Cette page détaille les mesures mises en œuvre par Maimora SAS pour se conformer au Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
01Responsable du traitement et DPO
Maimora SAS
E-mail : contact@maimora.app
E-mail : dpo@maimora.app
Réponse sous 30 jours maximum
02Registre des traitements
Conformément à l’article 30 du RGPD, Maimora tient un registre des activités de traitement. Voici un résumé des principaux traitements :
Gestion des comptes utilisateurs
Creation, stockage et livraison des Capsules
Notifications et communications
Gestion des paiements
Securite et journaux techniques
03Principes appliques
Minimisation
Nous ne collectons que les donnees strictement necessaires au fonctionnement du Service.
Limitation des finalites
Les donnees sont utilisees exclusivement pour les finalites decrites dans notre registre.
Exactitude
Les utilisateurs peuvent corriger leurs donnees a tout moment depuis leur profil.
Limitation de conservation
Chaque categorie de donnees a une duree de retention definie et documentee.
Integrite et confidentialite
Chiffrement AES-256 au repos, TLS 1.3 en transit, cles par utilisateur.
Privacy by Design
La protection des donnees est integree des la conception de chaque fonctionnalite.
04Mesures de securite techniques et organisationnelles
Conformément à l’article 32 du RGPD, Maimora met en œuvre les mesures suivantes :
Mesures techniques
- Chiffrement AES-256 au repos avec clés individuelles par utilisateur pour le contenu des Capsules
- TLS 1.3 pour toutes les communications réseau
- Hachage des mots de passe via Firebase Auth (bcrypt/scrypt)
- Tokens JWT signés et à durée limitée pour les liens de livraison aux destinataires non inscrits
- Pare-feu applicatif et protection DDoS via l’infrastructure cloud
- Sauvegardes chiffrées automatiques
- Surveillance continue et alertes de sécurité
Mesures organisationnelles
- Désignation d’un Délégué à la Protection des Données (DPO)
- Formation régulière des équipes à la protection des données
- Politique d’accès aux données fondée sur le principe du moindre privilège
- Procédure de notification des violations de données à la CNIL sous 72 heures
- Analyse d’Impact relative à la Protection des Données (AIPD) réalisée
- Contrats de sous-traitance (article 28 du RGPD) avec tous les prestataires
05Transferts internationaux de donnees
Certains de nos sous-traitants sont établis en dehors de l’Espace Économique Européen (EEE), principalement aux États-Unis. Ces transferts sont encadrés par :
- Le EU-US Data Privacy Framework pour les sous-traitants certifiés (Google, Stripe)
- Les Clauses Contractuelles Types (CCT) de la Commission européenne
- Des mesures supplémentaires de sécurité (chiffrement de bout en bout, pseudonymisation) conformément aux recommandations du CEPD (Comité Européen de la Protection des Données)
Lorsque possible, nous privilégions les régions de stockage européennes (europe-west) pour les services Firebase et Cloud.
06Droits des personnes concernees
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Article RGPD | Modalités |
|---|---|---|
| Droit d'acces | Art. 15 | Obtenir une copie de vos donnees personnelles |
| Droit de rectification | Art. 16 | Corriger des donnees inexactes ou incompletes |
| Droit a l'effacement | Art. 17 | Supprimer vos donnees (hors Capsules scellees en attente) |
| Droit a la limitation | Art. 18 | Restreindre temporairement le traitement |
| Droit a la portabilite | Art. 20 | Recevoir vos donnees en format structure (JSON) |
| Droit d'opposition | Art. 21 | S'opposer aux traitements bases sur l'interet legitime |
| Retrait du consentement | Art. 7.3 | Retirer a tout moment le consentement aux notifications |
| Directives post-mortem | Loi Informatique et Libertes | Definir des directives relatives a vos donnees apres deces |
Comment exercer vos droits ?
Envoyez un e-mail à dpo@maimora.app en précisant votre demande et en joignant une copie d’un justificatif d’identité. Nous répondrons dans un délai de 30 jours (prolongeable de 60 jours en cas de demande complexe, avec notification).
07Analyse d'impact (AIPD)
Conformément à l’article 35 du RGPD, Maimora a réalisé une Analyse d’Impact relative à la Protection des Données (AIPD) pour les traitements à risque élevé, en particulier :
- Le stockage à long terme de contenus multimédia chiffrés (texte, audio, vidéo, photos)
- Le traitement de données de destinataires tiers (e-mail, numéro de téléphone)
- Le caractère irréversible du scellement des Capsules
L’AIPD a conclu que les mesures de sécurité mises en place (chiffrement AES-256, clés par utilisateur, accès restreint) réduisent les risques résiduels à un niveau acceptable. Le document est disponible sur demande auprès du DPO.
08Notification des violations de donnees
En cas de violation de données à caractère personnel, Maimora s’engage à :
- Notifier la CNIL dans un délai de 72 heures suivant la prise de connaissance de la violation (article 33 du RGPD).
- Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).
- Documenter toute violation dans un registre interne, y compris les mesures correctives adoptées.
09Specificite des Capsules scellees
Le principe d’immuabilité des Capsules scellées constitue une caractéristique fondamentale du Service qui interagit avec le droit à l’effacement (article 17 du RGPD).
Lorsqu’un utilisateur exerce son droit à l’effacement :
- Les données de compte (profil, préférences) sont supprimées immédiatement.
- Les Capsules déjà délivrées sont supprimées sous 90 jours.
- Les Capsules scellées et en attente de livraison sont maintenues jusqu’à leur date d’ouverture (nécessité d’exécution du contrat, article 17.3.b), puis supprimées dans les 90 jours suivant la livraison.
- Le lien entre le créateur et la Capsule est pseudonymisé immédiatement.
Cette limitation est documentée dans l’AIPD et a été jugée proportionnée au regard de la finalité du service.
10Reclamation aupres de l'autorite de controle
Si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :
Commission Nationale de l’Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr
11Mise a jour de cette page
Cette page est mise à jour régulièrement pour refléter l’évolution de nos pratiques et de la réglementation. Toute modification substantielle sera communiquée aux utilisateurs par notification dans l’application ou par e-mail.