Légal
Politique de confidentialité
Dernière mise à jour : 16 mars 2026
La présente politique de confidentialité décrit comment Mimosa (« nous », « notre », « l'Application ») collecte, utilise et protège vos données personnelles lorsque vous utilisez l'application mobile Mimosa.
Nous nous engageons à protéger votre vie privée conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » modifiée.
1. Responsable du traitement
Kévin Dehoux — Personne physique
E-mail : hello@mimosahq.com
En raison de la taille de notre structure, nous n'avons pas désigné de Délégué à la Protection des Données (DPO). Pour toute question relative à vos données personnelles, vous pouvez nous contacter directement à l'adresse ci-dessus.
2. Données collectées
Nous collectons les données suivantes, strictement nécessaires au fonctionnement du service :
2.1 Données d'identification
- Nom et adresse e-mail — fournis lors de la création de votre compte (via e-mail, Apple Sign In ou Google Sign In).
- Identifiant utilisateur — généré automatiquement pour associer vos données à votre compte.
- Photo de profil — optionnelle, issue de votre compte Apple ou Google le cas échéant.
2.2 Contenu utilisateur
- Recettes — importées ou créées manuellement (titre, ingrédients, instructions, images).
- Plannings de repas — vos planifications hebdomadaires.
- Listes de courses — générées à partir de vos recettes.
- Collections — organisation personnalisée de vos recettes.
- Échanges avec Marcel — vos conversations avec l'assistant culinaire intégré.
- Photos — images de recettes que vous choisissez d'importer ou de photographier.
2.3 Données d'achat
- Historique d'abonnement — statut de votre abonnement Pro (actif, expiré, essai gratuit), géré par l'App Store via le prestataire RevenueCat. Aucune donnée bancaire n'est collectée par Mimosa.
2.4 Données d'utilisation
- Interactions avec le produit — événements anonymisés (pages visitées, fonctionnalités utilisées) collectés via PostHog, hébergé dans l'Union Européenne (Francfort, Allemagne).
2.5 Données de diagnostic
- Rapports de plantage — collectés via Firebase Crashlytics pour améliorer la stabilité de l'Application. Ces données techniques ne sont pas associées à votre identité.
2.6 Données non collectées
Nous ne collectons pas :
- Données de géolocalisation.
- Données bancaires ou de paiement.
- Contacts, calendrier ou autres données de votre appareil.
- Identifiants publicitaires (IDFA).
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Fonctionnement du service | Exécution du contrat (art. 6.1.b) | Identification, contenu utilisateur |
| Gestion des abonnements | Exécution du contrat (art. 6.1.b) | Données d'achat |
| Amélioration du produit | Consentement (art. 6.1.a) | Données d'utilisation |
| Stabilité et débogage | Intérêt légitime (art. 6.1.f) | Données de diagnostic |
4. Stockage et sécurité des données
Vos données sont stockées de manière sécurisée sur nos serveurs hébergés par Amazon Web Services (AWS) dans l'Union Européenne (région Irlande). Un cache local est conservé sur votre appareil pour permettre un accès rapide, y compris hors connexion.
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (HTTPS/TLS).
- Chiffrement des données au repos (AES-256).
- Authentification sécurisée via Firebase Authentication (protocoles OAuth 2.0 et OpenID Connect).
- Accès restreint aux données de production (principe du moindre privilège).
- Journalisation des accès pour la détection d'incidents.
5. Sous-traitants et transferts de données
Nous faisons appel aux sous-traitants suivants :
| Service | Finalité | Localisation | Garanties |
|---|---|---|---|
| Firebase (Google) | Authentification, crashlytics | UE / USA | SCC + DPF |
| PostHog | Analytics produit | UE (Francfort) | Hébergement UE |
| RevenueCat | Gestion des abonnements | USA | SCC + DPF |
| AWS (Amazon) | Hébergement, stockage | UE (Irlande) | Hébergement UE |
| AWS Bedrock (Amazon) | Assistant culinaire Marcel, import de recettes | UE (Irlande) | Hébergement UE |
SCC = Clauses Contractuelles Types approuvées par la Commission européenne. DPF = EU-U.S. Data Privacy Framework.
Les transferts hors de l'Union Européenne sont encadrés par les mécanismes appropriés conformément au chapitre V du RGPD. Nous nous assurons que chaque sous-traitant offre des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
6. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Tant que le compte est actif, puis supprimées sous 30 jours après demande de suppression |
| Contenu utilisateur | Supprimé avec le compte |
| Données d'analytics | 24 mois maximum, sous forme agrégée et anonymisée |
| Rapports de plantage | 90 jours |
| Conversations Marcel | Supprimées avec le compte, non conservées par le sous-traitant au-delà de 30 jours |
7. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) — corriger vos données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) — demander la suppression de vos données. Vous pouvez supprimer votre compte directement depuis l'Application (Profil → Supprimer mon compte).
- Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (art. 21) — vous opposer au traitement de vos données, notamment à des fins d'analytics (désactivable dans l'Application).
- Droit à la limitation (art. 18) — demander la limitation du traitement dans les cas prévus par le RGPD.
- Droit de retirer votre consentement — à tout moment pour les traitements fondés sur le consentement, sans que cela n'affecte la licéité du traitement antérieur.
Pour exercer vos droits, contactez-nous à hello@mimosahq.com. Nous nous engageons à répondre dans un délai d'un mois conformément au RGPD. Ce délai peut être prolongé de deux mois en cas de complexité de la demande, auquel cas vous en serez informé(e).
Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle compétente en France.
8. Décision automatisée
Mimosa n'effectue aucune prise de décision automatisée ni profilage au sens de l'article 22 du RGPD ayant des effets juridiques ou significatifs sur vous. L'assistant Marcel fournit des suggestions culinaires à titre informatif uniquement, sans impact sur vos droits ou votre accès au service.
9. Opt-out analytics
Vous pouvez désactiver la collecte de données d'utilisation directement dans l'Application : Profil → Partage des données d'utilisation. Lorsque cette option est désactivée, aucun événement d'analytics n'est envoyé à PostHog. Cette désactivation n'affecte pas le fonctionnement de l'Application.
10. Cookies et traceurs
L'application mobile Mimosa n'utilise pas de cookies. Les identifiants de session sont gérés par les SDK d'authentification et d'analytics selon les standards de chaque plateforme (Keychain sur iOS).
Le site web mimosahq.com n'utilise aucun cookie tiers ni traceur publicitaire.
11. Mineurs
Mimosa n'est pas destinée aux enfants de moins de 15 ans (conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, qui fixe cet âge à 15 ans en France). Nous ne collectons pas sciemment de données de mineurs de moins de 15 ans.
Si vous êtes parent ou tuteur et pensez qu'un mineur nous a fourni des données personnelles, contactez-nous immédiatement à hello@mimosahq.com afin que nous procédions à leur suppression.
12. Notification de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais conformément à l'article 34 du RGPD, en complément de la notification à la CNIL prévue à l'article 33.
13. Modifications
Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, vous serez informé(e) via l'Application et/ou par e-mail au moins 15 jours avant l'entrée en vigueur des modifications. La date de dernière mise à jour est indiquée en haut de cette page.
14. Contact
Pour toute question relative à cette politique de confidentialité ou à la protection de vos données personnelles :
hello@mimosahq.com