Politique de confidentialité

Dernière mise à jour : 2 avril 2026

1. Introduction

SubTasks (« nous », « notre » ou « nos ») est exploité par Tony Howell, entrepreneur individuel établi au Texas, États-Unis. La présente Politique de confidentialité explique comment nous collectons, utilisons et protégeons vos informations à caractère personnel lorsque vous utilisez SubTasks (le « Service »), une plateforme de gestion de relation conçue pour les couples pratiquant les dynamiques d'échange de pouvoir (parfois appelées Dominant/soumis ou D/s).

Nous avons conscience que les données que vous nous confiez sont sensibles. Les informations relatives à vos dynamiques relationnelles, à vos rôles, à vos tâches et à votre contenu personnel pourraient causer un préjudice réel en cas de divulgation. Nos pratiques de confidentialité et de sécurité ont été conçues en tenant compte de ce risque.

Au sens du Règlement général sur la protection des données (RGPD) et de la loi n° 78-17 du 6 janvier 1978 (« Informatique et Libertés »), Tony Howell, agissant sous la dénomination SubTasks, est le responsable du traitement de vos données à caractère personnel.

2. Informations que nous collectons

Informations de compte

  • Adresse électronique - utilisée pour la création du compte, l'authentification par liens à usage unique (« magic links ») et les communications relatives au Service.
  • Nom d'utilisateur - votre identifiant choisi au sein du Service.
  • Fuseau horaire - utilisé pour afficher correctement les dates et heures.
  • Préférences de notification - vos choix concernant les notifications à recevoir.
  • Paramètres d'affichage - préférences de thème et configuration de l'interface.

Données relatives à la relation

  • Lien avec le partenaire - la connexion entre vous et votre partenaire, y compris le rôle occupé par chaque personne (Dominant/soumis).
  • Préférences relationnelles - paramètres de la dynamique tels que les surnoms, les valeurs en points et les seuils de mauvais points.

Contenu de l'utilisateur

  • Tâches - noms, descriptions, notes d'exécution et notes de validation.
  • Récompenses et punitions - noms, descriptions et notes d'accusé de réception.
  • Points, mauvais points et ajustements de points - y compris les descriptions et motifs associés.
  • Notes - notes libres, listes et cases à cocher partagées entre partenaires.
  • Messages - messages échangés entre partenaires.
  • Kits de tâches (« Task Kits ») - ensembles de modèles que vous créez. Si vous publiez un kit, son nom, sa description, la note du concepteur, les étiquettes et le contenu des modèles sont visibles par l'ensemble des utilisateurs de SubTasks aux côtés de votre nom d'utilisateur (ou sous attribution anonyme, à votre choix).

Contenu photographique

  • Preuves photographiques - images que vous téléversez pour attester de l'exécution d'une tâche. Les photos sont stockées chiffrées dans un compartiment de stockage dédié. Les photos approuvées ou rejetées sont supprimées automatiquement. Les téléversements orphelins sont supprimés dans les 7 jours par une règle de cycle de vie automatisée.

Données d'appareil et techniques

  • Jetons de notification push - jetons de push web (VAPID) et natifs (FCM), utilisés uniquement pour délivrer des notifications à vos appareils.
  • Jetons d'authentification - jetons de session stockés dans le stockage local de votre navigateur.

Données d'abonnement

  • Niveau et statut d'abonnement - indication selon laquelle vous utilisez l'offre gratuite ou Pro, et statut d'activité de votre abonnement. Nous ne traitons ni ne conservons aucune donnée de carte de paiement ; l'ensemble des paiements est géré par Apple (App Store) ou Google (Play Store) via RevenueCat.

Données d'utilisation

  • Analyse produit - nous utilisons PostHog pour comprendre l'usage du Service. PostHog reçoit votre nom d'utilisateur, votre niveau d'abonnement, votre fuseau horaire et des événements comportementaux (tels que « tâche créée » ou « page consultée »). PostHog ne reçoit pas votre rôle relationnel, les informations relatives à votre partenaire, ni aucun contenu généré par les utilisateurs.

3. Comment nous utilisons vos informations

  • Fournir le Service - stocker et afficher vos tâches, récompenses, notes, messages et autres contenus à vous-même ainsi qu'à votre partenaire lié.
  • Authentification - envoyer des courriels de connexion à usage unique pour vérifier votre identité.
  • Notifications - délivrer des notifications push et des alertes dans l'application concernant l'activité des tâches, les actions du partenaire et les événements relationnels.
  • Communications relatives au Service - envoyer des courriels transactionnels (modifications de compte, alertes de sécurité) et des informations sur le produit.
  • Gestion des abonnements - traiter les événements d'abonnement provenant d'Apple/Google afin de maintenir votre statut Pro.
  • Fonctionnalités automatisées - exécuter des processus programmés, notamment le calcul des mauvais points, la création de tâches récurrentes et le contrôle d'expiration des tâches.
  • Analyse et amélioration - comprendre les schémas d'utilisation pour améliorer le Service (via PostHog, voir section 2).
  • Supervision des erreurs - détecter et corriger les anomalies (via Sentry, avec désactivation des informations personnellement identifiables).
  • Assistance - répondre à vos demandes.

4. Protection des données

Chiffrement au niveau des champs

L'intégralité du contenu généré par les utilisateurs est chiffré en AES-256-GCM avant d'être écrit dans notre base de données. Cela inclut les noms et descriptions de tâches, les notes d'exécution et de validation, les détails relatifs aux récompenses et punitions, les motifs des mauvais points, les descriptions d'ajustements de points, les notes d'accusé de réception, les messages, les notes et les surnoms.

Les clés de chiffrement sont gérées par AWS Key Management Service (KMS), assorti d'une politique IAM de refus explicite (« Deny ») qui empêche, par défaut, l'accès des développeurs à la clé de déchiffrement. Si une personne obtenait une copie brute de notre base de données (par vol de sauvegarde, injection SQL ou autre attaque), elle ne verrait que du texte chiffré, et non votre contenu.

Ce qu'il ne s'agit pas : Il s'agit d'un chiffrement côté serveur au repos, et non d'un chiffrement de bout en bout. Nos serveurs applicatifs doivent déchiffrer vos données pour vous les afficher, à vous et à votre partenaire. L'exploitant du Service conserve un accès administrateur au compte AWS et pourrait, en cas d'urgence ou en vertu d'une obligation légale, modifier la politique de la clé pour accorder un accès en déchiffrement. Toute modification de ce type est journalisée par AWS CloudTrail.

Mesures complémentaires

  • Toutes les données sont chiffrées en transit via TLS.
  • La base de données n'est accessible que depuis les serveurs applicatifs (aucun accès public).
  • Contrôles d'accès selon le principe du moindre privilège sur l'ensemble de l'infrastructure.
  • Preuves photographiques stockées dans un compartiment chiffré dédié avec suppression automatisée par cycle de vie.
  • Supervision des erreurs configurée pour exclure les informations personnellement identifiables.
  • Évaluations de sécurité régulières.

5. Partage des données et prestataires de services

Nous ne vendons, n'échangeons ni ne partageons vos informations personnelles à des fins publicitaires.

Le contenu que vous créez au sein de votre relation (tâches, notes, messages, etc.) n'est accessible qu'à vous et à votre partenaire lié. Si vous publiez un Kit de tâches, son contenu est visible par l'ensemble des utilisateurs de SubTasks (voir section 2).

Nous avons recours aux prestataires de services suivants, qui agissent en qualité de sous-traitants et traitent les données uniquement pour notre compte :

  • Amazon Web Services (AWS) - hébergement, stockage de base de données, authentification (Cognito), distribution de courriels (SES), stockage de fichiers (S3), gestion des clés de chiffrement (KMS). Traitement principalement aux États-Unis ; transferts encadrés par les clauses contractuelles types (CCT) de la Commission européenne et les garanties supplémentaires d'AWS.
  • PostHog - analyse produit. Reçoit le nom d'utilisateur, le niveau d'abonnement, le fuseau horaire et les événements d'usage. Ne reçoit pas le rôle relationnel, les données du partenaire ni le contenu généré par les utilisateurs.
  • RevenueCat - gestion d'abonnement. Reçoit votre identifiant utilisateur d'application pour gérer le statut d'abonnement Pro via les achats intégrés Apple/Google.
  • Sentry - supervision des erreurs. Configuré avec désactivation des informations personnellement identifiables. Reçoit le contexte des erreurs et les piles d'appels pour nous aider à corriger les anomalies.
  • Firebase Cloud Messaging (Google) - distribution des notifications push pour les applications iOS et Android. Ne reçoit que les jetons d'appareil.
  • Apple/Google - traitement des achats intégrés pour les abonnements Pro. Régis par leurs politiques de confidentialité respectives.

6. Conservation et suppression des données

Nous ne conservons vos informations que le temps nécessaire à la fourniture du Service, ou aussi longtemps que votre compte est actif.

Vous pouvez supprimer votre compte à tout moment depuis subtasksapp.com/delete-account. Lorsque vous supprimez votre compte :

  • L'ensemble de vos données est retiré de notre base de données active (tâches, notes, messages, récompenses, punitions, relations, préférences, et tout autre contenu utilisateur).
  • Votre compte d'authentification est supprimé.
  • Votre partenaire lié est notifié.
  • Les fichiers de preuve photographique sont supprimés du stockage.

Conservation des sauvegardes : Les sauvegardes chiffrées de la base de données sont conservées jusqu'à 30 jours dans le cadre de notre plan de reprise après sinistre, puis sont automatiquement supprimées. Vos données peuvent subsister dans ces sauvegardes pendant cette fenêtre.

7. Vos droits

Vous disposez des droits suivants :

  • Accès à vos informations à caractère personnel.
  • Rectification des données inexactes par l'intermédiaire du Service.
  • Effacement de votre compte et des données associées (« droit à l'oubli »).
  • Exportation (portabilité) de vos données dans un format structuré et couramment utilisé.
  • Opposition au traitement de vos données.
  • Retrait du consentement à tout moment, sans que cela compromette la licéité du traitement antérieur.
  • Limitation du traitement.
  • Définition de directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).

Pour exercer l'un de ces droits, contactez-nous à l'adresse privacy@subtasksapp.com. Nous répondrons dans un délai maximal de 30 jours (pouvant être porté à 3 mois pour les demandes complexes, conformément à l'article 12 du RGPD).

Si vous résidez en France, vous disposez également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 - www.cnil.fr.

8. Informations sensibles

Le Service traite des données relatives à des dynamiques relationnelles intimes, notamment les rôles Dominant/soumis, les tâches, les punitions et le contenu photographique. Au regard des législations applicables en matière de protection de la vie privée (notamment l'article 9 du RGPD et la CCPA/CPRA), ces informations peuvent être classées comme informations personnelles sensibles ou catégories particulières de données à caractère personnel se rapportant à la vie sexuelle ou à l'orientation sexuelle.

En créant un compte et en utilisant le Service, vous consentez expressément au traitement de ces données sensibles tel que décrit dans la présente politique, au sens de l'article 9, paragraphe 2, point a) du RGPD. Vous pouvez retirer ce consentement à tout moment en supprimant votre compte, sans que cela remette en cause la licéité du traitement effectué antérieurement.

9. Cookies et stockage local

Nous utilisons le stockage local (« local storage ») de votre navigateur pour les jetons d'authentification et les préférences utilisateur (telles que les paramètres de thème et les fermetures de notifications). Ces éléments sont indispensables au fonctionnement du Service et relèvent de l'exception de l'article 82 de la loi Informatique et Libertés (traceurs strictement nécessaires), ne nécessitant pas de consentement préalable.

PostHog dépose des cookies et des entrées de stockage local à des fins de suivi de session analytique. Ces traceurs, n'étant pas strictement nécessaires, font l'objet d'un consentement préalable conformément à la réglementation française et aux lignes directrices de la CNIL. Vous pouvez retirer votre consentement à l'analyse à tout moment en nous écrivant à privacy@subtasksapp.com.

Aucun cookie publicitaire ni traceur tiers à des fins publicitaires n'est utilisé.

10. Protection des mineurs

SubTasks n'est pas destiné aux personnes âgées de moins de 18 ans. Nous ne collectons pas sciemment de données à caractère personnel auprès de personnes de moins de 18 ans. Si nous apprenons que nous avons collecté des données à caractère personnel d'une personne de moins de 18 ans, nous supprimerons ces informations et clôturerons le compte associé. Si vous pensez qu'un mineur utilise notre service, veuillez nous contacter à privacy@subtasksapp.com.

11. Transferts internationaux de données

SubTasks est exploité depuis les États-Unis. Si vous accédez au Service depuis l'extérieur des États-Unis, vos données seront transférées et traitées aux États-Unis. Ces transferts depuis l'Espace économique européen sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914), ainsi que par les accords de traitement des données d'AWS. Le cas échéant, nous nous appuyons également sur le Data Privacy Framework UE-États-Unis lorsque nos prestataires y sont certifiés.

Vous pouvez obtenir, sur demande écrite à privacy@subtasksapp.com, une copie des garanties mises en place pour ces transferts.

12. Notification de violation de données

En cas de violation de données à caractère personnel vous concernant susceptible d'engendrer un risque pour vos droits et libertés, nous vous notifierons par courriel dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 34 du RGPD. Nous fournirons des précisions sur les données touchées, les mesures prises pour remédier à la violation, et les démarches que vous pouvez entreprendre pour vous protéger. Les violations seront également notifiées à la CNIL conformément à l'article 33 du RGPD.

13. Droits en matière de vie privée en Californie (CCPA/CPRA)

Si vous résidez en Californie, vous disposez de droits supplémentaires en vertu du California Consumer Privacy Act et du California Privacy Rights Act :

  • Le droit de savoir quelles informations personnelles nous collectons, utilisons et divulguons.
  • Le droit de supprimer vos informations personnelles.
  • Le droit de refuser la vente ou le partage de vos informations personnelles. Nous ne vendons ni ne partageons vos informations personnelles à des fins publicitaires.
  • Le droit de limiter l'utilisation de vos informations personnelles sensibles. Nous n'utilisons les informations personnelles sensibles que pour fournir le Service tel que décrit dans la présente politique.
  • Le droit à la non-discrimination pour l'exercice de vos droits en matière de vie privée.

Pour exercer ces droits, contactez-nous à privacy@subtasksapp.com.

14. Droits européens en matière de vie privée (RGPD)

Si vous vous trouvez dans l'Espace économique européen, au Royaume-Uni ou en Suisse, nous traitons vos données à caractère personnel sur les bases juridiques suivantes :

  • Consentement (article 6, §1, a) et article 9, §2, a) du RGPD) - pour le traitement des catégories particulières de données à caractère personnel (dynamiques relationnelles, rôles, contenu intime) et pour l'analyse produit.
  • Exécution du contrat (article 6, §1, b)) - pour les traitements nécessaires à la fourniture du Service que vous avez sollicité.
  • Intérêt légitime (article 6, §1, f)) - pour la supervision des erreurs et la sécurité. Nos intérêts légitimes consistent à maintenir un service fiable, sécurisé et exempt d'anomalies ; nous avons mis en balance ces intérêts avec vos droits et libertés et pouvons fournir, sur demande, la documentation de cette mise en balance.

Vous avez le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition au traitement. Vous avez également le droit d'introduire une réclamation auprès de votre autorité de protection des données locale (CNIL en France).

Représentant dans l'Union européenne : En l'absence actuelle d'un représentant désigné au sens de l'article 27 du RGPD, les utilisateurs de l'UE peuvent adresser leurs demandes directement à privacy@subtasksapp.com. SubTasks évalue la nécessité de désigner un représentant en fonction de l'ampleur et de la nature de ses traitements visant les personnes situées dans l'UE.

15. Modifications de la Politique de confidentialité

Si nous apportons des modifications substantielles à la présente Politique de confidentialité, nous fournirons un préavis d'au moins 30 jours par courriel et par notification dans l'application avant l'entrée en vigueur des modifications. Pour les modifications portant sur le traitement d'informations personnelles sensibles, nous solliciterons votre consentement explicite.

16. Nous contacter

Pour toute question relative à la présente Politique de confidentialité ou à vos données, veuillez nous contacter à privacy@subtasksapp.com. Nous répondrons dans un délai maximal de 30 jours.

Responsable du traitement : Tony Howell (SubTasks) Texas, États-Unis