Kanzen · Documents juridiques

Politique de confidentialité

Comment Kanzen collecte, utilise et protège vos données personnelles, conformément au RGPD.

Dernière mise à jour : 18 mai 2026 · Version 1.0

1. Responsable du traitement

Tom Piguet, entrepreneur individuel, exerçant sous le nom commercial Ikigai Studio
55 avenue du Général de Gaulle, 60150 Longueil-Annel, France
SIRET : 904 611 175 00020

Contact RGPD : contact.ikigaistudio@gmail.com

2. Données que nous collectons

2.1 Données fournies par l’utilisateur

Donnée	Origine	Caractère
Adresse email	Inscription	Obligatoire
Mot de passe (haché, jamais stocké en clair)	Inscription email	Obligatoire si inscription email
Pseudo	Profil	Facultatif (généré par défaut)
Hanko (avatar), bannière, titre honorifique	Personnalisation profil	Facultatif
Mémos mnémoniques personnels	Création utilisateur	Facultatif
Code ami (8 caractères, généré automatiquement)	Système	Obligatoire (technique)

2.2 Données générées par l’utilisation

Donnée	Finalité
Progression SRS (kanji vus, niveaux, intervalles, dates de révision)	Fonctionnement du moteur de révision
Statistiques de jeu (Sosies, Jardin, Notebook)	Affichage des stats, mode rattrapage
Historique des duels (résultats, scores, ligue, rating Glicko-2)	Classement, anti-triche
Liste d’amis, invitations envoyées et reçues	Fonction sociale
Préférences d’affichage (thème, polices, langue)	Personnalisation
Sceaux et toriis débloqués	Système de progression
Mémos publiés et adoptés	Bibliothèque communautaire

2.3 Données techniques

Donnée	Finalité	Conservation
Identifiant utilisateur interne (UUID)	Identification	Durée du compte
Jetons d’authentification	Maintien de la session	30 jours maximum
Logs serveur (adresse IP, horodatage, codes d’erreur)	Sécurité, anti-abus, débogage	30 jours
Identifiant d’appareil pour notifications push (token Expo)	Envoi des rappels de révision	Tant que l’option est activée

2.4 Données d’abonnement (Kanzen Plus uniquement)

Lors d’une souscription à Kanzen Plus :

identifiant client RevenueCat (anonyme côté éditeur) ;
type d’abonnement (mensuel / annuel / à vie) ;
dates de souscription, d’expiration, d’annulation ;
statut de l’abonnement (actif, en essai, expiré).

Nous ne collectons aucune donnée de paiement. Les coordonnées bancaires ou cartes de crédit sont traitées exclusivement par Apple ou Google et ne sont jamais transmises à l’éditeur ni à ses sous-traitants.

2.5 Données que nous ne collectons PAS

Géolocalisation
Données de santé
Contacts du téléphone
Photos, vidéos ou fichiers de l’appareil
Microphone, caméra
Identifiants publicitaires (IDFA, AAID)
Tracking comportemental cross-app
Cookies tiers de mesure d’audience (version web)

3. Finalités et bases légales (RGPD art. 6)

Finalité	Base légale
Fournir le service (compte, SRS, duels, mémos)	Exécution du contrat (art. 6.1.b)
Synchronisation cloud multi-appareils	Exécution du contrat
Mode Duel et classement par ligues	Exécution du contrat
Mémos communautaires et adoptions	Exécution du contrat
Gestion des abonnements Kanzen Plus	Exécution du contrat
Anti-abus, sécurité, prévention de la fraude	Intérêt légitime (art. 6.1.f)
Communications transactionnelles (réinitialisation mot de passe, alertes sécurité)	Exécution du contrat
Notifications push de rappel de révision	Consentement (art. 6.1.a) — révocable depuis Préférences
Signalement et modération de contenus	Intérêt légitime (sécurité communautaire)

4. Destinataires et sous-traitants

L’éditeur ne vend, ne loue, ni ne partage vos données personnelles à des tiers à des fins commerciales. Les sous-traitants ci-dessous interviennent strictement dans l’exécution du service :

Sous-traitant	Rôle	Localisation	Garanties
Supabase Inc.	Hébergement BDD, authentification, edge functions	Irlande (UE) — datacentre AWS eu-west-1	DPA Supabase + RGPD applicable
RevenueCat Inc.	Gestion technique des abonnements	États-Unis	Clauses Contractuelles Types CE 2021/914 + Data Privacy Framework
Apple Inc.	Authentification Sign in with Apple, App Store	États-Unis	Clauses Contractuelles Types CE + Data Privacy Framework
Google LLC	Authentification OAuth Google, Google Play	États-Unis	Clauses Contractuelles Types CE + Data Privacy Framework
Vercel Inc.	Hébergement de la version web	États-Unis	Clauses Contractuelles Types CE + Data Privacy Framework
Expo (650 Industries Inc.)	Service d’envoi des notifications push	États-Unis	Clauses Contractuelles Types CE

Aucun courtier en données, aucun annonceur, aucune revente.

5. Transferts hors Union européenne

L’hébergement principal (base de données, authentification, edge functions) est situé en Irlande (UE), aucune donnée n’en sort dans le cadre du fonctionnement courant de l’Application.

Certains sous-traitants accessoires (RevenueCat, Apple, Google, Vercel, Expo) sont établis aux États-Unis. Ces transferts sont encadrés par :

les Clauses Contractuelles Types de la Commission européenne (décision d’exécution 2021/914 du 4 juin 2021) ;
le Data Privacy Framework UE-États-Unis (décision d’adéquation du 10 juillet 2023) lorsque le sous-traitant y est certifié.

6. Durée de conservation

Donnée	Durée
Compte actif et toutes ses données	Tant que le compte existe
Compte supprimé (à la demande ou inactif > 3 ans)	Effacement définitif sous 30 jours
Mémos publics adoptés par d’autres utilisateurs	Conservés anonymisés (auteur dissocié)
Logs techniques (IP, codes d’erreur)	30 jours
Données de facturation côté Apple / Google	Selon les conditions des boutiques (en général 7 à 10 ans pour obligations comptables)

7. Vos droits

Conformément aux articles 15 à 22 du RGPD et aux articles 49 et suivants de la loi Informatique et Libertés modifiée, vous disposez des droits suivants :

Droit d’accès : obtenir une copie de l’ensemble des données vous concernant ;
Droit de rectification : modifier vos données inexactes ou incomplètes (directement depuis l’app pour la plupart, ou par demande) ;
Droit à l’effacement : supprimer votre compte et vos données depuis Profil → Préférences → Compte → Supprimer mon compte, ou par demande à contact.ikigaistudio@gmail.com ;
Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé (JSON) ;
Droit d’opposition : vous opposer à un traitement fondé sur l’intérêt légitime, pour des raisons tenant à votre situation particulière ;
Droit à la limitation : demander la suspension d’un traitement contesté pendant l’instruction d’une réclamation ;
Droit de retirer votre consentement à tout moment, pour les traitements fondés sur ce dernier (notifications push notamment), depuis les Préférences de l’app ;
Droit d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés — www.cnil.fr) si vous estimez que vos droits ne sont pas respectés ;
Droit de définir des directives post-mortem quant au sort de vos données après votre décès, conformément à l’article 85 de la loi Informatique et Libertés.

Pour exercer ces droits : contact.ikigaistudio@gmail.com

Une réponse vous sera apportée dans un délai d’un mois maximum à compter de la réception de votre demande, conformément à l’article 12 du RGPD. Ce délai peut être prolongé de deux mois en cas de demande complexe, avec information préalable.

8. Sécurité

Mesures techniques et organisationnelles en place :

chiffrement TLS 1.2+ pour toutes les communications client-serveur ;
mots de passe hachés via bcrypt (Supabase Auth) ;
jetons d’authentification stockés dans le keychain sécurisé du système d’exploitation (expo-secure-store) ;
Row Level Security PostgreSQL — chaque utilisateur ne peut accéder qu’à ses propres données ;
aucun accès direct à la base de données depuis le client (passage obligatoire par les fonctions sécurisées) ;
accès administrateur restreint à l’éditeur uniquement, traçabilité des accès par Supabase.

Aucun système n’est infaillible. En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, vous serez notifié sans délai indu, conformément à l’article 34 du RGPD, et la CNIL sera informée sous 72 heures (article 33).

9. Mineurs

L’Application est ouverte aux utilisateurs âgés d’au moins 13 ans.

Nous ne collectons pas sciemment de données personnelles concernant des enfants de moins de 13 ans. Si vous estimez qu’un mineur de moins de 13 ans nous a fourni des données personnelles, contactez-nous immédiatement à contact.ikigaistudio@gmail.com : nous procéderons à la suppression dans les plus brefs délais.

Les utilisateurs mineurs âgés de 13 à 15 ans doivent obtenir le consentement préalable de leurs représentants légaux conformément à l’article 8 du RGPD et à l’article 45 de la loi Informatique et Libertés.

10. Cookies et traceurs

Application mobile

L’application mobile n’utilise aucun cookie ni traceur publicitaire. Le seul stockage local est technique (jetons d’authentification, cache de progression, préférences) et nécessaire au fonctionnement.

Version web

La version web (kanzen.app) utilise uniquement des cookies techniques strictement nécessaires au fonctionnement (session d’authentification Supabase). Aucun cookie de mesure d’audience, de profilage ou de publicité.

Aucun consentement préalable n’est requis pour ces cookies techniques, conformément à l’article 82 de la loi Informatique et Libertés.

11. Modifications

La présente Politique de confidentialité peut être mise à jour pour refléter des évolutions de l’Application ou de la réglementation. La date « Dernière mise à jour » en tête de document indique la version en vigueur.

Toute modification substantielle (nouveau sous-traitant, nouvelle finalité, nouveau type de donnée collectée) fera l’objet d’une notification dans l’application et, le cas échéant, d’un recueil de consentement.

12. Contact

Pour toute question relative à vos données personnelles :

contact.ikigaistudio@gmail.com

Délégué à la protection des données : non désigné. La désignation d’un DPO n’est pas requise au regard du volume et de la nature des traitements réalisés (article 37 RGPD).