Politique de confidentialité

Mise à jour : 2026-05-04. Brouillon v1 — à valider par le conseil juridique avant la mise en ligne.

Cette politique décrit les données personnelles que Loni collecte, pourquoi, avec qui nous les partageons, combien de temps nous les conservons et les droits dont vous disposez. Loni SAS (Côte d'Ivoire) est responsable du traitement. Vous pouvez nous joindre à privacy@helloloni.com.

1. Ce que nous collectons

Nous ne collectons que ce qui est nécessaire au service.

1.1 Compte et identité

• Nom (nom d'affichage, prénom/nom si fournis), e-mail, numéro de téléphone, photo de profil, biographie, langue préférée (fr / en / es).
• Statut de vérification : si l'e-mail et le téléphone sont confirmés.
• Statut du compte : en attente de vérification, actif, suspendu, suppression programmée.
• État de la double authentification et empreintes SHA-256 de vos six codes de récupération (les codes en clair ne sont jamais stockés).
• Pour l'inscription par mot de passe, une empreinte Argon2id du mot de passe (le mot de passe en clair n'est jamais stocké).
• Pour l'inscription OAuth (Google, Apple), le nom du fournisseur et l'identifiant utilisateur émis par celui-ci.
• Code de parrainage généré pour votre compte.

1.2 Sessions et appareils

• Enregistrements d'appareils : identifiant d'appareil généré côté client, libellé (par ex. « iPhone 15 Pro »), plateforme, version de l'application et jeton de notifications push (FCM pour Android, APNS pour iOS).
• Enregistrements de session : adresse IP, agent utilisateur, expiration, révocation.
• Refresh tokens (renouvelés à chaque usage, avec un délai de grâce de 10 secondes pour la tolérance aux doubles requêtes).
• Les jetons d'accès sont à courte durée (15 minutes) et non stockés.
• Secret de double authentification : chiffré au repos en AES-256-GCM avec une clé serveur (MFA_ENCRYPTION_KEY) ; seule la forme chiffrée est stockée et n'est déchiffrée en mémoire qu'au moment de l'authentification.

1.3 Commandes, comptabilité et factures

• Articles achetés, quantités, format (numérique / livre broché / livre relié).
• Adresse de livraison pour les livres imprimés : nom du destinataire, rue, ville, région, code postal, code pays, téléphone.
• Quatre derniers chiffres de la carte (Stripe) ou numéro Mobile Money masqué (PawaPay), avec la référence de transaction du fournisseur. Nous ne stockons pas les numéros de carte complets ni les identifiants Mobile Money complets.
• Solde du porte-monnaie et historique des transactions (remboursements, redemptions de cartes cadeaux).
• Écritures comptables avec montants en XOF en précision BigInt, dans une chaîne de hachage à l'épreuve de la falsification.
• Factures HTML stockées dans un stockage privé et signées HMAC-SHA256.

1.4 Lecture et bibliothèque

• Entrées de bibliothèque (table dénormalisée : quels livres, formats, source = achat / abonnement / cadeau / octroi manuel, dernière date d'accès).
• Sessions de lecture actives (une par livre, par format, par utilisateur), avec battements toutes les 120 secondes.
• Signets, surlignages, notes, position de lecture, synchronisés entre vos appareils.
• Bundles de lecture hors-ligne téléchargés.
• Exports d'annotations demandés (CSV / JSON / Markdown).

1.5 Communications et avis

• Messages adressés au support (qui créent un ticket).
• Avis et notes publiés (1–5 étoiles + texte), avec votes d'utilité.
• Préférences de notification par canal (e-mail, SMS, WhatsApp, push) et plage d'heures de silence.
• Signalements que vous déposez sur des avis ou contenus.

1.6 Télémétrie technique

• Journaux serveur structurés via pino, exportés vers Grafana Loki à des fins de débogage et d'analyse de sécurité à court terme. Ces journaux ne déposent aucun cookie tiers dans votre navigateur.
• Un journal d'audit des actions modificatrices (les vôtres et celles de la plateforme) — voir la conservation plus bas.
• Un filigrane forensique par licence : HMAC-SHA256 sur (userId : bookId : format : issuedAt), stocké uniquement dans les métadonnées de la licence. Il n'est jamais incrusté dans le contenu et n'est consulté qu'en cas d'enquête sur fuite, avec une trace dans le journal d'audit.

1.7 Ce que nous ne collectons pas

• Pas de données biométriques.
• Pas de géolocalisation précise ; seul le pays déduit de l'IP peut servir au routage.
• Pas de catégories particulières (santé, religion, opinions politiques).
• Aucun pisteur publicitaire tiers ni pixel de réseau social.

2. Pourquoi nous les collectons

2.1 Fournir le service

• Créer votre compte, vous connecter, sécuriser vos identifiants.
• Synchroniser votre bibliothèque et votre lecture entre vos appareils.
• Traiter vos achats et remboursements ; livrer les livres imprimés à l'adresse fournie.
• Émettre, livrer et révoquer les licences numériques qui vous permettent de lire dans l'application mobile Loni.

2.2 Sécuriser la plateforme

• Détecter et limiter les abus (limitation des tentatives de connexion ; signalements de fraude pour commandes > 150 000 XOF, 5+ commandes payées par heure, taux de remboursement > 30 %, ou 5+ avis 5★ en 7 jours). Ces signalements déclenchent une revue humaine ; ils ne bloquent pas automatiquement votre compte.
• Protéger les contenus via le DRM, y compris le filigrane forensique présent dans les métadonnées de licence.
• Respecter nos obligations légales et répondre aux demandes légales.

2.3 Communiquer avec vous

• Messages transactionnels (toujours envoyés) : mises à jour de commande, décisions de remboursement, alertes de sécurité, réinitialisations de mot de passe, codes à deux facteurs, confirmations de suppression de compte. Indispensables au service ; impossibles à désactiver tant que vous utilisez votre compte.
• Marketing (opt-in) : annonces, promotions, recommandations. Consentement révocable à tout moment depuis vos préférences.
• Canaux : e-mail (SendGrid), SMS (Twilio), WhatsApp (Twilio Business), push (FCM, APNS).
• Un webhook de rebond ou plainte SendGrid place votre adresse dans une liste de suppression de 30 jours, ce qui suspend l'envoi d'e-mails jusqu'à résolution. Les modèles critiques (codes à usage unique, réinitialisation de mot de passe, double authentification, suppression de compte) contournent la suppression car ils sont nécessaires à la sécurité du compte.

2.4 Améliorer le produit

• Statistiques agrégées via journaux serveur. Aucune analytique tierce en v1.

3. Avec qui nous les partageons

Nous ne vendons jamais vos données personnelles. Nous partageons avec ces catégories de prestataires, uniquement dans la mesure nécessaire :

| Destinataire | Ce qu'il reçoit | Finalité | | --- | --- | --- | | PawaPay | Numéro Mobile Money (format E.164) | Traiter les transactions Mobile Money ; webhooks signés (RFC-9421) | | Stripe | Données de carte tokenisées, référence client | Traiter les paiements par carte et les abonnements Stripe | | SendGrid | Adresse e-mail | Délivrer les e-mails ; recevoir les événements de rebond / plainte | | Twilio | Numéro de téléphone | Délivrer les SMS et WhatsApp | | FCM (Google) / APNS (Apple) | Jeton push par appareil | Délivrer les notifications push | | Imprimeurs partenaires | Nom du destinataire et adresse de livraison | Imprimer et expédier les livres physiques | | Hébergement et bases de données managées | Stockage chiffré côté serveur | Faire fonctionner la plateforme ; sous contrats de traitement | | Autorités | Divulgations limitées | Respecter les décisions judiciaires et la loi applicable |

Les imprimeurs reçoivent uniquement le nom et l'adresse de livraison. Ils ne reçoivent jamais d'information de paiement.

4. Où vos données sont stockées

Loni s'exécute sur une infrastructure cloud managée (droplet DigitalOcean + Postgres et Redis managés). Les fichiers (contenu des livres, couvertures, extraits, factures, exports, preuves de livraison) sont stockés dans un seul bucket privé compatible S3 sur MinIO, répliqué en continu vers un endpoint S3 managé avec instantanés quotidiens. Tout accès public passe par des URLs signées à courte durée ; aucun de nos fichiers n'est navigable publiquement.

5. Combien de temps nous les conservons

| Catégorie | Durée | | --- | --- | | Profil et paramètres | Tant que votre compte est actif | | Refresh tokens, sessions | Jusqu'à 14 jours glissants, 90 jours maximum absolu, ou jusqu'à révocation | | Données de lecture (bibliothèque, signets, surlignages, notes, sessions) | Jusqu'à ce que vous retiriez le livre ou supprimiez le compte | | Commandes, écritures comptables, factures | Jusqu'à dix ans (obligations comptables et fiscales), même après suppression du compte | | Journal d'audit | Indéfini — append-only et résistant à la falsification ; imposé par la sécurité et la conformité | | Journaux de télémétrie | Court terme (typiquement 30–90 jours) | | Liste de suppression e-mail / SMS | 30 jours à compter du dernier rebond / plainte | | Exports RGPD | 7 jours à compter de l'émission de l'URL signée | | Consentement marketing | Jusqu'au retrait du consentement |

Lors de la suppression de votre compte, nous anonymisons ou supprimons les données personnelles dans les 30 jours. Certains éléments (commandes, comptabilité, journal d'audit, métadonnées des livres publiés si vous êtes créateur, vos avis sous le pseudonyme « Utilisateur supprimé ») sont conservés pour les obligations comptables, fiscales, de sécurité et les droits des autres utilisateurs.

6. Vos droits

Vous avez le droit de :

• Accéder — demander une copie de vos données. Vous pouvez déclencher un export en libre-service depuis votre compte ; nous livrons une archive JSON via un lien de téléchargement signé valable 7 jours. Limite : un export par 24 heures.
• Rectifier — corriger des données inexactes ou obsolètes directement dans vos paramètres.
• Supprimer — demander la suppression. Depuis l'application : paramètres → Supprimer le compte. Si vous ne pouvez plus vous connecter : utilisez la page publique Supprimer mon compte ; nous vous envoyons un lien de confirmation. Après confirmation, la suppression est programmée dans 30 jours ; vous pouvez l'annuler durant ce délai en vous reconnectant.
• Vous opposer ou restreindre — pour les traitements fondés sur l'intérêt légitime (par exemple le marketing).
• Retirer votre consentement — pour tout traitement qui en dépend, y compris les e-mails marketing.
• Réclamer — auprès d'une autorité de protection des données compétente.

Nous répondons dans le mois. En cas de refus, nous vous expliquons pourquoi et comment contester.

7. Cookies et stockage similaire

Notre Politique cookies liste les cookies que nous déposons, leur finalité et la procédure pour refuser ceux qui ne sont pas essentiels.

8. Mineurs

Vous devez avoir au moins 13 ans pour créer un compte. Certains livres comportent un avertissement d'âge (ALL_AGES, TEEN, MATURE, ADULT) — merci de les respecter. Nous ne collectons pas sciemment de données de personnes de moins de 13 ans. Si vous estimez que c'est le cas, contactez-nous : nous supprimerons le compte.

9. Modifications

Cette politique peut être mise à jour. Les changements substantiels sont annoncés par e-mail et sur le site au moins 14 jours avant leur entrée en vigueur.

10. Contact

Pour toute question ou pour exercer un droit : privacy@helloloni.com, ou via la page Contact.