Politique de Confidentialité – Pally Plan

Dernière mise à jour : 11 mars 2026

L'application Pally Plan respecte la vie privée de ses utilisateurs. Cette Politique de Confidentialité explique comment nous collectons, utilisons et protégeons vos informations.

1. Informations que nous collectons

Informations de compte : nom, prénom, adresse e-mail et mot de passe. Votre mot de passe est stocké sous forme de hachage sécurisé via l'algorithme Argon2 — nous ne conservons jamais votre mot de passe en clair.
Données de calendrier : si vous connectez un calendrier externe (Google, Outlook ou iCloud), nous accédons à vos événements uniquement pour afficher vos créneaux de disponibilité.
Numéro de téléphone (optionnel) : si vous choisissez de fournir votre numéro de téléphone lors de l'inscription, il est stocké de manière sécurisée au format E.164. Cela permet à vos amis de vous trouver plus facilement lorsqu'ils rejoignent Pally Plan. Votre numéro de téléphone n'est jamais partagé avec des tiers et peut être supprimé à tout moment depuis les paramètres de votre profil.
Matching de contacts (optionnel) : si vous choisissez d'utiliser la fonctionnalité de recherche d'amis via vos contacts, vos numéros de téléphone sont convertis en empreintes numériques anonymes (hash SHA-256) directement sur votre appareil. Seules ces empreintes sont envoyées à nos serveurs, jamais vos numéros bruts. Les empreintes soumises ne sont ni stockées ni conservées — elles sont uniquement comparées en mémoire pour trouver des correspondances. Cette fonctionnalité nécessite votre consentement explicite et peut être révoquée à tout moment.
Géolocalisation (optionnelle, avec consentement) : Avec votre accord explicite, nous collectons votre position GPS pour le "Signal de Connexion" (détection d'amis à proximité) et la suggestion de lieux. Cette fonctionnalité n'est jamais activée par défaut : elle nécessite une activation manuelle pour une durée limitée de 24 heures, après quoi l'accès à la position est automatiquement coupé. Les coordonnées brutes ne sont jamais stockées à long terme ni partagées avec des tiers. Seule la distance approximative entre utilisateurs ayant tous les deux consenti est calculée.
Token de notifications push : Si vous activez les notifications, un token d'identification de votre appareil (clé VAPID) est stocké pour vous envoyer des alertes : nouveau message, bon timing détecté, invitation à un événement. Ce token peut être révoqué à tout moment depuis les paramètres de l'application ou de votre appareil.
Photos et contenus utilisateurs : Photos de profil et photos d'albums d'événements, stockées sur Google Cloud Storage (région europe-west9, France). Ces photos ne sont accessibles qu'aux participants autorisés de chaque événement ou à votre réseau d'amis pour la photo de profil.
Données de coordination sociale : votes de disponibilité (Le Bon Timing), membres des cercles d'amis, participations aux événements.
Disponibilités partagées : les créneaux horaires que vous choisissez de partager avec votre cercle.
Données techniques : cookies de session, adresse IP et journaux anonymes pour la performance et la sécurité de l'application.

2. Comment nous utilisons vos informations

Vos données sont utilisées uniquement pour :

Créer et gérer votre compte utilisateur.
Afficher vos disponibilités à vos contacts sélectionnés.
Synchroniser vos événements si vous connectez un calendrier externe (Google Agenda, Outlook, iCloud).
Vous envoyer des e-mails transactionnels : bienvenue, réinitialisation de mot de passe, notifications importantes.
Améliorer la qualité, la sécurité et les fonctionnalités de l'application.

3. Partage des informations et sous-traitants

Nous ne vendons ni ne partageons vos données personnelles à des fins commerciales. Vos données de calendrier restent strictement privées et ne sont utilisées que pour afficher vos créneaux de disponibilité.

Les sous-traitants suivants interviennent dans le traitement de vos données :

Brevo (Sendinblue SAS, France) : envoi des e-mails transactionnels (bienvenue, réinitialisation de mot de passe). Brevo est une société française conforme au RGPD. Seuls votre adresse e-mail et votre prénom sont transmis pour la personnalisation des e-mails.
Stripe (Stripe, Inc., États-Unis) : traitement des paiements pour les abonnements Premium. Stripe est certifié PCI-DSS et conforme au RGPD via les Clauses Contractuelles Types.
Google Cloud Platform (Google LLC, France – europe-west9) : hébergement de la base de données PostgreSQL (Cloud SQL) et stockage des photos utilisateurs (Cloud Storage) en environnement de production. Les données sont hébergées en France. Google est signataire des Clauses Contractuelles Types (CCT).

4. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles rigoureuses pour protéger vos données contre tout accès non autorisé :

Hachage des mots de passe : vos mots de passe sont protégés par l'algorithme Argon2, considéré comme l'un des plus sûrs au monde.
Protection HTTP (Helmet.js) : les en-têtes HTTP de sécurité sont automatiquement appliqués pour prévenir les attaques courantes (XSS, clickjacking, injection de contenu).
Rate Limiting : un mécanisme de limitation des requêtes protège les endpoints sensibles (connexion, inscription) contre les attaques par force brute (10 tentatives maximum par tranche de 15 minutes).
Sessions sécurisées : les sessions utilisateur sont stockées côté serveur dans PostgreSQL avec des cookies httpOnly et secure.
Chiffrement des tokens : les tokens de synchronisation calendrier sont chiffrés au repos via AES-256-GCM.

5. Vos droits

À tout moment, vous pouvez :

Modifier vos informations personnelles depuis les paramètres de votre profil.
Supprimer votre compte et les données associées via l'application.
Révoquer l'accès de Pally Plan à vos calendriers externes depuis les paramètres du fournisseur concerné.
Demander une copie de vos données personnelles (droit d'accès RGPD).

6. Conformité RGPD

Pour les utilisateurs de l'Union européenne, nous offrons des protections supplémentaires dans le cadre du RGPD.

Voir notre Politique de Conformité RGPD complète →

7. Contact

Pour toute question :

Ronan BARE – admin@pallyplan.com

Site web : https://www.pallyplan.com

Privacy Policy – Pally Plan

Last updated: March 11, 2026

Pally Plan respects the privacy of its users. This Privacy Policy explains how we collect, use and protect your information.

1. Information We Collect

Account information: first name, last name, email address and password. Your password is stored as a secure hash using the Argon2 algorithm — we never store your password in plain text.
Calendar data: if you connect an external calendar (Google, Outlook or iCloud), we access your events solely to display your availability slots.
Phone number (optional): if you choose to provide your phone number during registration, it is securely stored in E.164 format. This allows your friends to find you more easily when they join Pally Plan. Your phone number is never shared with third parties and can be deleted at any time from your profile settings.
Contact matching (optional): if you choose to use the friend finder feature via your contacts, your phone numbers are converted into anonymous digital fingerprints (SHA-256 hash) directly on your device. Only these fingerprints are sent to our servers, never your raw numbers. Submitted fingerprints are neither stored nor retained — they are only compared in memory to find matches. This feature requires your explicit consent and can be revoked at any time.
Geolocation (optional, with consent): With your explicit consent, we collect your GPS location for the "Connection Boost" (detecting nearby friends) and venue suggestions. This feature is never enabled by default: it requires manual activation for a limited period of 24 hours, after which location access is automatically cut off. Raw coordinates are never stored long-term or shared with third parties. Only the approximate distance between users who have both consented is calculated.
Push notification token: If you enable notifications, a device identifier token (VAPID key) is stored to send you alerts: new message, good timing detected, event invitation. This token can be revoked at any time from the app settings or your device settings.
Photos and user content: Profile photos and event album photos, stored on Google Cloud Storage (region europe-west9, France). These photos are only accessible to authorized event participants or your friend network for profile photos.
Social coordination data: availability votes (Le Bon Timing), friend circle members, event participations.
Shared availabilities: the time slots you choose to share with your circle.
Technical data: session cookies, IP address and anonymous logs for application performance and security.

2. How We Use Your Information

Your data is used solely to:

Create and manage your user account.
Display your availability to your selected contacts.
Synchronize your events if you connect an external calendar (Google Calendar, Outlook, iCloud).
Send you transactional emails: welcome, password reset, important notifications.
Improve the quality, security and features of the application.

3. Information Sharing and Sub-processors

We do not sell or share your personal data for commercial purposes. Your calendar data remains strictly private and is used only to display your availability slots.

The following sub-processors are involved in processing your data:

Brevo (Sendinblue SAS, France): sending transactional emails (welcome, password reset). Brevo is a French company compliant with GDPR. Only your email address and first name are transmitted for email personalization.
Stripe (Stripe, Inc., USA): payment processing for Premium subscriptions. Stripe is PCI-DSS certified and GDPR compliant via Standard Contractual Clauses.
Google Cloud Platform (Google LLC, France – europe-west9): PostgreSQL database hosting (Cloud SQL) and user photo storage (Cloud Storage) in the production environment. Data is hosted in France. Google is a signatory to the Standard Contractual Clauses (SCCs).

4. Security

We implement rigorous technical and organizational measures to protect your data against unauthorized access:

Password hashing: your passwords are protected by the Argon2 algorithm, considered one of the most secure in the world.
HTTP protection (Helmet.js): security HTTP headers are automatically applied to prevent common attacks (XSS, clickjacking, content injection).
Rate Limiting: a request throttling mechanism protects sensitive endpoints (login, signup) against brute force attacks (maximum 10 attempts per 15-minute window).
Secure sessions: user sessions are stored server-side in PostgreSQL with httpOnly and secure cookies.
Token encryption: calendar sync tokens are encrypted at rest using AES-256-GCM.

5. Your Rights

At any time, you can:

Update your personal information from your profile settings.
Delete your account and associated data via the application.
Revoke Pally Plan's access to your external calendars from the relevant provider's settings.
Request a copy of your personal data (GDPR right of access).

6. GDPR Compliance

For users in the European Union, we offer additional protections under GDPR.

See our full GDPR Compliance Policy →

7. Contact

For any questions:

Ronan BARE – admin@pallyplan.com

Website: https://www.pallyplan.com