Politique de Confidentialité

Dernière mise à jour : 1 juillet 2026

1. Données collectées

Nous collectons les informations nécessaires au fonctionnement du service : adresse email, nom d'utilisateur, données de calendrier (avec votre consentement explicite via OAuth), et préférences de langue. Les données de paiement sont gérées par nos prestataires tiers (Stripe / Paddle) et ne transitent jamais par nos serveurs.

2. Finalité du traitement

Vos données sont utilisées pour : l'authentification, la synchronisation de calendrier, la gestion de votre abonnement, et l'amélioration du service. Nous ne vendons jamais vos données personnelles.

3. Données de calendrier (Google Calendar & Microsoft Graph)

Lorsque vous connectez votre compte Google, PosthumanOS demande le scopehttps://www.googleapis.com/auth/calendar.readonly.

Quelles données sont accédées : événements de calendrier sur la fenêtre de travail que vous avez définie (titres, horaires de début/fin, statut free/busy, participants).

Comment elles sont utilisées : uniquement pour calculer votre disponibilité réelle, vos blocs de concentration et votre charge cognitive, puis vous les afficher dans l'interface. Aucune autre utilisation.

Comment elles sont stockées : le traitement est éphémère côté serveur Supabase. Un cache court (≤ 15 minutes) peut être conservé pour éviter de saturer l'API Google. Les tokens OAuth sont chiffrés au repos (AES-256-GCM) avant stockage.

Partage : vos données Google user ne sont jamais vendues, partagées ni transférées à des tiers, sauf obligation légale.

Révocation : vous pouvez déconnecter votre compte Google à tout moment depuis Paramètres → Calendriers → Déconnecter, ou directement depuis myaccount.google.com/permissions. La déconnexion supprime immédiatement les tokens OAuth stockés.

Microsoft Calendar (Microsoft Graph) : lorsque vous connectez votre compte Microsoft, PosthumanOS demande les scopesCalendars.Read,User.Readetoffline_access. Les données accédées (événements de calendrier sur votre fenêtre de travail : titres, horaires, statut free/busy, participants), leur usage (calcul de disponibilité, focus et charge cognitive uniquement), leur stockage (traitement éphémère côté Supabase, cache court ≤ 15 minutes, tokens OAuth chiffrés AES-256-GCM) et les règles de partage (jamais vendues, partagées ou transférées sauf obligation légale) suivent exactement les mêmes principes que pour Google. Vous pouvez révoquer l'accès à tout moment depuis Paramètres → Calendriers → Déconnecter, ou directement depuis myapps.microsoft.com.

4. Limited Use Disclosure (Google API Services)

L'utilisation et le transfert par PosthumanOS des informations reçues depuis les Google APIs respectent la Google API Services User Data Policy, y compris les exigences de Limited Use. En particulier :

  • Vos données Google ne sont jamais utilisées pour de la publicité.
  • Aucun humain ne lit vos données Google, sauf consentement explicite de votre part, pour du support technique, ou obligation légale.
  • Vos données Google ne sont jamais utilisées pour entraîner des modèles d'IA généralisés.
  • Vos données Google ne sont jamais vendues ni transférées à des tiers pour des finalités étrangères au service PosthumanOS.

4 bis. Utilisation des données Microsoft Graph

Les données de calendrier obtenues via Microsoft Graph suivent les mêmes engagements que celles obtenues via Google :

  • Jamais utilisées à des fins publicitaires.
  • Aucun humain ne les lit, sauf consentement explicite, support technique ou obligation légale.
  • Jamais utilisées pour entraîner des modèles d'IA généralisés.
  • Jamais vendues ni transférées à des tiers pour des finalités étrangères au service PosthumanOS.

5. Hébergement et sécurité

Les données sont hébergées sur Supabase (infrastructure cloud sécurisée). Les tokens d'accès aux calendriers externes (Google, Microsoft) sont chiffrés avec AES-256-GCM avant stockage. Nous appliquons le principe du moindre privilège.

5 bis. Notifications (push et e-mail)

Les notifications push et e-mail sont facultatives et paramétrables individuellement dans Paramètres → Notifications. Le push est désactivé par défaut et nécessite votre autorisation explicite dans le navigateur. Si vous l'activez, nous stockons l'adresse technique d'abonnement fournie par votre navigateur (endpoint et clés de chiffrement) afin de vous envoyer les notifications ; elle est supprimée dès que vous désactivez le push. Chaque e-mail de notification contient un lien de désinscription.

6. Durée de conservation

Les données de compte sont conservées tant que votre compte est actif. Vous pouvez supprimer complètement votre compte et vos données à tout moment depuis Paramètres → Confidentialité & données, ou en nous contactant.

7. Droits des utilisateurs

Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, de suppression et de portabilité de vos données. Vous pouvez exercer directement les droits d'export (JSON) et de suppression depuis Paramètres → Confidentialité & données, ou nous contacter à privacy@posthumain.com.

8. Cookies et tracking

Nous utilisons uniquement des cookies techniques nécessaires à l'authentification. Aucun cookie publicitaire ou de suivi tiers n'est déposé.

9. Modifications

Cette politique peut être mise à jour. Les changements significatifs concernant l'usage des données de calendrier (Google et Microsoft) seront notifiés par email avant prise d'effet.

10. Contact

Pour toute question relative à cette politique, contactez-nous à privacy@posthumain.com.