TipsYou

Politique de Confidentialité

1. Introduction

  • La présente Politique de Confidentialité a pour objectif d'informer les utilisateurs de l'application mobile TipsYou (ci-après « l'Application ») sur la manière dont leurs données personnelles sont collectées, utilisées, partagées et protégées. Elle est conforme aux dispositions du Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et aux lois françaises en vigueur, notamment la loi Informatique et Libertés du 6 janvier 1978 modifiée.

2. Identité du Responsable de Traitement

  • Le responsable du traitement des données est la société HumanX, société par actions simplifiée (SAS) immatriculée au Registre du Commerce et des Sociétés (RCS) de Bobigny sous le numéro 931 308 704, dont le siège social est situé au 48 Boulevard Jean Moulin, 93190 Livry-Gargan, France.
  • Contact : support@tipsyou.fr

3. Données Collectées

  • 3.1. Données d'identification : nom, prénom, adresse e-mail, date de naissance, pays de résidence.
  • 3.2. Données d'authentification : mot de passe (stocké sous forme chiffrée), identifiants Google Sign-In ou Apple Sign-In le cas échéant.
  • 3.3. Données financières : montants des pourboires reçus, historique des transactions, historique des virements bancaires, solde du compte. Les coordonnées bancaires (IBAN) sont collectées et gérées directement par notre prestataire de paiement Stripe ; HumanX n'y a pas accès et ne les stocke pas.
  • 3.4. Photo de profil : image téléchargée par l'utilisateur depuis son appareil photo ou sa galerie.
  • 3.5. Données techniques : adresse IP, type d'appareil, système d'exploitation, identifiant de l'appareil, jetons d'authentification.
  • 3.6. Données de notification : jetons Firebase Cloud Messaging (FCM) permettant l'envoi de notifications push sur vos appareils.
  • 3.7. Données relatives aux équipes : appartenance à une équipe, rôle (chef ou membre), historique des distributions, participation aux répartitions.
  • 3.8. Données de support : contenu des messages échangés avec notre service de support via l'Application.
  • 3.9. Données de vérification d'identité : les documents d'identité et informations KYC (Know Your Customer) sont collectés et traités directement par notre prestataire de paiement Stripe. HumanX ne stocke pas ces documents.

4. Bases Légales du Traitement

  • 4.1. Exécution du contrat (article 6.1.b du RGPD) : traitement des transactions financières, gestion de votre compte, fonctionnement des équipes.
  • 4.2. Intérêt légitime (article 6.1.f du RGPD) : amélioration de l'Application, sécurité et prévention de la fraude, notifications de service.
  • 4.3. Obligation légale (article 6.1.c du RGPD) : conservation des données de transaction conformément aux obligations comptables et fiscales.
  • 4.4. Consentement (article 6.1.a du RGPD) : envoi de notifications push, utilisation de la photo de profil.

5. Finalités du Traitement

  • 5.1. Fournir et gérer les services de l'Application (réception de pourboires, distributions, virements).
  • 5.2. Assurer le traitement des transactions financières et la gestion des soldes.
  • 5.3. Permettre la création et la gestion des équipes.
  • 5.4. Envoyer des notifications relatives à votre compte (pourboires reçus, distributions, mises à jour de solde).
  • 5.5. Assurer la sécurité du service et prévenir la fraude.
  • 5.6. Fournir un support client.
  • 5.7. Respecter les obligations légales et réglementaires.

6. Sous-traitants et Partage des Données

  • Nous faisons appel aux sous-traitants suivants pour le fonctionnement de l'Application :
  • 6.1. Stripe (Stripe Inc., États-Unis) : traitement des paiements, gestion des comptes connectés, vérification d'identité (KYC), exécution des virements bancaires. Stripe est certifié PCI-DSS niveau 1. Transfert hors UE encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne.
  • 6.2. Firebase / Google Cloud (Google LLC, États-Unis) : envoi de notifications push via Firebase Cloud Messaging (FCM), vérification des connexions Google Sign-In. Transfert hors UE encadré par les CCT.
  • 6.3. Cloudinary (Cloudinary Ltd., États-Unis) : hébergement et diffusion des photos de profil. Les images sont optimisées automatiquement (redimensionnement, conversion de format). Transfert hors UE encadré par les CCT.
  • 6.4. MongoDB Atlas (MongoDB Inc., États-Unis / Europe) : hébergement de la base de données. Les données peuvent être stockées dans des centres de données européens. Transfert hors UE encadré par les CCT.
  • 6.5. OVH (OVH SAS, France) : envoi d'e-mails transactionnels (codes de vérification, réinitialisation de mot de passe). Données hébergées en France.
  • 6.6. Apple (Apple Inc., États-Unis) : authentification via Apple Sign-In. Transfert hors UE encadré par les CCT.
  • 6.7. Vercel (Vercel Inc., États-Unis) : hébergement du site web vitrine et exécution des fonctions serverless. Transfert hors UE encadré par les CCT.
  • 6.8. Autorités compétentes : si la loi l'exige ou en cas de demande légale.
  • Vos données ne sont jamais vendues à des tiers. Aucune donnée n'est partagée à des fins publicitaires.

7. Transferts Internationaux de Données

  • Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, garantissant un niveau de protection adéquat de vos données personnelles.
  • L'Application étant disponible dans plus de 30 pays, les données des utilisateurs situés hors de l'Union européenne sont traitées conformément aux législations locales applicables en matière de protection des données.

8. Durée de Conservation des Données

  • 8.1. Données de compte (nom, e-mail, photo) : conservées pendant la durée d'utilisation du service, puis supprimées dans un délai de 30 jours après la clôture du compte.
  • 8.2. Données de transaction financière : conservées pendant 24 mois à compter de la date de la dernière transaction, conformément aux obligations comptables.
  • 8.3. Données de vérification d'identité (KYC) : conservées par Stripe conformément à ses propres politiques de conservation et aux obligations réglementaires.
  • 8.4. Jetons de notification (FCM) : supprimés lors de la déconnexion de l'appareil ou de la clôture du compte.
  • 8.5. Journaux de connexion (logs) : conservés pendant 12 mois à des fins de sécurité.
  • 8.6. Messages de support : conservés pendant la durée du compte, puis supprimés à la clôture.

9. Sécurité des Données

  • Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées :
  • - Chiffrement des mots de passe (bcrypt) ;
  • - Authentification par jetons JWT avec rotation automatique (durée de vie limitée à 15 minutes pour les jetons d'accès) ;
  • - Stockage sécurisé sur l'appareil (FlutterSecureStorage) pour les données sensibles ;
  • - Communications chiffrées (HTTPS/TLS) ;
  • - Limitation du taux de requêtes (rate limiting) pour prévenir les abus ;
  • - En-têtes de sécurité HTTP (Helmet) ;
  • - Paiements traités par Stripe, certifié PCI-DSS niveau 1.

10. Données Stockées sur Votre Appareil

  • L'Application stocke localement sur votre appareil :
  • - Vos jetons d'authentification (dans un stockage sécurisé chiffré) ;
  • - Votre adresse e-mail et méthode d'authentification ;
  • - Vos préférences d'application (thème, langue) ;
  • - Un cache d'images (photos de profil) pour améliorer les performances.
  • Aucune base de données locale n'est utilisée. Vous pouvez supprimer ces données en désinstallant l'Application.

11. Vos Droits

  • Conformément au RGPD, vous disposez des droits suivants :
  • 11.1. Droit d'accès (article 15) : obtenir des informations sur les données que nous détenons à votre sujet.
  • 11.2. Droit de rectification (article 16) : demander la correction de données inexactes ou incomplètes.
  • 11.3. Droit à l'effacement (article 17) : demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation.
  • 11.4. Droit à la limitation du traitement (article 18) : demander la limitation du traitement de vos données.
  • 11.5. Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et couramment utilisé.
  • 11.6. Droit d'opposition (article 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime.
  • Pour exercer ces droits, contactez-nous à : support@tipsyou.fr. Nous répondrons dans un délai maximum de 30 jours.
  • Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

12. Cookies et Traceurs

  • L'Application mobile n'utilise pas de cookies.
  • Le site web vitrine (thetipsyou.com) peut utiliser des cookies techniques strictement nécessaires au fonctionnement du site.
  • Aucun cookie publicitaire ou de suivi n'est utilisé. Aucun SDK d'analytics ou de tracking tiers n'est intégré à l'Application.

13. Mineurs

  • L'Application n'est pas destinée aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous constatez qu'un mineur a créé un compte, veuillez nous contacter à support@tipsyou.fr.

14. Modifications de la Politique de Confidentialité

  • Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment.
  • Toute modification sera publiée sur cette page avec une date de mise à jour.
  • Les modifications significatives seront notifiées via l'Application.
  • Nous vous encourageons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.

15. Nous Contacter

  • Pour toute question concernant cette Politique de Confidentialité ou pour exercer vos droits, vous pouvez nous contacter :
  • - Par e-mail : support@tipsyou.fr
  • - Par courrier : HumanX SAS, 48 Boulevard Jean Moulin, 93190 Livry-Gargan, France

Date d'entrée en vigueur : 17 février 2026