Maimora— le théâtre du temps
— Conformité réglementaire

RGPD,
protection des données.

Dernière mise à jour : 26 mars 2026

Cette page détaille les mesures mises en œuvre par Maimora SAS pour se conformer au Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

01Responsable du traitement et DPO

Responsable du traitement

Maimora SAS

E-mail : contact@maimora.app

Delegue a la Protection des Donnees

E-mail : dpo@maimora.app

Réponse sous 30 jours maximum

02Registre des traitements

Conformément à l’article 30 du RGPD, Maimora tient un registre des activités de traitement. Voici un résumé des principaux traitements :

Gestion des comptes utilisateurs

FinalitéPermettre la creation de compte, l'authentification et la gestion du profilDonnéesNom, e-mail, photo de profil, identifiant uniqueBase légaleExecution du contrat (Art. 6.1.b RGPD)DestinatairesFirebase Auth (Google Cloud)ConservationDuree de la relation contractuelle + 3 ans

Creation, stockage et livraison des Capsules

FinalitéChiffrer, stocker et delivrer les capsules temporelles a la date programmeeDonnéesContenu chiffre (texte, audio, video, photo, fichiers), metadonnees (date, destinataire, statut)Base légaleExecution du contrat (Art. 6.1.b RGPD)DestinatairesFirebase Firestore, Firebase Storage (Google Cloud)ConservationJusqu'a la date d'ouverture + 90 jours apres livraison

Notifications et communications

FinalitéEnvoyer les notifications de livraison, rappels et communications de serviceDonnéesIdentifiant d'appareil (FCM token), adresse e-mailBase légaleConsentement (Art. 6.1.a) pour les push ; Execution du contrat (Art. 6.1.b) pour les e-mails transactionnelsDestinatairesFirebase Cloud Messaging (Google), SendGrid (Twilio)ConservationDuree de la relation contractuelle

Gestion des paiements

FinalitéTraiter les abonnements premium et gerer la facturationDonnéesIdentifiant client Stripe, historique de paiement (montants, dates)Base légaleExecution du contrat (Art. 6.1.b) et obligation legale (Art. 6.1.c)DestinatairesStripe (certifie PCI-DSS Level 1)Conservation10 ans (obligations comptables francaises)

Securite et journaux techniques

FinalitéPrevenir les fraudes, detecter les incidents de securite, assurer la disponibilite du ServiceDonnéesAdresses IP, journaux de connexion, horodatagesBase légaleInteret legitime (Art. 6.1.f RGPD)DestinatairesInfrastructure interneConservation1 an

03Principes appliques

Minimisation

Nous ne collectons que les donnees strictement necessaires au fonctionnement du Service.

Limitation des finalites

Les donnees sont utilisees exclusivement pour les finalites decrites dans notre registre.

Exactitude

Les utilisateurs peuvent corriger leurs donnees a tout moment depuis leur profil.

Limitation de conservation

Chaque categorie de donnees a une duree de retention definie et documentee.

Integrite et confidentialite

Chiffrement AES-256 au repos, TLS 1.3 en transit, cles par utilisateur.

Privacy by Design

La protection des donnees est integree des la conception de chaque fonctionnalite.

04Mesures de securite techniques et organisationnelles

Conformément à l’article 32 du RGPD, Maimora met en œuvre les mesures suivantes :

Mesures techniques

  • Chiffrement AES-256 au repos avec clés individuelles par utilisateur pour le contenu des Capsules
  • TLS 1.3 pour toutes les communications réseau
  • Hachage des mots de passe via Firebase Auth (bcrypt/scrypt)
  • Tokens JWT signés et à durée limitée pour les liens de livraison aux destinataires non inscrits
  • Pare-feu applicatif et protection DDoS via l’infrastructure cloud
  • Sauvegardes chiffrées automatiques
  • Surveillance continue et alertes de sécurité

Mesures organisationnelles

  • Désignation d’un Délégué à la Protection des Données (DPO)
  • Formation régulière des équipes à la protection des données
  • Politique d’accès aux données fondée sur le principe du moindre privilège
  • Procédure de notification des violations de données à la CNIL sous 72 heures
  • Analyse d’Impact relative à la Protection des Données (AIPD) réalisée
  • Contrats de sous-traitance (article 28 du RGPD) avec tous les prestataires

05Transferts internationaux de donnees

Certains de nos sous-traitants sont établis en dehors de l’Espace Économique Européen (EEE), principalement aux États-Unis. Ces transferts sont encadrés par :

  • Le EU-US Data Privacy Framework pour les sous-traitants certifiés (Google, Stripe)
  • Les Clauses Contractuelles Types (CCT) de la Commission européenne
  • Des mesures supplémentaires de sécurité (chiffrement de bout en bout, pseudonymisation) conformément aux recommandations du CEPD (Comité Européen de la Protection des Données)

Lorsque possible, nous privilégions les régions de stockage européennes (europe-west) pour les services Firebase et Cloud.

06Droits des personnes concernees

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

DroitArticle RGPDModalités
Droit d'accesArt. 15Obtenir une copie de vos donnees personnelles
Droit de rectificationArt. 16Corriger des donnees inexactes ou incompletes
Droit a l'effacementArt. 17Supprimer vos donnees (hors Capsules scellees en attente)
Droit a la limitationArt. 18Restreindre temporairement le traitement
Droit a la portabiliteArt. 20Recevoir vos donnees en format structure (JSON)
Droit d'oppositionArt. 21S'opposer aux traitements bases sur l'interet legitime
Retrait du consentementArt. 7.3Retirer a tout moment le consentement aux notifications
Directives post-mortemLoi Informatique et LibertesDefinir des directives relatives a vos donnees apres deces

Comment exercer vos droits ?

Envoyez un e-mail à dpo@maimora.app en précisant votre demande et en joignant une copie d’un justificatif d’identité. Nous répondrons dans un délai de 30 jours (prolongeable de 60 jours en cas de demande complexe, avec notification).

07Analyse d'impact (AIPD)

Conformément à l’article 35 du RGPD, Maimora a réalisé une Analyse d’Impact relative à la Protection des Données (AIPD) pour les traitements à risque élevé, en particulier :

  • Le stockage à long terme de contenus multimédia chiffrés (texte, audio, vidéo, photos)
  • Le traitement de données de destinataires tiers (e-mail, numéro de téléphone)
  • Le caractère irréversible du scellement des Capsules

L’AIPD a conclu que les mesures de sécurité mises en place (chiffrement AES-256, clés par utilisateur, accès restreint) réduisent les risques résiduels à un niveau acceptable. Le document est disponible sur demande auprès du DPO.

08Notification des violations de donnees

En cas de violation de données à caractère personnel, Maimora s’engage à :

  • Notifier la CNIL dans un délai de 72 heures suivant la prise de connaissance de la violation (article 33 du RGPD).
  • Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).
  • Documenter toute violation dans un registre interne, y compris les mesures correctives adoptées.

09Specificite des Capsules scellees

Le principe d’immuabilité des Capsules scellées constitue une caractéristique fondamentale du Service qui interagit avec le droit à l’effacement (article 17 du RGPD).

Lorsqu’un utilisateur exerce son droit à l’effacement :

  • Les données de compte (profil, préférences) sont supprimées immédiatement.
  • Les Capsules déjà délivrées sont supprimées sous 90 jours.
  • Les Capsules scellées et en attente de livraison sont maintenues jusqu’à leur date d’ouverture (nécessité d’exécution du contrat, article 17.3.b), puis supprimées dans les 90 jours suivant la livraison.
  • Le lien entre le créateur et la Capsule est pseudonymisé immédiatement.

Cette limitation est documentée dans l’AIPD et a été jugée proportionnée au regard de la finalité du service.

10Reclamation aupres de l'autorite de controle

Si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :

Commission Nationale de l’Informatique et des Libertés (CNIL)

3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Téléphone : 01 53 73 22 22

Site : www.cnil.fr

11Mise a jour de cette page

Cette page est mise à jour régulièrement pour refléter l’évolution de nos pratiques et de la réglementation. Toute modification substantielle sera communiquée aux utilisateurs par notification dans l’application ou par e-mail.

12Contact

Questions generales
Protection des donnees (DPO)