Aller au contenu principal

Politique de confidentialité

Dernière mise à jour : 5 mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est Mon Chez Toit SRL (nom commercial : Trinqo), numéro de TVA BE0885913767.

Point de contact RGPD : privacy@trinqo.app. Aucun Délégué à la protection des données (DPO) formel n'est désigné — Trinqo ne remplit pas les critères d'obligation de désignation prévus à l'article 37 du RGPD.

2. Données collectées

Nous collectons les données suivantes :

  • Données de compte : adresse email, nom d'affichage (facultatif)
  • Données de dégustation : nom, producteur, notes, photos, évaluations
  • Données de paiement : traitées exclusivement par Stripe (nous ne stockons aucun numéro de carte)
  • Données techniques : adresse IP, type de navigateur, pages visitées

3. Finalités du traitement

Vos données sont utilisées pour :

  • Créer et gérer votre compte utilisateur
  • Enregistrer et afficher vos dégustations
  • Gérer votre abonnement et vos paiements
  • Vous envoyer des emails transactionnels (confirmation de paiement, notifications). Trinqo n'envoie aucun email marketing ou newsletter sans votre consentement explicite préalable
  • Table Realtime : les propositions de vin et votes partagés dans une session Table sont visibles par tous les participants de la session. Les invités (guests) utilisent un jeton d'accès temporaire (non personnel). Les données de session sont supprimées 24 h après l'expiration de la session (sauf sessions sauvegardées par le titulaire du compte)
  • Partage en story (9:16) : vous pouvez partager une dégustation publique sous forme d'image 9:16 sur les réseaux sociaux. L'image est générée à la demande par notre API et servie via un CDN (cache 1 an, immutable). Elle ne peut être retirée qu'en repassant la dégustation en visibilité privée (l'URL redevient alors 404)
  • Améliorer le fonctionnement du service

4. Base légale

Le traitement de vos données repose sur l'exécution du contrat (utilisation du service) et votre consentement (création de compte). Pour les données de paiement, le traitement est nécessaire à l'exécution du contrat d'abonnement.

5. Sous-traitants

Vos données sont traitées par les sous-traitants suivants :

  • Supabase (Union européenne, Irlande) — Hébergement base de données et authentification
  • Vercel (États-Unis) — Hébergement de l'application
  • Stripe (Irlande) — Traitement des paiements
  • Brevo (France) — Envoi d'emails transactionnels
  • Google (États-Unis) — Analyse d'images et OCR via l'API Gemini
  • Mistral AI (France) — OCR/reconnaissance d'étiquettes via l'API Pixtral Vision
  • Anthropic (États-Unis) — Analyse d'images IA (OCR fallback) via l'API Claude
  • Sentry (États-Unis) — Monitoring et suivi d'erreurs applicatives
  • Upstash (États-Unis) — Rate limiting et protection anti-abus
  • PostHog (UE — Francfort) — Analytique produit respectueuse de la vie privée (sans cookies, données en mémoire uniquement)
  • Open Food Facts (France) — Enrichissement des données vin (code-barres EAN, image, pays d'origine, degré d'alcool)
  • OpenAI (États-Unis) — Génération d'embeddings pour la recherche de vins similaires (modèle text-embedding-3-small)
  • Meta Platforms Ireland Ltd. (Irlande / États-Unis) — Mesure d'audience publicitaire et retargeting via Meta CAPI côté serveur (Facebook/Instagram Ads), uniquement si vous n'avez pas activé l'opt-out analytique

6. Transferts hors UE

Certains sous-traitants traitent vos données en dehors de l'Union européenne. Les garanties suivantes encadrent ces transferts :

  • Supabase (Union européenne, Irlande) — hébergement base de données, données traitées dans l'UE (RGPD Art. 46 non applicable)
  • Vercel (États-Unis) — hébergement application, Data Privacy Framework (DPF)
  • Stripe (États-Unis) — paiement, certifié Data Privacy Framework (DPF)
  • Brevo (France/UE) — emails transactionnels, pas de transfert hors UE
  • Google (États-Unis) — analyse d'images/OCR via Gemini, clauses contractuelles types (SCC)
  • Mistral AI (France/UE) — OCR, pas de transfert hors UE
  • Anthropic (États-Unis) — analyse d'images/OCR fallback via Claude, clauses contractuelles types (SCC)
  • Sentry (États-Unis) — monitoring, clauses contractuelles types (SCC)
  • Upstash (États-Unis) — rate limiting, clauses contractuelles types (SCC)
  • PostHog (UE — Francfort) — analytique produit, données traitées dans l'UE (RGPD Art. 46 non applicable)
  • Open Food Facts (France) — enrichissement données, base de données open source, pas de transfert hors UE
  • OpenAI (États-Unis) — embeddings pour recherche de vins similaires, clauses contractuelles types (SCC)
  • Meta Platforms Ireland Ltd. (Irlande, données transférées vers Meta Platforms Inc. aux États-Unis) — Meta CAPI côté serveur pour mesure de conversion publicitaire et retargeting, clauses contractuelles types (SCC)

7. Durée de conservation

  • Données de profil et dégustations : durée du compte, supprimées immédiatement à la suppression du compte
  • Collections et partages : durée du compte, supprimés immédiatement à la suppression du compte
  • Invitations : 90 jours après expiration de l'invitation, puis supprimées automatiquement
  • Relations d'amitié : durée du compte, supprimées immédiatement à la suppression du compte
  • Corrections de vins soumises : durée du compte, supprimées immédiatement à la suppression du compte
  • Tickets support : 2 ans après clôture du ticket, puis anonymisées (conservation des données en cas de litige ou d'audit légal)
  • Notifications push (abonnements) : supprimées immédiatement à la désinscription, ou après 1 an d'inactivité (lorsque la notification ne peut plus être délivrée)
  • Sessions (table_sessions) : 24 heures après expiration de la session. Les sessions sauvegardées par l'utilisateur sont conservées tant que le compte est actif
  • Photos d'étiquettes : durée du compte, supprimées immédiatement à la suppression du compte
  • Données de paiement : conservées par Stripe selon leur politique (voir stripe.com/privacy)
  • Logs techniques (Sentry) : 90 jours. Aucune donnée personnelle n'est envoyée (configuration sendDefaultPii: false — pas d'email, pas d'IP, pas d'identifiant utilisateur)
  • Logs d'utilisation IA (ai_usage_logs) : 90 jours (purge automatique)
  • Événements de facturation (billing_events) : conservés de façon anonyme pendant 7 ans après la suppression de votre compte (obligation comptable belge — Art. 6.1.c RGPD). Après suppression du compte, votre identifiant est remplacé par NULL (aucune donnée ne peut être reliée à vous)

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données personnelles
  • Rectification : corriger vos données inexactes
  • Suppression : demander l'effacement de vos données
  • Portabilité (Art. 20) : vous pouvez exporter vos données personnelles dans un format structuré et lisible par machine depuis les paramètres de votre compte
  • Opposition : vous opposer au traitement de vos données
  • Limitation : demander la limitation du traitement

Pour exercer vos droits, contactez-nous à privacy@trinqo.app. Nous répondrons dans un délai de 30 jours.

9. Cookies et analytique

Trinqo utilise uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ou de traçage n'est utilisé. Aucun consentement n'est requis pour ces cookies conformément à la directive ePrivacy.

  • Cookie de session Supabase : authentification de l'utilisateur connecté (cookie de session, strictement nécessaire, expire à la fermeture du navigateur)
  • trinqo-locale : mémorisation de la langue choisie par l'utilisateur (cookie fonctionnel, strictement nécessaire, expire après 7 jours d'inactivité)

L'outil d'analytique PostHog est hébergé dans l'UE (Francfort) et configuré en mode cookieless natif (persistence: 'memory') : aucun cookie, aucun stockage local ni empreinte numérique n'est créé sur votre appareil. L'adresse IP n'est pas transmise à PostHog (ip: false). L'autocapture des clics est désactivée (autocapture: false). Aucun profil n'est créé pour les visiteurs anonymes (person_profiles: 'identified_only'). La base légale est l'intérêt légitime de Trinqo à améliorer son service (Art. 6.1.f RGPD), conformément à l'exemption analytics de la CNIL — aucun consentement n'est requis. Vous pouvez vous opposer à cette collecte depuis la page Paramètres de votre compte.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement HTTPS, authentification sécurisée, accès restreint aux données, politiques de sécurité au niveau de la base de données.

11. Réclamation

Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de l'Autorité de protection des données belge : www.autoriteprotectiondonnees.be

12. Open Food Facts

Lorsque vous utilisez la fonctionnalité de scan de code-barres, Trinqo interroge le service Open Food Facts pour enrichir la fiche produit.

  • Données envoyées : code-barres EAN du produit
  • Données reçues : nom du produit, marque, catégorie
  • Base légale : intérêt légitime (améliorer la fiche produit)
  • Conditions d'utilisation Open Food Facts : world.openfoodfacts.org/terms-of-use

13. Violation de données (Art. 33 RGPD)

En cas de violation de données à caractère personnel, Trinqo applique la procédure suivante :

  • Détection : alertes Sentry en temps réel
  • Notification à l'APD : dans les 72 heures suivant la détection, notification à l'Autorité de protection des données belge (www.autoriteprotectiondonnees.be)
  • Information des personnes concernées : si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (Art. 34 RGPD)
  • Contact : info@trinqo.app

14. Scan d'étiquette par intelligence artificielle

Lorsque vous utilisez la fonctionnalité de scan d'étiquette, Trinqo envoie la photo de l'étiquette à des services d'IA tiers pour en extraire automatiquement les informations du vin (nom, producteur, région, millésime, cépages).

  • Données envoyées : photo de l'étiquette de vin
  • Données reçues : informations extraites (nom du vin, producteur, région, millésime, cépages, degré d'alcool)
  • Base légale : exécution du contrat (fonctionnalité principale du service)
  • Conservation de la photo : la photo est transmise en temps réel à l'API du service IA et n'est PAS conservée par le prestataire après traitement
  • Services IA utilisés : Google Gemini (principal), Mistral Pixtral Vision (secondaire), Anthropic Claude (fallback)
  • Données personnelles dans la photo : la photo peut accidentellement contenir des éléments visuels (arrière-plan, reflets). Évitez d'inclure des éléments d'identification personnelle dans vos photos d'étiquette

15. Données d'utilisation IA

Trinqo collecte des données techniques liées à l'utilisation des fonctionnalités d'intelligence artificielle :

  • Finalité : amélioration du service et monitoring des coûts opérationnels
  • Base légale : intérêt légitime (Art. 6.1.f RGPD) — optimisation et surveillance du service IA
  • Données collectées : type de requête, modèle IA utilisé, nombre de tokens, durée de traitement
  • Ce qui n'est PAS collecté : le contenu des conversations, les photos transmises, les données personnelles
  • Durée de conservation : 90 jours, puis purge automatique

16. Meta CAPI côté serveur (Facebook/Instagram Ads)

Trinqo utilise la Meta Conversions API (CAPI) de Meta Platforms Ireland Ltd. pour mesurer les conversions de ses campagnes publicitaires Facebook/Instagram. Contrairement au Meta Pixel client, ce traitement est réalisé entièrement côté serveur : aucun script Meta n'est chargé sur votre navigateur et aucun cookie Meta n'est déposé. Ce traitement n'est activé que si vous n'avez pas activé l'opt-out analytique dans les paramètres de votre compte.

  • Sous-traitant : Meta Platforms Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlande), avec transfert vers Meta Platforms Inc. (États-Unis)
  • Finalité : mesure d'audience publicitaire, attribution des conversions (inscription, abonnement), ciblage et retargeting sur Facebook/Instagram
  • Base légale : intérêt légitime (Art. 6.1.f RGPD) — mesure d'efficacité publicitaire réalisée côté serveur sans dépôt de cookies tiers
  • Données transmises : URL des pages concernées, événements de conversion (PageView, Lead, CompleteRegistration, StartTrial, Subscribe), adresse IP et User-Agent (transmis en clair à Meta à des fins de correspondance des événements de conversion — ces données techniques ne constituent pas des données personnelles directes), identifiants de cookie publicitaire Meta (_fbc, _fbp) si présents dans votre navigateur. Aucune donnée personnelle directe (email, identifiant utilisateur, mot de passe) n'est transmise par Trinqo à Meta
  • Durée de conservation : selon la politique de Meta (événements de conversion : 28 jours par défaut pour l'attribution). Aucune conservation côté Trinqo.
  • Transfert hors UE : oui — vers Meta Platforms Inc. aux États-Unis, encadré par les clauses contractuelles types (SCC) de la Commission européenne
  • Mécanisme d'opt-out : vous pouvez à tout moment désactiver ce traitement depuis la page Paramètres > Confidentialité de votre compte Trinqo. En cas d'opt-out, aucun événement n'est envoyé à Meta.
  • Politique Meta : vous pouvez consulter la politique de confidentialité de Meta sur facebook.com/privacy/policy et gérer vos préférences publicitaires dans les paramètres de votre compte Facebook/Instagram

17. Profilage gustatif automatisé (Art. 22 RGPD)

Trinqo calcule automatiquement votre profil gustatif (user_taste_profile) à partir de vos dégustations enregistrées. Ce profilage individuel constitue un traitement automatisé au sens de l'Art. 22 RGPD.

  • Logique du traitement : à chaque dégustation enregistrée, Trinqo agrège vos notes (acidité, tannins, structure/corps, sucrosité, élevage en fût, minéralité, score d'aventure) et vos cépages/régions favoris pour calculer des scores de préférence (prefers_acidity, prefers_tannins, prefers_body, etc.)
  • Données utilisées : notes de dégustation, cépages, régions, styles de vins, évaluations enregistrées dans votre compte
  • Finalité et conséquences : ce profil personnalise exclusivement les recommandations du sommelier virtuel et les accords mets-vins. Il n'est pas utilisé pour des décisions à effets significatifs (pas de tarification dynamique, pas de refus de service, pas de discrimination, aucune décision automatisée sans intervention humaine produisant des effets juridiques)
  • Base légale : exécution du contrat (Art. 6.1.b RGPD) — cette personnalisation est une fonctionnalité centrale du service
  • Durée de conservation : durée du compte, supprimé immédiatement à la suppression du compte
  • Droit d'opposition (Art. 21 et 22 RGPD) : vous pouvez vous opposer à ce profilage à tout moment. Pour exercer ce droit, contactez privacy@trinqo.app : votre profil gustatif sera supprimé et vos dégustations ne seront plus utilisées pour personnaliser les recommandations. La suppression de votre compte depuis le tableau de bord (Paramètres > Supprimer mon compte) entraîne également la suppression immédiate du profil gustatif
  • Vos autres droits : vous pouvez à tout moment demander l'accès, la rectification ou la portabilité de votre profil gustatif en contactant privacy@trinqo.app

18. Photos temporaires de scan sans compte (bucket try-photos-temp)

Lorsqu'un visiteur non inscrit utilise la fonctionnalité d'essai du scan d'étiquette (parcours /try), la photo capturée est déposée temporairement dans un espace de stockage dédié hébergé par Supabase (Irlande, Union européenne) afin de permettre la génération d'une image de partage au format story 9:16 (Instagram/Facebook) via notre service de rendu (Satori).

  • Finalité : permettre la génération à la volée d'une image 9:16 de type story partageable sur les réseaux sociaux, sans création de compte
  • Base légale : intérêt légitime (Art. 6.1.f RGPD) — proposer l'essai produit et le partage viral sans obliger l'utilisateur à créer un compte
  • Données stockées : photo d'étiquette de vin prise par le visiteur. Aucune donnée d'identification directe (email, nom) n'est associée à la photo
  • Destinataire : Supabase (stockage interne) et le navigateur de l'utilisateur qui a demandé la génération. Aucune transmission publique
  • Hébergement : Supabase, région UE — Irlande (aucun transfert hors UE)
  • Durée de conservation : 1 heure maximum. La suppression est automatique via une tâche planifiée (pg_cron) qui vide le bucket après expiration
  • Vos droits : compte tenu de la durée ultra-courte et de l'absence d'identifiant, l'exercice individuel des droits n'est pas applicable en pratique. En cas de demande, contactez privacy@trinqo.app

19. Chat IA sommelier sans compte (askGuestSommelier)

Le parcours d'essai /try propose un mini-chat avec le sommelier virtuel, accessible sans création de compte. Les questions du visiteur et les métadonnées du vin scanné sont transmises à l'API Google Gemini pour produire la réponse.

  • Finalité : permettre au visiteur d'essayer la fonctionnalité sommelier avant inscription
  • Base légale : intérêt légitime (Art. 6.1.f RGPD) — démonstration produit sans collecte préalable de données de compte
  • Données transmises à Google Gemini : nom du vin, producteur, appellation, millésime si disponible, et le texte de la question du visiteur. Aucune donnée personnelle du visiteur (prénom, email, identifiant) n'est envoyée — le champ « name » présent dans le prompt correspond au nom du vin, pas à celui de l'utilisateur
  • Destinataire : Google Ireland Ltd. (Irlande), avec traitement possible par Google LLC (États-Unis) encadré par les clauses contractuelles types (SCC)
  • Rate-limiting : pour prévenir les abus, une limite par adresse IP est appliquée en mémoire éphémère (Upstash, non journalisée au-delà de la fenêtre de comptage)
  • Conservation : aucune conservation côté Trinqo des questions ou des réponses du chat. Côté Google Gemini, voir la politique Gemini API (ai.google.dev/gemini-api/terms)
  • Vos droits : pour exercer vos droits ou demander des informations complémentaires, contactez privacy@trinqo.app

20. Conservation des photos prises sur /try (mode invité)

Lorsqu'un visiteur non inscrit utilise le scan d'étiquette en mode invité (parcours /try), la photo capturée peut être conservée pendant 7 jours à des fins d'amélioration de la qualité de reconnaissance.

  • Quoi : photo d'étiquette de vin prise lors d'un scan en mode invité (sans compte)
  • Pourquoi : amélioration de la qualité de reconnaissance (OCR, base de vins, prix estimés). Les photos permettent d'identifier et de corriger les cas d'échec ou d'identification incorrecte
  • Durée de conservation : 7 jours maximum, suppression automatique à l'issue. Cas exceptionnel : conservation jusqu'à 30 jours pour analyse qualité documentée
  • Base légale : intérêt légitime (Art. 6.1.f RGPD) — amélioration de la précision d'un service d'identification, conformément au principe de minimisation (Art. 5.1.c RGPD)
  • Données associées : nom du vin extrait, producteur, millésime, appellation, prix estimé, score de confiance, ville GeoIP (jamais l'adresse IP complète)
  • Accès : équipe Trinqo uniquement, via des URLs signées à durée limitée. Bucket privé, aucun accès public
  • Pas d'entraînement de modèle : les photos ne sont pas utilisées pour entraîner ou affiner un modèle d'IA sans votre consentement explicite
  • Vos droits : vous pouvez demander la suppression de votre photo à privacy@trinqo.app. Précisez la date et l'heure approximative du scan

21. Capture PostHog des tentatives d'inscription

Lors de la soumission du formulaire d'inscription, un identifiant anonyme et des propriétés non personnelles sont envoyés à PostHog (outil d'analyse produit) avant que le compte ne soit créé côté serveur. Cette capture intervient intentionnellement avant l'appel serveur afin de permettre la détection et la relance des inscriptions perdues en cas d'incident technique (fail silencieux, erreur serveur non remontée à l'utilisateur).

  • Quoi : identifiant anonyme dérivé d'un hash SHA-256 des 16 premiers caractères de l'email (non réversible), propriétés booléennes has_email et marketing_opt_in
  • Ce qui n'est PAS envoyé : l'adresse email en clair, le mot de passe, le prénom, le nom, aucune donnée permettant l'identification directe
  • Pourquoi : détection des inscriptions perdues lors d'incidents techniques (fail serveur silencieux) et relance commerciale ciblée en cas d'incident avéré
  • Durée de conservation : 7 ans (durée par défaut PostHog), supprimable sur demande à privacy@trinqo.app
  • Base légale : intérêt légitime (Art. 6.1.f RGPD) — amélioration de la fiabilité du service et réduction de la perte d'utilisateurs due à des défaillances techniques
  • Données associées : hash email (16 hex chars, non réversible), marketing_opt_in (booléen), has_email (booléen), horodatage
  • Vos droits : vous pouvez demander la suppression de cet enregistrement à privacy@trinqo.app en précisant la date approximative de votre tentative d'inscription
← Retour à l'accueil