Vos données, notre engagement

Politique de confidentialité

Dernière mise à jour : 1er mai 2026 · Conforme au Règlement (UE) 2016/679 (RGPD)

L'essentiel en 30 secondes

  • • Nous collectons uniquement ce qui est nécessaire au service (email, recettes, paiement).
  • • Vos coordonnées bancaires ne transitent jamais par nos serveurs (Stripe certifié PCI-DSS).
  • • Nous ne revendons pas vos données. Jamais. À personne.
  • • Vous gardez le contrôle : accès, rectification, suppression, portabilité — un email suffit.
  • • Données hébergées dans l'Union européenne dès que possible.

1. Responsable de traitement

Le responsable du traitement des données est Un Interlude, société par actions simplifiée unipersonnelle (SASU) immatriculée sous le SIREN 880 245 931, éditrice du service Thermoremix.ai. Pour toute question relative à vos données personnelles, contactez-nous à hello@thermoremix.ai.

2. Données que nous collectons

Nous appliquons le principe de minimisation : nous collectons uniquement les données strictement nécessaires au fonctionnement du service.

Identité et compte

Email, nom d'utilisateur, mot de passe (haché bcrypt — jamais stocké en clair), modèle Thermomix® possédé, langue préférée. Si connexion via Google ou Apple : identifiant unique fourni par le prestataire et email associé.

Contenus que vous nous confiez

Recettes que vous soumettez (texte, URL, photos, descriptions), recettes adaptées stockées dans votre carnet, notes et commentaires. Les photos sont conservées le temps de la conversion puis supprimées après 30 jours, sauf si vous les enregistrez avec une recette.

Données de paiement

Identifiant client Stripe, identifiant d'abonnement, plan choisi, statut de paiement. Les coordonnées bancaires (numéro de carte, CVV, IBAN) ne transitent jamais par nos serveurs — Stripe les collecte et stocke directement, conformément à la norme PCI-DSS niveau 1.

Données techniques et d'usage

Adresse IP (anonymisée après 30 jours), pays/ville approximatifs déduits de l'IP, type d'appareil, navigateur, événements d'usage du service (pages vues, conversions lancées) à des fins d'amélioration produit.

3. Finalités et base légale

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale précise :

  • Exécution du contrat — création et gestion de votre compte, conversion de recettes, gestion des abonnements et paiements (art. 6.1.b RGPD).
  • Obligations légales — conservation des factures pendant 10 ans (article L.123-22 du Code de commerce), traçabilité fiscale.
  • Intérêt légitime — sécurité du service, prévention de la fraude, amélioration produit basée sur les statistiques d'usage agrégées (art. 6.1.f).
  • Consentement — séquence d'emails post-inscription (résiliable en 1 clic via le lien « se désinscrire »), cookies non essentiels (art. 6.1.a).

4. Sous-traitants et transferts

Nous faisons appel à un nombre limité de sous-traitants sélectionnés pour leur niveau de sécurité et leur conformité RGPD. Ils n'ont accès à vos données que dans la limite de leur mission.

Sous-traitantFinalitéLocalisation
Stripe Payments Europe Ltd.Encaissement des paiementsIrlande (UE)
MongoDB AtlasHébergement de la base de donnéesUE (Francfort)
Heroku (Salesforce, Inc.)Hébergement applicatifUE (Dublin)
Google Gemini APIConversion automatique des recettesUSA
OVH SASEnvoi des emails transactionnelsFrance (UE)
Google / Apple OAuthConnexion sociale (optionnelle)USA

Les transferts vers les États-Unis (Google, Apple) sont encadrés par les clauses contractuelles types adoptées par la Commission européenne et, lorsqu'applicable, par le cadre Data Privacy Framework (CE 2023/1795) certifiant les sous-traitants américains concernés.

5. Combien de temps conservons-nous vos données ?

  • Compte actif : tant que vous utilisez le service.
  • Compte inactif : 24 mois sans connexion → email d'avertissement, puis suppression automatique 30 jours plus tard.
  • Photos uploadées non sauvegardées : 30 jours après la conversion.
  • Factures et données de facturation : 10 ans (obligation légale comptable).
  • Logs techniques et IP : 30 jours, puis anonymisation.
  • Compte supprimé sur demande : suppression immédiate des données identifiantes ; les factures sont conservées sous forme anonymisée.

6. Vos droits

En application des articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès — obtenir une copie des données que nous détenons sur vous.
  • Droit de rectification — corriger les informations inexactes (modifiable directement depuis votre espace).
  • Droit à l'effacement — supprimer votre compte et vos données (« droit à l'oubli »).
  • Droit à la portabilité — récupérer vos recettes et données dans un format lisible (export JSON ou CSV).
  • Droit d'opposition — refuser certains traitements fondés sur l'intérêt légitime (analytics).
  • Droit à la limitation — geler temporairement le traitement de vos données.
  • Droit de retirer votre consentement — à tout moment pour les emails marketing.
  • Directives post-mortem — vous pouvez nous indiquer le sort de vos données après votre décès.

Pour exercer ces droits, écrivez à hello@thermoremix.ai en précisant l'objet de votre demande. Nous répondrons dans un délai d'un mois maximum. Une pièce d'identité pourra vous être demandée pour vérifier votre identité.

7. Cookies et stockage local

Le service utilise un nombre minimal de mécanismes de stockage côté navigateur :

  • JWT de session (essentiel) — stocké localement pour vous maintenir connecté. Non partagé avec des tiers.
  • Identifiant de session anonyme (essentiel) — UUID généré pour suivre votre tunnel d'inscription avant création de compte.
  • Préférence de langue (essentiel) — pour vous afficher l'interface dans la bonne langue.

Nous n'utilisons aucun cookie publicitaire, aucun pixel de tracking tiers (Facebook, TikTok, etc.), ni aucun outil d'analytics externe (Google Analytics). Notre suivi d'usage est entièrement first-party et anonymisé.

8. Sécurité

Toutes les communications sont chiffrées en transit (HTTPS/TLS 1.2+). Les mots de passe sont hachés avec bcrypt (algorithme à coût adaptatif). Les jetons d'authentification sont signés avec un secret stocké en variable d'environnement, jamais dans le code source. L'accès aux bases de données est restreint par IP et requiert une authentification. En cas de violation de données affectant vos droits et libertés, nous vous notifierons dans les 72 heures conformément à l'article 34 du RGPD.

9. Mineurs

Conformément à l'article 8 du RGPD et à la loi française, le service est ouvert aux personnes de 16 ans et plus. Les utilisateurs de moins de 16 ans doivent obtenir le consentement préalable d'un parent ou tuteur. Si nous découvrons qu'un compte a été créé par un mineur sans consentement parental, nous le supprimerons.

10. Modification de cette politique

Cette politique peut être mise à jour pour refléter des évolutions légales ou techniques. En cas de modification substantielle, vous serez informé par email avec un préavis de 30 jours. La version la plus récente est toujours accessible à cette URL.

11. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés malgré une demande adressée à Thermoremix.ai, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.

Retour à l'accueil