RGPD

Politique de confidentialité

Dernière mise à jour : 27 mai 2026

Engagement

premierbebe.fr traite vos données avec la même rigueur qu'un dossier médical : minimisation, sécurité, contrôle. Nous ne vendons jamais vos données. Nous ne diffusons aucune publicité. Vous gardez la main à tout moment.

1. Responsable de traitement

Le responsable de traitement, au sens de l'article 4 du règlement (UE) 2016/679 (« RGPD »), est :

Identité du responsable: Victorien Binant
Nom commercial: Artisan'IA (entrepreneur individuel, micro-entreprise)
SIREN: 919 731 653
Adresse du siège: Dancourt-Popincourt, 80700, France
Email contact RGPD: contact@premierbebe.fr
Délégué à la protection des données: Non désigné — le traitement n'atteint pas les seuils de désignation obligatoire de l'article 37 RGPD. Contact privilégié pour toute question RGPD : contact@premierbebe.fr

2. Données collectées et finalités

Les données sont collectées par finalité, dans le respect du principe de minimisation (article 5.1.c RGPD). Le tableau ci-dessous détaille chaque traitement.

A. Création et gestion du compte utilisateur

Données: Adresse email, prénom (display name), mot de passe (haché, jamais en clair), date et heure de création, dernière connexion.
Finalité: Permettre l'authentification, la persistance des outils interactifs, l'envoi d'emails transactionnels (réinitialisation de mot de passe, confirmation de compte).
Base légale: Exécution du contrat de service (article 6.1.b RGPD) — l'accès aux outils interactifs nécessite un compte.
Conservation: Compte actif + 3 ans à compter de la dernière connexion. Au-delà : suppression complète.

B. Suivi de grossesse

Données: Date présumée d'accouchement (DPA), prénom du bébé (optionnel), rendez-vous médicaux planifiés, notes personnelles.
Finalité: Générer le calendrier personnalisé des rendez-vous obligatoires HAS / Ameli, déclencher des rappels par email (optionnel).
Base légale: Consentement explicite (article 9.2.a RGPD) — donnée de santé.
Conservation: Jusqu'à 60 jours après la DPA, puis bascule vers le module 'suivi bébé' ou suppression sur demande. Au-delà du retrait du consentement : suppression sous 30 jours.

C. Carnet vaccinal et courbes de croissance du bébé

Données: Date de naissance, sexe (optionnel pour les courbes), poids, taille, périmètre crânien, vaccins reçus avec dates.
Finalité: Suivre l'évolution physiologique selon les courbes OMS (p3/p15/p50/p85/p97), rappeler les échéances du calendrier vaccinal français en vigueur.
Base légale: Consentement explicite (article 9.2.a RGPD) — donnée de santé d'un mineur.
Conservation: Jusqu'aux 3 ans de l'enfant, prolongeable sur action explicite du parent (renouvellement annuel du consentement). Au-delà du retrait : suppression sous 30 jours.

D. Liste de naissance — données du parent organisateur

Données: Titre de la liste, items ajoutés (produits, notes, prix indicatifs), code public de partage, préférence d'anonymat des invités.
Finalité: Permettre la constitution, le partage et la gestion d'une liste de cadeaux pour la naissance.
Base légale: Exécution du contrat de service (article 6.1.b RGPD).
Conservation: Jusqu'à la suppression du compte ou la suppression manuelle de la liste par le parent.

E. Liste de naissance — données des invités qui réservent un cadeau

Données: Prénom de l'invité, adresse email, choix « réservation anonyme », horodatage de la réservation.
Finalité: Permettre à l'invité de confirmer ou d'annuler son intention d'achat, et au parent de visualiser l'état d'avancement de sa liste.
Base légale: Consentement explicite de l'invité (article 6.1.a RGPD), recueilli au moment de la réservation par case à cocher distincte.
Conservation: Suppression automatique 60 jours après la date présumée d'accouchement du parent organisateur, ou immédiatement sur demande de l'invité.

F. Mesure d'audience anonyme

Données: URL consultée, type d'appareil, pays, source de trafic. Aucune adresse IP complète stockée — hashing/troncature en amont conformément à la doctrine CNIL des cookies exemptés.
Finalité: Mesurer l'audience du site, identifier les articles populaires, détecter les pannes.
Base légale: Intérêt légitime (article 6.1.f RGPD) — analyse strictement anonyme, sans cookie, sans profilage individuel.
Conservation: Données agrégées conservées 12 mois, données détaillées 30 jours.

G. Newsletter « Le journal des parents »

Données: Adresse email, segment (grossesse_t1/t2/t3, bebe_0-3m/3-12m/12m+), préférences de fréquence.
Finalité: Envoi d'une lettre éditoriale segmentée, avec contenus adaptés à la situation déclarée.
Base légale: Consentement explicite (article 6.1.a RGPD), opt-in actif et case décochée par défaut.
Conservation: Jusqu'au désabonnement (lien dans chaque email) ou 24 mois sans interaction (open/clic), puis suppression.

H. Logs techniques et de sécurité

Données: Adresse IP (hachée), horodatage, page demandée, code réponse HTTP, user-agent, tentatives d'authentification.
Finalité: Garantir la sécurité du service (détection d'intrusion, fail2ban, lutte contre la fraude), répondre aux obligations légales (LCEN, article 6 II).
Base légale: Obligation légale (article 6.1.c RGPD) et intérêt légitime (article 6.1.f RGPD).
Conservation: 12 mois maximum (conformément à l'article R.10-13 du code des postes et des communications électroniques).

3. Récapitulatif des bases légales

Exécution du contrat (art. 6.1.b RGPD) : création et gestion du compte, liste de naissance du parent, envoi de communications strictement nécessaires au service.
Consentement explicite (art. 6.1.a et 9.2.a RGPD) : toutes les données de santé (suivi grossesse, carnet vaccinal, courbes), email des invités à la liste, abonnement à la newsletter.
Obligation légale (art. 6.1.c RGPD) : conservation des logs de connexion (LCEN), facturation (si Stripe activé).
Intérêt légitime(art. 6.1.f RGPD) : mesure d'audience strictement anonyme, sécurité du service. Vous pouvez vous y opposer à tout moment.

4. Durées de conservation

Les durées sont fixées par finalité (voir tableau §2). Synthèse :

Compte actif : jusqu'à 3 ans après dernière connexion.
Données santé grossesse : jusqu'à DPA + 60 jours.
Données santé bébé : jusqu'aux 3 ans de l'enfant, renouvelables.
Emails invités liste : DPA + 60 jours.
Newsletter : jusqu'au désabonnement ou 24 mois d'inactivité.
Logs : 12 mois maximum.
Données de facturation (si Stripe activé) : 10 ans (obligation comptable).

5. Sous-traitants et transferts hors UE

Conformément à l'article 28 du RGPD, l'éditeur fait appel aux sous-traitants suivants, encadrés par des contrats de sous-traitance comportant les garanties requises :

Sous-traitant	Rôle	Pays	Cadre
OVH SAS	Hébergement VPS, stockage logs	France (Roubaix / Gravelines)	UE — pas de transfert
Supabase Inc.	Base de données, authentification, stockage fichiers	Irlande (eu-west-1) — société mère États-Unis	UE pour l'hébergement, DPA Supabase + clauses contractuelles types (SCC) UE
Resend, Inc.	Envoi d'emails transactionnels et newsletter	Allemagne (région UE) — société mère États-Unis	UE pour l'envoi, DPA Resend + SCC UE
Umami Software	Mesure d'audience (instance auto-hébergée sur le VPS OVH)	France (auto-hébergé)	UE — pas de transfert, aucun cookie
Amazon EU SARL	Programme Partenaires Amazon (affiliation)	Luxembourg	UE — pas de transfert. Aucune donnée personnelle transmise par notre site : seuls les liens contiennent un identifiant d'affiliation.
Stripe Payments Europe Ltd (si Stripe activé)	Encaissement par carte bancaire	Irlande — société mère États-Unis	UE pour le traitement, DPA Stripe + SCC UE

Pour les sous-traitants dont la maison-mère est aux États-Unis, l'hébergement effectif des données reste sur le territoire de l'Union européenne. Les transferts incidents éventuels (support, sauvegardes chiffrées) sont couverts par les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne le 4 juin 2021, ou par les certifications du Data Privacy Framework UE-US lorsque le sous-traitant y est inscrit.

6. Données de santé — précautions renforcées

Les données de santé (DPA, courbes de croissance, vaccinations) constituent des données particulières au sens de l'article 9 RGPD. Elles font l'objet de mesures renforcées :

Recueil par consentement explicite et séparé du consentement général.
Retrait du consentement aussi simple à exercer que son recueil.
Stockage chiffré au repos (Postgres + chiffrement de volume).
Accès restreint via politiques RLS (Row Level Security) Supabase — un utilisateur ne peut accéder qu'à ses propres données et à celles d'un co-parent invité.
Aucune transmission à un tiers, aucun croisement avec une finalité commerciale.
Analyse d'impact relative à la protection des données (DPIA) réalisée selon la grille WP248 de la CNIL.

Conformément à la doctrine HAS / CNIL, ces outils ont une vocation informative et ne sauraient se substituer à un avis médical. Un disclaimer est affiché sur chaque outil de santé.

7. Mineurs

Le service est destiné à un public adulte (parents). Les données du bébé sont saisies par et sous la responsabilité du parent titulaire de l'autorité parentale. Aucun compte ne peut être créé directement par un mineur. En cas de signalement, tout compte créé par un mineur de moins de 15 ans (article 8 RGPD, transposition française) sera supprimé sans délai.

8. Vos droits

En application des articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :

Droit d'accès — obtenir copie de vos données.
Droit de rectification — corriger une information inexacte.
Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine (JSON).
Droit à l'effacement — obtenir la suppression intégrale de vos données.
Droit d'opposition — refuser un traitement fondé sur l'intérêt légitime.
Droit à la limitation — geler temporairement le traitement d'une donnée contestée.
Droit de retirer votre consentement à tout moment, pour les traitements fondés sur celui-ci.
Droit de définir des directives post-mortem (loi Informatique et Libertés, article 85).

Les droits d'accès, de portabilité (export JSON), de rectification (édition de profil) et d'effacement (suppression du compte) sont directement accessibles depuis votre espace personnel : /account/settings.

Pour les autres droits, ou si vous n'avez pas de compte, écrivez à contact@premierbebe.fr (objet : « Exercice droit RGPD »). Une réponse sera apportée dans un délai d'un mois, prolongeable de deux mois en cas de complexité, conformément à l'article 12.3 du RGPD. La procédure complète est documentée dans le fichier interne docs/RGPD-PROCEDURE-DROITS.md.

9. Sécurité et notification des violations

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 RGPD) : chiffrement TLS de bout en bout, mots de passe hachés (bcrypt/argon2), chiffrement des volumes au repos, politiques RLS strictes, pare-feu applicatif, fail2ban, sauvegardes chiffrées, mises à jour de sécurité régulières.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'éditeur s'engage à notifier la CNIL dans un délai maximum de 72 heures (article 33 RGPD) et à informer les personnes concernées sans délai indu si le risque est élevé (article 34 RGPD). La procédure interne est documentée dans docs/RGPD-VIOLATION-72H.md.

10. Réclamation auprès de la CNIL

Vous pouvez à tout moment introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) si vous estimez qu'un traitement de vos données ne respecte pas le RGPD :

Adresse postale: CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone: +33 (0)1 53 73 22 22
Site: https://www.cnil.fr/fr/plaintes

Nous recommandons toutefois de nous contacter en premier lieu : la grande majorité des situations peut être résolue rapidement et à l'amiable.

11. Modifications de la présente politique

La présente politique peut être mise à jour pour refléter une évolution du service, un nouveau sous-traitant ou une évolution réglementaire. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle affectant vos droits, les utilisateurs disposant d'un compte en seront informés par email au moins 15 jours avant l'entrée en vigueur.