Politique de confidentialité

Dernière mise à jour : 16 mai 2026

Sideline est développée et exploitée par Jorge Reyes en tant que développeur indépendant (« nous »). Cette politique explique ce que nous collectons, pourquoi, et comment t'en débarrasser.

1. Ce que nous collectons

Données de compte

• Adresse e-mail — pour l'identité du compte et la réinitialisation du mot de passe.
• Nom affiché — celui que tu saisis à l'inscription. Visible par les autres dans les pronos que tu partages.
• Mot de passe — jamais stocké en clair chez nous ; géré exclusivement par Supabase Auth, qui en conserve une copie hashée avec bcrypt.

Données d'usage

• Équipes favorites (jusqu'à 3) et équipe choisie comme avatar.
• Pronostics que tu crées ou rejoins, ton rôle (créateur / membre), le nom et le code de 6 lettres.
• Pronostics de score soumis pour les matchs des groupes auxquels tu participes.
• Préférences de notifications (quelles alertes tu as activées).
• Jeton push — identifiant APNs (iOS) ou FCM (Android) utilisé pour livrer les alertes.
• Langue de l'app — la langue de ton appareil, envoyée avec les demandes de résumé IA pour que la réponse arrive dans ta langue.

Ce que nous NE collectons PAS

• Données de localisation.
• Contacts, photos, calendrier ni microphone.
• Historique de navigation hors de l'app.
• Identifiants publicitaires (IDFA / AAID).
• Télémétrie analytique (pas de Mixpanel, Amplitude, Firebase Analytics, etc.).

2. Qui d'autre voit tes données (sous-traitants tiers)

Pour faire tourner l'app, nous envoyons certaines données à ces sous-traitants. Nous ne vendons ni ne louons tes données à qui que ce soit.

• Supabase (Supabase, Inc., États-Unis) — héberge la base Postgres, le service d'authentification et les edge functions. Toutes tes données vivent ici.
• Resend (Resend, Inc., États-Unis) — envoie les e-mails de vérification et de réinitialisation. Ne reçoit que ton adresse e-mail.
• Anthropic (Anthropic PBC, États-Unis) — génère les résumés IA. Reçoit les métadonnées du match (noms d'équipes, forme récente, historique) et la langue de ton appareil. Aucune donnée personnelle de compte n'est envoyée.
• live-score-api.com — calendrier, scores et confrontations directes publiques. Aucune donnée utilisateur n'est envoyée.
• Apple Push Notification Service et Google Firebase Cloud Messaging — livrent les notifications que nous générons. Ils ne voient que le jeton push qu'Apple/Google a émis pour ton appareil.

3. Combien de temps nous gardons tes données

Les données de compte sont conservées tant que ton compte existe. Pronostics, appartenance aux groupes et événements de match persistent avec la ligne du compte. Les jetons push sont conservés tant que l'appareil reste actif ; nous les récupérons à chaque lancement de l'app et écrasons l'ancienne valeur.

4. Tes choix

• Export. Écris à hello@doctria.io depuis l'adresse de ton inscription et nous t'enverrons un export JSON de tout ce qui est rattaché à ton compte sous 14 jours.
• Suppression. Écris à la même adresse et nous supprimerons la ligne de auth.users. Les suppressions en cascade effacent pronostics, appartenances, jetons push, profil et favoris. Les sauvegardes sont tournées en 30 jours.
• Notifications push. Désactive des types d'alertes individuels dans Paramètres, ou coupe-les complètement via les permissions système.
• Connexion biométrique. Optionnelle. Si activée, ton e-mail et ton mot de passe restent chiffrés sur ton appareil uniquement (Keychain iOS / Keystore Android) — ne nous arrivent jamais sous cette forme. Déconnecte-toi depuis Paramètres pour effacer la session en cours ; réinstalle l'app pour effacer le coffre biométrique.

5. Enfants

Sideline n'est pas destinée aux utilisateurs de moins de 13 ans (ou de l'âge minimum de consentement numérique dans ta juridiction, selon le plus élevé). Nous ne collectons pas sciemment de données en dessous de cet âge. Si nous l'apprenons, nous supprimons le compte.

6. Transferts internationaux

Nos sous-traitants sont basés aux États-Unis. En utilisant Sideline, tu consens à ce que tes données y soient traitées. Supabase et Resend proposent des régions UE ; nous pouvons migrer sur demande si c'est un blocage réglementaire pour toi.

7. Sécurité

Tout le trafic vers notre backend passe par HTTPS. Les mots de passe sont hashés avec bcrypt par Supabase Auth. Les lignes de la base de données sont protégées par row-level security pour que tu ne puisses lire/écrire que tes propres données ; les opérations sensibles (rejoindre un groupe, supprimer un groupe, dispatcher les push) passent par des RPC SECURITY DEFINER audités avec des vérifications de propriété explicites. Nous ne stockons aucune information de paiement — l'app n'a pas d'achats intégrés.

8. Modifications de cette politique

Si nous changeons quelque chose de matériel, nous mettrons à jour la date « Dernière mise à jour » ci-dessus et préviendrons les utilisateurs actifs via une bannière dans l'app avant que le changement entre en vigueur. Les modifications substantielles qui étendent la collecte requièrent un nouveau consentement.

9. Contact

Questions, demandes, réclamations : hello@doctria.io.