La présente politique explique quelles données personnelles sont traitées lorsque vous utilisez l'application Twenty (« l'Application ») et le site twenty-app.com (« le Site »), à quelles fins, sur quelles bases légales, avec qui elles sont partagées, combien de temps elles sont conservées, et quels sont vos droits.
Notre principe directeur : Twenty est un appareil photo jetable numérique. Vos photos ne sont jamais affichées dans l'application — il n'existe ni galerie, ni aperçu, ni vignette. Nous ne pratiquons aucun profilage publicitaire, n'utilisons aucun outil de pistage ou d'analyse comportementale, et ne vendons jamais vos données.
Fabien Astruc — micro-entrepreneur (régime de la micro-entreprise)
3 rue Anatole France, 34000 Montpellier, France
SIREN : 103 372 678
Contact : aide@twenty-app.com
Compte tenu de la taille de l'activité, la désignation d'un délégué à la protection des données (DPO) n'est pas obligatoire ; vos demandes sont traitées à l'adresse ci-dessus.
Nous limitons la collecte au strict nécessaire au fonctionnement du service.
Date/heure, appareil avant/arrière, flash utilisé, et une localisation approximative arrondie à environ 1 km servant à afficher un nom de ville sur la « fiche d'identité » de la pellicule. Aucune position GPS précise n'est conservée. La localisation est facultative : l'app fonctionne sans, et n'y accède qu'au moment d'une prise de vue.
Adresse postale de livraison, contenu de la commande, montant payé, statut, numéro de suivi lorsqu'il est fourni par le laboratoire.
Les paiements sont traités par Stripe. Nous ne recevons ni ne stockons jamais le numéro complet de votre carte. Nous conservons des identifiants techniques Stripe (identifiant client, identifiant d'abonnement, identifiant de paiement) pour le suivi des commandes et abonnements.
Si vous les acceptez, un jeton de notification (push token) lié à votre appareil, pour vous informer du statut de vos commandes.
Nous ne collectons pas : identifiants publicitaires, contacts, microphone (hors fonctions vidéo non activées), données biométriques, ni aucune donnée à des fins de pistage.
| Finalité | Base légale |
|---|---|
| Créer et gérer votre compte, fournir l'appareil photo, les pellicules, les commandes et l'impression | Exécution du contrat (art. 6.1.b) |
| Sauvegarde cloud de vos photos pour commande/recommande et restauration | Exécution du contrat / intérêt légitime |
| Afficher une ville approximative sur la pellicule | Votre consentement (autorisation de localisation) — facultatif |
| Traiter les paiements, prévenir la fraude, assurer la sécurité | Exécution du contrat ; obligation légale ; intérêt légitime |
| Vous envoyer des e-mails transactionnels (confirmation, statut) | Exécution du contrat |
| Vous envoyer des notifications de statut de commande | Votre consentement (autorisation système) |
| Corriger les bugs à partir d'un rapport de crash que vous nous envoyez | Intérêt légitime |
Nous partageons des données uniquement avec les prestataires nécessaires au service. Aucun ne les utilise à ses propres fins commerciales.
| Prestataire | Rôle | Données concernées | Localisation |
|---|---|---|---|
| Supabase | Base de données, authentification | Compte, commandes, métadonnées | Union européenne (Irlande) |
| Cloudflare | Stockage des photos (R2) + hébergement du site (Pages) | Photos, métadonnées de pellicule | International (clauses contractuelles types) |
| Stripe | Paiements et abonnements | Données de paiement, e-mail, montant | UE / États-Unis (DPA + CCT) |
| Familink | Impression et expédition des tirages | Prénom, nom, adresse postale, photos (liens temporaires) | France (Rouen) |
| Resend | E-mails transactionnels | E-mail, contenu de la commande | États-Unis (CCT) |
| Expo | Notifications push | Jeton de notification | États-Unis (CCT) |
| Apple / Google | Connexion (fournisseurs d'identité) | E-mail, identifiant de connexion | International |
Ce qui est transmis au laboratoire d'impression (Familink) : uniquement le prénom, le nom, la rue, le code postal, la ville et le pays du destinataire, ainsi que vos photos via des liens de téléchargement temporaires valables 7 jours. Ne sont pas transmis : votre e-mail, votre téléphone, vos identifiants de paiement ou votre identifiant de compte.
Nous ne vendons ni ne louons vos données. Nous pouvons les divulguer si la loi l'exige (réquisition judiciaire) ou pour protéger nos droits.
Certains prestataires (Stripe, Resend, Expo, Apple, Google, Cloudflare) peuvent traiter des données en dehors de l'UE, notamment aux États-Unis. Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne et/ou certifications applicables).
Les échanges se font via des connexions chiffrées (HTTPS/TLS) et les données sont stockées sur des infrastructures qui chiffrent les données au repos. L'accès aux données est cloisonné par des règles de sécurité au niveau de la base (RLS) : chaque utilisateur n'accède qu'à ses propres données.
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, ainsi que du droit de retirer votre consentement à tout moment.
Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
L'Application n'est pas destinée aux enfants. Vous devez avoir au moins 15 ans pour l'utiliser ; en deçà de 18 ans, l'utilisation suppose l'accord d'un titulaire de l'autorité parentale.
Nous pouvons mettre à jour cette politique. La date de dernière mise à jour figure en tête. En cas de changement important, nous vous en informerons par un moyen approprié.