Confidentialité

Politique de confidentialité

En vigueur depuis : mars 2026 · Applicable à startiq.app

Cette politique de confidentialité s'applique à l'utilisation de startiq.app et est régie par la loi fédérale suisse sur la protection des données (LPD, en vigueur depuis le 1er septembre 2023) et, à titre complémentaire, par le Règlement général sur la protection des données (RGPD) de l'UE.

1. Personne responsable

La personne responsable du traitement des données sur ce site est :

Elias Felder
Reichensteinerstrasse 15
4153 Reinach BL
Suisse
E-mail : eliasfelder07@gmail.com

2. Données que nous collectons

2.1 Lors de l'inscription

Lors de la création d'un compte, nous collectons les données suivantes :

Nom d'affichage (librement choisi)
Adresse e-mail
Mot de passe (stocké exclusivement sous forme de hachage bcrypt, jamais en clair)

2.2 Lors de la connexion via Google (OAuth)

Lorsque vous vous connectez avec votre compte Google ou le liez ultérieurement, nous recevons de Google :

Identifiant de compte Google (identifiant interne)
Nom et adresse e-mail de votre compte Google
URL de la photo de profil (optionnel)
Jeton d'accès OAuth et jeton d'actualisation (pour Google Agenda)

2.3 Données de sécurité et d'authentification

Pour sécuriser votre compte, nous stockons en outre :

Codes de vérification par e-mail (en tant que hachage SHA-256, temporaires)
Authentification à deux facteurs (2FA) : codes e-mail temporaires (hachage SHA-256) ou un secret TOTP (encodé Base32) pour les applications authentificateur
Journal de connexion : adresse IP, navigateur/appareil (user agent) et horodatage de chaque connexion (max. 50 entrées par utilisateur)
Jeton « Se souvenir de moi » (en tant que hachage SHA-256) pour la connexion persistante
Données de limitation de débit (adresse IP/e-mail et compteur de tentatives, temporaires)

2.4 Contenu créé par vous

Dans le cadre de l'utilisation de la page de démarrage, nous stockons :

Liens et catégories enregistrés
Notes
Paramètres personnels (thème, widgets activés, fuseau horaire, etc.)

2.5 Données techniques

Lors de l'accès à notre site, des données techniques sont automatiquement enregistrées dans le journal du serveur : adresse IP, date et heure d'accès, page consultée, code de statut HTTP et navigateur utilisé (user agent). Ces données sont utilisées exclusivement à des fins de sécurité et de diagnostic des erreurs, et sont supprimées après 7 jours au plus tard.

3. Finalité du traitement des données

Nous traitons vos données exclusivement aux fins suivantes :

Fourniture et exploitation de la page de démarrage personnalisée
Authentification et gestion du compte (y compris vérification par e-mail, réinitialisation de mot de passe, 2FA)
Envoi d'e-mails transactionnels (codes de vérification, notifications de sécurité, rappels de calendrier)
Récupération de vos événements Google Agenda et rappels par e-mail optionnels (uniquement si activés)
Journalisation des connexions pour la vue d'ensemble de sécurité
Sécurité technique et diagnostic des erreurs

Nous ne vendons pas vos données et ne les transmettons pas à des tiers à des fins publicitaires.

4. Base juridique

4.1 Selon la LPD suisse

Le traitement des données est effectué conformément à la loi fédérale suisse sur la protection des données (LPD). Lorsqu'un consentement est requis (p. ex. pour la liaison avec Google et l'accès à Google Agenda), celui-ci est explicitement obtenu.

4.2 Selon le RGPD de l'UE

Dans la mesure où le RGPD est applicable, nous basons le traitement des données sur les fondements juridiques suivants :

Exécution d'un contrat (art. 6, par. 1, let. b RGPD) : Création et gestion de votre compte, authentification, fourniture de la page de démarrage personnalisée, envoi d'e-mails transactionnels.
Consentement (art. 6, par. 1, let. a RGPD) : Liaison avec Google OAuth, accès à Google Agenda, utilisation du widget météo (géolocalisation IP).
Intérêt légitime (art. 6, par. 1, let. f RGPD) : Journalisation des connexions, limitation de débit, journaux serveur et mesures de sécurité techniques pour la protection de notre service et de nos utilisateurs.

5. Transmission à des tiers

5.1 Google LLC

Si vous vous connectez avec Google ou utilisez Google Agenda, des données sont transmises à Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis). La politique de confidentialité de Google s'applique à ce transfert de données. Google traite des données notamment aux États-Unis ; Google est certifié dans le cadre du EU-US ainsi que du Swiss-US Data Privacy Framework.

5.2 Resend (Envoi d'e-mails)

Pour l'envoi d'e-mails transactionnels (codes de vérification, notifications de sécurité, rappels de calendrier), nous utilisons le service Resend (Resend, Inc., États-Unis). Votre adresse e-mail et le contenu de l'e-mail sont transmis aux serveurs de Resend. Aucun e-mail publicitaire n'est envoyé. Pour plus d'informations, consultez la politique de confidentialité de Resend.

5.3 Google Fonts

Ce site charge des polices depuis Google Fonts (Google LLC). Votre adresse IP est transmise à Google dans ce processus. Pour plus d'informations, consultez la politique de confidentialité de Google.

5.4 jsDelivr CDN

Pour l'affichage des codes QR (lors de la configuration de l'application authentificateur), une bibliothèque JavaScript est chargée via le réseau de diffusion de contenu jsDelivr (Prospect One, Pologne). Votre adresse IP est transmise à jsDelivr. Pour plus d'informations, consultez la politique de confidentialité de jsDelivr.

5.5 Widget Météo (Géolocalisation IP & Open-Meteo)

La géolocalisation IP n'a lieu que lorsque vous utilisez activement le widget météo. Ce n'est que dans ce cas que votre adresse IP est transmise aux services suivants pour déterminer la latitude, la longitude et le nom de la ville :

ip-api.com : Service de géolocalisation gratuit. Aucune donnée personnelle au-delà de l'adresse IP n'est stockée.
ipapi.co : Service de géolocalisation alternatif.
geolocation-db.com : Service de géolocalisation alternatif.

Les coordonnées déterminées (sans l'adresse IP) sont ensuite envoyées à Open-Meteo.com (base de données météorologiques d'Open-Meteo GmbH, Allemagne) pour récupérer les données météorologiques actuelles. Aucune donnée personnelle n'est transmise à Open-Meteo.

5.6 Hébergement

Le site est hébergé par MC-HOST24 (Allemagne). Le fournisseur d'hébergement traite les données d'accès techniques (adresse IP, horodatage, page consultée, code de statut HTTP, user agent) dans les journaux serveur dans le cadre de l'exploitation. Ces données sont utilisées exclusivement pour assurer le fonctionnement et le diagnostic des erreurs.

5.7 Sous-traitance

Dans la mesure où cela est nécessaire, nous avons conclu des contrats de sous-traitance avec nos prestataires externes (notamment le fournisseur d'hébergement et Resend) ou nous nous appuyons sur leurs accords standard de protection des données afin de garantir la protection de vos données.

5.8 Extension de navigateur

Notre extension de navigateur « StartIQ – Smart Browser Companion » communique avec les mêmes serveurs et traite les mêmes données que l'application web. L'extension ne stocke localement que les préférences utilisateur (p. ex. si la redirection du nouvel onglet est active, les notifications et les préférences du menu clic droit). Les titres de pages et les URL ne sont sauvegardés que lorsque l'utilisateur le déclenche activement (p. ex. en cliquant sur « Sauver la page » ou via le menu clic droit). L'extension ne lit aucune donnée de navigation, aucun historique et n'effectue aucun suivi.

6. Cookies et sessions

Ce site utilise uniquement des cookies techniquement nécessaires :

Cookie de session : Maintient votre session de connexion. Supprimé à la fermeture du navigateur.
Cookie « Se souvenir de moi » : Uniquement défini si vous activez « Rester connecté » lors de la connexion. Contient un jeton aléatoire (stocké sous forme de hachage SHA-256 dans la base de données) et expire après 30 jours.
Cookie de langue (lang) : Stocke votre langue sélectionnée. Ne contient aucune donnée personnelle.

Aucun cookie de suivi ou publicitaire n'est utilisé.

7. Sécurité des données

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles pour protéger vos données :

Transmission exclusivement via HTTPS (chiffrement TLS)
Les mots de passe sont hachés avec bcrypt et jamais stockés en clair
Les codes de vérification et jetons sont stockés sous forme de hachage SHA-256
Authentification à deux facteurs optionnelle (par code e-mail ou application authentificateur/TOTP)
Limitation de débit pour la protection contre les attaques par force brute
Cookies de session avec indicateur HttpOnly (pas d'accès JavaScript)
Flux OAuth sécurisés avec jeton d'état CSRF
Isolation stricte des données : chaque utilisateur ne peut accéder qu'à ses propres données

8. Durée de conservation

Vos données sont stockées tant que votre compte est actif. Après la suppression de votre compte, toutes les données personnelles (compte, liens, notes, paramètres, jetons OAuth) sont immédiatement et complètement supprimées. Les journaux du serveur sont supprimés après 7 jours au plus tard.

9. Vos droits

En vertu de la LPD et du RGPD, vous disposez des droits suivants :

Accès : Vous pouvez demander à tout moment des informations sur les données stockées vous concernant.
Rectification : Vous pouvez demander la correction de données inexactes.
Effacement : Vous pouvez demander la suppression de vos données.
Limitation : Vous pouvez demander la limitation du traitement.
Portabilité : Vous pouvez recevoir vos données dans un format structuré.
Retrait : Vous pouvez retirer un consentement donné à tout moment (p. ex. dissocier Google).
Réclamation : Vous avez le droit de déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT).

Pour exercer vos droits, veuillez nous contacter par e-mail : eliasfelder07@gmail.com

10. Âge minimum

Notre service ne s'adresse pas spécifiquement aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 16 ans. Si nous apprenons qu'un enfant de moins de 16 ans nous a fourni des données personnelles, nous les supprimerons sans délai.

11. Modifications de cette politique de confidentialité

Nous nous réservons le droit d'adapter cette politique de confidentialité si nécessaire. La version actuelle est disponible sur cette page. En cas de modifications importantes, les utilisateurs enregistrés seront informés.