettre de donnée individuelle (voir section 7 bis)

4. Modération automatique du contenu

5. Base légale du traitement

• Exécution du contrat : traitement nécessaire à la fourniture du service DayDo
• Consentement : pour l'envoi de notifications push et la modération du contenu
• Intérêt légitime : pour la sécurité, la prévention des abus et l'amélioration du service

6. Hébergement principal — souverain français

Clever Cloud héberge :

• La base de données PostgreSQL principale (profils, publications, interactions, classement, points, duels, messages privés, signalements, données de jeu)
• Le serveur applicatif daydo-backend (API métier, validations, transcodage vidéo en HLS adaptatif via FFmpeg, génération de miniatures)
• Le stockage des fichiers médias publiés (photos, vidéos, audios) sur Cellar, service de stockage S3 souverain de Clever Cloud, hébergé en France

L'authentification (inscription, connexion, sessions, mots de passe chiffrés) est, elle, gérée par un service distinct (Supabase, Irlande UE — voir section 7). Aucun contenu utilisateur n'est stocké chez l'opérateur d'authentification.

7. Sous-traitants et transferts des données

Pour fournir le service DayDo, nous faisons appel aux sous-traitants qualifiés listés ci-dessous, chacun dans le cadre strict de sa mission. Tous ont signé un accord de traitement des données (DPA) conforme au RGPD. L'ordre ci-dessous reflète la criticité décroissante du traitement des données utilisateurs.

7.1 Hébergement principal — souverain UE

• Clever Cloud (Paris & Nantes, France 🇫🇷) — Hébergement principal souverain. Stocke et traite la base de données PostgreSQL, le serveur applicatif (API), le stockage Cellar (fichiers médias des publications), le transcodage vidéo (FFmpeg). Droit français et européen exclusivement, aucun transfert hors UE.
• Supabase (Dublin, Irlande 🇮🇪 — UE) — Uniquement service d'authentification : gestion des inscriptions, des connexions, des sessions, des mots de passe chiffrés (bcrypt) et des tokens JWT. Aucune donnée applicative (publication, message, interaction, classement) n'est stockée chez Supabase. Droit européen directement applicable.

7.2 Outils de support — UE et hors UE

• Cloudflare (Europe + États-Unis) — Strictement limité à :
  • Serveur DNS du domaine daydo.app
  • Hébergement statique du site web vitrine daydo.app (Cloudflare Pages, fichiers HTML/CSS/JS publics, sans donnée utilisateur)
  • Protection anti-bot au formulaire d'inscription (Cloudflare Turnstile, alternative au reCAPTCHA, valide un token de non-robot sans collecte de donnée personnelle)
  Aucun fichier média (photo, vidéo, audio), aucune donnée utilisateur applicative, aucun contenu de publication ne transite ni n'est stocké sur Cloudflare. Le service de streaming vidéo Cloudflare Stream, précédemment utilisé, a été retiré au profit de l'infrastructure souveraine Clever Cloud (Cellar + FFmpeg). Transfert hors UE encadré par les clauses contractuelles types de la Commission européenne et le DPA Cloudflare.
• SightEngine (Paris, France 🇫🇷 — siège ; Europe + États-Unis pour l'infrastructure technique) — Modération automatique des photos et vidéos publiées (détection de nudité, violence, armes, etc.). Les médias sont analysés avec le paramètre do_not_store=1 qui force la suppression immédiate après analyse chez le prestataire. Aucune image ni vidéo n'est conservée côté SightEngine.
• PostHog (Francfort, Allemagne 🇩🇪 — UE) — Analyse d'usage de l'application (retention, parcours utilisateur, détection de bugs produit) avec identifiants pseudonymisés (UUID anonyme, jamais de pseudo ni d'e-mail). Droit européen directement applicable. Aucune donnée publicitaire collectée, aucun partage avec des tiers.
• Brevo (ex-Sendinblue) (Paris, France 🇫🇷 — UE) — Envoi des emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications importantes). Droit français et européen directement applicable.
• DB-IP (Bruxelles, Belgique 🇧🇪 — UE, prévu) — Base de données géographique IP (région/pays uniquement) utilisée localement sur les serveurs Clever Cloud pour déduire la région approximative depuis l'adresse IP. Aucune adresse IP n'est transmise à DB-IP : la base de données est téléchargée et interrogée localement. Droit européen directement applicable.
• Sentry (San Francisco, États-Unis 🇺🇸) — Détection et analyse des erreurs techniques dans l'application (stack traces, contexte technique). Aucun contenu utilisateur n'est volontairement transmis. Transfert encadré par les clauses contractuelles types.
• Expo (EAS Push) (Palo Alto, États-Unis 🇺🇸) — Envoi des notifications push iOS et Android. Le contenu de la notification (titre, corps) transite par Expo et Apple/Google. Transfert encadré par les clauses contractuelles types.
• Apple App Store & Google Play Store (États-Unis 🇺🇸) — Distribution de l'application mobile. Transfert encadré par les clauses contractuelles types.

7 bis. Observatoire des tendances visuelles — études anonymisées et agrégées

De quoi s'agit-il ?

DayDo développe un observatoire des tendances qui analyse en masse les publications publiques (photos et vidéos partagées dans les défis quotidiens) afin d'en dégager des indicateurs statistiques globaux : objets visuellement détectés, ambiances, couleurs dominantes, marques reconnues, saisonnalité, évolution dans le temps.

Ces indicateurs sont comptabilisés à l'échelle de la communauté entière (plusieurs centaines à plusieurs milliers de publications par cellule statistique), jamais à l'échelle d'un utilisateur précis. Ils peuvent ensuite être commercialisés sous forme d'études de marché et de rapports de tendances auprès :

• de marques (pour mesurer leur présence visuelle dans les usages)
• d'instituts de sondage et agences d'études
• d'organismes de recherche (universités, laboratoires)
• de médias et observatoires culturels

Ce modèle est ce qui permet à DayDo de rester gratuit, sans publicité, sans tracking comportemental, et sans revente de donnée personnelle individuelle.

Exemples de ce qui peut figurer dans un rapport

• « Sur le mois de juin 2026, les boissons sucrées sont apparues dans 12 % des publications, en hausse de 4 points par rapport à mai. »
• « 43 % des participants au défi du week-end ont publié une photo contenant des éléments d'extérieur. »
• « La marque X a été détectée visuellement dans 2 300 publications en France ce trimestre, principalement sur la tranche 18-24 ans. »

Ce qui ne figurera JAMAIS dans un rapport ni ne sera transmis à un tiers

• ❌ Aucune photo, vidéo ou audio en tant que tel (jamais de fichier média transmis)
• ❌ Le nom, le pseudo, l'e-mail, l'avatar ou tout identifiant d'un utilisateur
• ❌ Le contenu d'une publication individuelle attribuée à quelqu'un de précis
• ❌ Le contenu textuel : commentaires, légendes, messages privés
• ❌ Les enregistrements audio et la voix
• ❌ La géolocalisation précise (ville, adresse, IP brute)
• ❌ Le genre, le niveau d'études, la profession, la situation familiale (jamais collectés par DayDo)
• ❌ Les mots de passe, tokens, identifiants d'authentification
• ❌ Tout parcours comportemental individualisé d'un utilisateur précis

Données traitées en masse pour produire les statistiques

• Éléments visuels détectés dans les photos et vidéos publiques par un système d'analyse d'image automatisé (objets, marques, ambiances, couleurs)
• Tranche d'âge de l'utilisateur (déduite de la date de naissance déclarée à l'inscription)
• Région géographique approximative (pays + région administrative, par exemple « Île-de-France » ou « Occitanie » — jamais la ville, jamais l'adresse, jamais l'IP brute)
• Date / mois / saison de la publication
• Volume d'engagement agrégé (nombre total de likes ou commentaires reçus, sans contenu)

Garanties d'anonymisation

• Seuil minimum de regroupement : aucune statistique n'est diffusée pour une cellule contenant moins de 50 utilisateurs distincts. Les cellules trop fines sont fusionnées ou supprimées du rapport.
• Pas de jointure inverse : les rapports diffusés sont structurellement non rattachables à un utilisateur identifié.
• Aucun fichier média original ni copie n'est transmis aux clients de l'observatoire — uniquement des chiffres agrégés.
• Production interne : tous les rapports sont produits en interne par DayDo avant diffusion. Aucun tiers commercial n'a accès aux données brutes ni à la base de données.
• Adresse IP non stockée : seule la région déduite est conservée, l'IP brute est jetée immédiatement après dérivation.

Base légale et droit d'opposition

Base légale : intérêt légitime (article 6.1.f RGPD). Notre intérêt légitime à produire ces études tient au modèle économique qui maintient l'application gratuite, sans publicité et sans revente de donnée individuelle. Cet intérêt est équilibré par :

• L'anonymisation stricte des données traitées
• Le seuil minimum de regroupement (≥ 50 utilisateurs)
• L'absence totale de transmission de contenu individuel
• Votre droit d'opposition immédiat et sans condition (voir ci-dessous)

Une analyse d'impact sur la vie privée (LIA — Legitimate Interest Assessment) documente cette balance et est tenue à disposition de la CNIL en cas de contrôle.

Droit d'opposition : vous pouvez vous opposer à tout moment et sans avoir à justifier votre demande à l'utilisation de vos publications dans l'observatoire en envoyant un simple e-mail à contact@daydo.app avec pour objet « Opposition observatoire » (ou tout intitulé équivalent). Précisez votre pseudonyme DayDo. Votre demande est traitée immédiatement à réception, au plus tard sous 30 jours, conformément au RGPD.

Dès traitement de votre demande, toute analyse future de vos publications dans le cadre de l'observatoire est immédiatement bloquée. Les rapports déjà produits sur des données agrégées antérieures, qui ne permettent par construction pas votre identification, ne sont pas retraités.

8. Durée de conservation

• Données de compte : pendant toute la durée d'utilisation, puis 3 ans après la dernière connexion
• Publications (photos, vidéos, audios) : jusqu'à la suppression par l'utilisateur ou du compte
• Messages privés : jusqu'à la suppression par l'utilisateur ou du compte
• Logs de connexion : 12 mois
• Logs de modération : 6 mois
• Logs analytics (PostHog) : 12 mois, puis anonymisation
• Logs d'erreurs (Sentry) : 90 jours
• Données de score et classement : pendant toute la durée d'utilisation du compte

9. Contenu visible par les autres utilisateurs

Lorsque vous publiez une participation, ce contenu est visible par les autres utilisateurs dans le fil d'actualité. Votre pseudonyme, avatar, score, streak et niveau sont également visibles.

Votre adresse e-mail n'est jamais rendue publique.

Vous pouvez configurer la visibilité de certaines informations dans les paramètres de confidentialité de l'Application (masquer streak, points, classement, contrôler qui peut commenter).

10. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : demander la suppression de vos données
• Droit à la portabilité : recevoir vos données dans un format structuré
• Droit d'opposition : vous opposer à certains traitements
• Droit à la limitation : limiter le traitement de vos données
• Droit de retirer votre consentement : à tout moment pour les notifications push

Pour exercer ces droits : contact@daydo.app — Réponse sous 30 jours maximum.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

11. Suppression de compte

Vous pouvez supprimer votre compte à tout moment :

• Depuis l'Application : Paramètres → Supprimer mon compte
• Depuis le web : daydo.app/delete-account
• Par email : contact@daydo.app

La suppression entraîne l'effacement définitif et irréversible de toutes vos données (profil, posts, messages, points, interactions).

12. Sécurité des données

• Chiffrement des mots de passe (bcrypt) géré par le service d'authentification
• Connexions chiffrées de bout en bout (HTTPS/TLS sur toutes les communications client ↔ serveur)
• Authentification par JWT (JSON Web Token) signé, à durée de vie limitée
• Vérification systématique de l'identité de l'utilisateur côté serveur applicatif avant toute écriture en base de données (filtrage par user_id dérivé du JWT validé)
• Validation des actions sensibles (transferts de points, duels, achats de bonus) par des procédures stockées en base, avec contrôles anti-abus en bloc atomique
• Gestion de session unique par appareil avec invalidation automatique sur changement
• Hébergement de la base de données et des fichiers utilisateurs en France sur Clever Cloud (souverain UE)
• Sauvegardes automatisées chiffrées de la base de données
• Accès au système de production restreint au seul administrateur de DayDo
• Outils de modération automatique (SightEngine, do_not_store=1) pour bloquer les contenus inappropriés à la publication

13. Mineurs

L'Application DayDo est accessible à partir de 13 ans. Nous n'autorisons jamais l'inscription d'enfants de moins de 13 ans (vérification par date de naissance déclarée à l'inscription, le compte est refusé si l'utilisateur a moins de 13 ans).

13.1 Utilisateurs de 13 à 15 ans inclus — consentement parental requis

Conformément à l'article 8 du RGPD, à la Loi Informatique et Libertés modifiée et à la position de la CNIL fixant l'âge du consentement numérique à 15 ans en France, les mineurs de 13 à 15 ans inclus :

• Peuvent créer un compte sur DayDo, mais doivent obligatoirement fournir l'adresse email de leur représentant légal (parent ou tuteur) au moment de l'inscription. Cette adresse est demandée explicitement dans le formulaire d'inscription et est conservée sur le profil de l'utilisateur mineur.
• S'engagent, en validant l'inscription, à avoir obtenu l'autorisation préalable du représentant légal pour : créer le compte, accepter les CGU et la présente politique de confidentialité, partager des publications publiques, communiquer avec d'autres utilisateurs.
• L'adresse email du représentant légal est utilisée pour : toute communication relative à un gain dans le cadre du concours mensuel, toute demande exercée par le représentant légal sur le compte de son enfant (opposition, suspension, suppression, droit d'accès), tout signalement officiel d'une situation de mise en danger.

13.2 Utilisateurs de 13 à 15 ans

Conformément à l'article 8 du RGPD et à la Loi Informatique et Libertés, les utilisateurs âgés de 13 à 15 ans doivent obtenir l'autorisation préalable de leur représentant légal (parent ou tuteur) pour créer un compte. DayDo se réserve le droit de demander un justificatif d'autorisation parentale à tout moment.

13.3 Utilisateurs de 16 à 17 ans

À partir de 16 ans, l'utilisateur peut créer un compte de manière autonome. Pour les besoins du concours mensuel uniquement, une adresse email du représentant légal pourra être demandée à l'occasion d'un gain pour valider l'attribution d'une dotation à un mineur.

13.4 Protections renforcées pour tous les mineurs (moins de 18 ans)

Tous les utilisateurs identifiés comme mineurs bénéficient automatiquement et sans possibilité de désactivation des protections suivantes :

• Désactivation complète de la messagerie privée avec d'autres utilisateurs (seule l'équipe DayDo peut les contacter)
• Possibilité d'associer le pseudonyme d'un représentant légal présent sur l'application pour un contact direct en cas de besoin
• Modération automatique renforcée des contenus publiés et reçus

Voir la Politique de sécurité des enfants pour le détail.

13.5 Droits des représentants légaux

Si vous êtes parent ou représentant légal et :

• Pensez qu'un enfant de moins de 13 ans nous a fourni des données personnelles : contactez-nous immédiatement à contact@daydo.app, le compte sera supprimé sous 48 heures.
• Souhaitez exercer un contrôle sur le compte de votre enfant mineur (consultation, opposition, suspension, suppression définitive) : contactez-nous à la même adresse en justifiant de votre qualité (lien de filiation ou décision de tutelle). Réponse sous 30 jours.
• Souhaitez retirer votre autorisation à l'utilisation du compte par votre enfant : contactez-nous, nous suspendrons le compte immédiatement et le supprimerons définitivement après 7 jours sauf opposition motivée.

14. Traceurs et analyse d'usage

L'Application mobile n'utilise aucun cookie (les cookies sont un mécanisme web, non applicable aux apps natives). Elle utilise néanmoins un outil d'analyse d'usage pseudonymisé :

• PostHog (UE) : collecte d'identifiants pseudonymisés et d'événements d'usage (ouverture d'écran, durée de session, actions) pour améliorer le produit. Ne collecte aucune donnée publicitaire et ne partage pas avec des tiers.

Base légale : intérêt légitime (article 6.1.f du RGPD) — amélioration du service pour nos utilisateurs, sans profilage commercial ni partage externe.

Droit d'opposition : vous pouvez vous opposer à tout moment à cette collecte en nous contactant à contact@daydo.app. Votre demande sera traitée sous 30 jours.

Le site web daydo.app n'utilise aucun cookie de tracking ni outil d'analyse.

15. Notifications push

L'Application peut vous envoyer des notifications push uniquement si vous y avez expressément consenti. Vous pouvez retirer ce consentement à tout moment dans les paramètres de votre téléphone ou de l'Application. Les catégories de notifications sont configurables individuellement.

16. Modifications de la politique

Nous nous réservons le droit de modifier la présente politique à tout moment. Toute modification substantielle vous sera notifiée via l'Application ou par e-mail. En continuant à utiliser l'Application après publication des modifications, vous acceptez la politique mise à jour.

17. Contact — Délégué à la protection des données

Pour toute question relative à vos données personnelles :

contact@daydo.app

Via l'Application : Paramètres → Aide → Contact