todrawn
ce que nous conservons, et pourquoi

Politique de confidentialité.

en vigueur à compter du 9 juillet 2026

Cette traduction est fournie à titre de commodité. En cas de divergence, la version anglaise fait foi.

§1. Responsable du traitement et contact

La présente politique de confidentialité explique comment les données personnelles sont traitées dans le service Todrawn (le « Service ») — des tableaux blancs interactifs en ligne permettant de dessiner, d’ajouter des formes et des images, et de collaborer avec d’autres utilisateurs.

Le responsable du traitement de vos données personnelles est Jakub Kuźnicki (le « Prestataire »). Pour toute question relative à la protection des données, le Prestataire peut être contacté par e-mail à l’adresse support@todrawn.com.

Les termes commençant par une majuscule et non définis ici ont le sens qui leur est donné dans les Conditions d’utilisation.

§2. Quelles données nous traitons

Selon la manière dont vous utilisez le Service, nous traitons :

  • les données de compte — votre adresse e-mail et, pour les comptes créés avec un mot de passe, un hachage du mot de passe (nous ne conservons jamais le mot de passe lui-même) ; pour les comptes créés via Google Sign-In, aucun mot de passe n’est défini,
  • les données de contenu — les tableaux que vous créez, y compris les dessins, formes, textes et images téléversées,
  • les données d’abonnement — votre forfait (FREE ou PREMIUM), le statut de l’abonnement et l’identifiant qui vous est attribué par notre opérateur de paiement,
  • les données techniques — les informations nécessaires à la sécurité et au bon fonctionnement du Service, telles que l’horodatage de certaines actions et les métadonnées de base des requêtes enregistrées dans les journaux du serveur.

Nous ne traitons pas de catégories particulières de données et nous n’utilisons pas vos données à des fins de décision automatisée ou de profilage.

§3. Pourquoi nous les traitons et sur quelle base légale

Nous traitons vos données aux fins suivantes :

  • fournir le Service et votre compte — exécution du contrat (art. 6, § 1, b) du RGPD),
  • gérer les paiements du forfait PREMIUM et respecter les obligations comptables — respect d’une obligation légale (art. 6, § 1, c) du RGPD),
  • vérifier votre adresse e-mail et gérer les réinitialisations de mot de passe — exécution du contrat (art. 6, § 1, b) du RGPD),
  • assurer la sécurité du Service et prévenir les abus — notre intérêt légitime (art. 6, § 1, f) du RGPD),
  • traiter les réclamations et répondre à vos demandes — notre intérêt légitime (art. 6, § 1, f) du RGPD).

§4. Cookies et stockage du navigateur

Le Service n’utilise pas de cookies publicitaires, analytiques ou de suivi. Nous ne vous profilons pas et ne chargeons aucun script de suivi tiers.

Pour vous maintenir connecté, le Service stocke deux jetons d’authentification dans le stockage de votre navigateur. Si vous cochez « Se souvenir de moi sur cet appareil » lors de la connexion, les jetons sont conservés dans le stockage persistant (localStorage) afin que votre session survive à un redémarrage du navigateur ; sinon, ils sont conservés dans le stockage de session et effacés à la fermeture de l’onglet ou du navigateur. Ces jetons sont strictement nécessaires au fonctionnement du Service et sont supprimés lors de la déconnexion.

Outre ces jetons, le Service conserve quelques petites préférences dans le stockage de votre navigateur — par exemple votre choix de thème clair ou sombre, vos réglages de barre d’outils et la mention que vous avez fermé l’avis relatif aux cookies. Elles mémorisent vos choix uniquement sur cet appareil ; elles ne contiennent aucun identifiant de suivi et ne sont partagées avec personne.

Si vous choisissez de vous connecter avec Google, Google Sign-In est chargé depuis les serveurs de Google et peut déposer ses propres cookies sur le domaine accounts.google.com, conformément à la politique de confidentialité de Google. Cela ne se produit que lorsque vous utilisez activement cette option.

§5. Avec qui nous partageons les données

Nous ne partageons les données qu’avec les prestataires qui nous aident à exploiter le Service, et uniquement dans la mesure nécessaire :

  • Stripe — notre opérateur de paiement, qui traite les paiements d’abonnement. Le Prestataire ne conserve pas les données de carte bancaire — elles sont traitées exclusivement par Stripe,
  • Google — lorsque vous choisissez de vous connecter avec Google, le jeton d’identité Google est vérifié afin de confirmer votre identité.

Les codes de vérification et les messages de réinitialisation de mot de passe sont gérés au sein du Service et ne sont partagés avec aucun fournisseur de messagerie tiers. Nous ne vendons pas vos données personnelles et ne les partageons pas à des fins marketing.

§6. Combien de temps nous conservons les données

Nous conservons les données de compte et de contenu tant que vous détenez un Compte. Vous pouvez cesser d’utiliser le Service à tout moment et demander la suppression du Compte en contactant le Prestataire ; lors de la suppression, vos tableaux et images sont effacés.

Les données liées aux paiements sont conservées pendant la durée exigée par le droit comptable et fiscal. Les données traitées sur la base de notre intérêt légitime sont conservées jusqu’à ce que cette finalité soit atteinte ou que votre opposition aboutisse, selon la première éventualité.

En pratique, cela signifie les durées de conservation suivantes :

  • données de compte (votre e-mail et, le cas échéant, un hachage de mot de passe) — conservées jusqu’à la suppression de votre Compte,
  • tableaux blancs et images — conservés jusqu’à leur suppression par le propriétaire ou jusqu’à la suppression du Compte ; les images téléversées sont servies via des liens impossibles à deviner et des copies peuvent subsister dans les caches des navigateurs ou des intermédiaires jusqu’à 7 jours après la suppression,
  • codes de vérification d’e-mail et de réinitialisation de mot de passe — conservés 15 minutes, puis automatiquement supprimés,
  • les enregistrements des actions administratives sur les Comptes (notre journal d’audit) — conservés 24 mois à compter de l’action,
  • les enregistrements d’envoi des e-mails marketing — le contenu du message et les décomptes sont conservés à des fins de reporting, mais l’adresse e-mail du destinataire de chaque enregistrement est anonymisée 30 jours après l’envoi, l’échec ou l’omission du message,
  • les identifiants des événements de paiement traités (utilisés pour éviter de traiter deux fois la même notification de paiement) — conservés 90 jours,
  • les journaux du serveur — conservés jusqu’à 90 jours, à des fins de sécurité et de dépannage,
  • les données de paiement elles-mêmes ne sont pas conservées par le Prestataire — elles sont détenues par Stripe selon sa propre politique de conservation.

§7. Transferts internationaux

Certains de nos prestataires (notamment Stripe et Google) peuvent traiter des données en dehors de l’Espace économique européen. Dans ce cas, le transfert s’effectue sur la base de garanties appropriées, en particulier les clauses contractuelles types de la Commission européenne.

§8. Vos droits

Vous disposez d’un droit d’accès à vos données, de rectification, d’effacement, de limitation du traitement, de portabilité et d’opposition au traitement. Lorsque le traitement repose sur le consentement, vous pouvez retirer celui-ci à tout moment, sans affecter la licéité du traitement effectué auparavant.

Pour exercer vos droits, contactez le Prestataire à l’adresse e-mail indiquée au §1. Vous avez également le droit d’introduire une réclamation auprès de l’autorité de contrôle — le président de l’Office polonais de protection des données personnelles (UODO).

§9. Enfants

Le Service est destiné aux personnes âgées d’au moins 16 ans. Les mineurs utilisent le Service avec le consentement d’un représentant légal. Nous ne traitons pas sciemment les données d’enfants n’ayant pas atteint cet âge.

§10. Modifications de la présente politique

Nous pouvons mettre à jour la présente politique de confidentialité, par exemple lorsque la loi ou les modalités de fourniture du Service évoluent. La version en vigueur est toujours disponible dans le Service, avec la date d’entrée en vigueur indiquée ci-dessous. Lorsqu’un changement l’exige, nous en informerons les Utilisateurs par e-mail.

La présente politique de confidentialité entre en vigueur le 9 juillet 2026.