FR | EN

Politique de Confidentialité de Histoply

Dernière mise à jour : 6 mai 2026 · Version : 2.0

La présente Politique de Confidentialité (la "Politique") explique comment Volvelle SASU ("nous", "notre", "Histoply") collecte, utilise, stocke et partage vos données personnelles lorsque vous utilisez notre site histoply.app et notre application mobile (collectivement le "Service").

Nous traitons vos données conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679), à la loi française Informatique et Libertés modifiée, et — pour les utilisateurs résidant aux États-Unis — au California Consumer Privacy Act (CCPA/CPRA) et aux lois équivalentes des autres États (Virginie, Colorado, Connecticut, Utah, etc.).

La fourniture de votre adresse email et l'authentification via Google Sign-In sont nécessaires pour créer un compte et utiliser le Service. À défaut, vous ne pourrez pas y accéder. Les autres données (consentement publicitaire, statut d'abonnement) sont collectées sur la base de votre consentement ou de l'exécution du contrat.

1. Responsable de traitement

Le responsable du traitement de vos données personnelles est :

Volvelle SASU — Société par Actions Simplifiée Unipersonnelle

Siège social : 58 rue de Monceau, 75008 Paris, France

SIREN : 100 705 136 — RCS : Paris

Contact protection des données : contact@histoply.app

Compte tenu de la taille de notre structure et de la nature de nos traitements, nous ne sommes pas légalement tenus de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. L'adresse email ci-dessus constitue votre point de contact unique pour toute question relative à vos données.

2. Cible d'âge et utilisateurs mineurs

Le Service est destiné aux utilisateurs âgés de 13 ans et plus. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 13 ans. Si vous êtes parent ou tuteur légal et constatez qu'un enfant nous a transmis des données sans votre accord, écrivez-nous à contact@histoply.app : nous supprimerons les données concernées dans les meilleurs délais.

En Union européenne, l'article 8 du RGPD fixe l'âge du consentement numérique à 15 ans en France (16 ans dans certains autres États membres). Pour les utilisateurs résidant en UE âgés de moins de 15 ans, le consentement parental est requis pour certains traitements (notamment la diffusion de publicité personnalisée). Notre plateforme publicitaire (Google AdMob) propage cette restriction via le SDK UMP.

Conformément au Children's Online Privacy Protection Act (COPPA, États-Unis), nous ne diffusons pas de publicité comportementale aux utilisateurs identifiés comme ayant moins de 13 ans, et nous ne vendons ni ne partageons leurs informations personnelles à des fins de publicité ciblée (CCPA § 1798.120(c)).

3. Données collectées

Cette section couvre à la fois le site vitrine pré-lancement (histoply.app) et l'application mobile. Selon les fonctionnalités que vous utilisez, nous collectons les catégories de données décrites ci-dessous.

A. Site pré-lancement — inscription à la liste d'attente

Avant le lancement de l'application, nous collectons uniquement votre adresse email via un formulaire hébergé par notre sous-traitant Formspree, Inc. (États-Unis). Le formulaire recueille votre consentement explicite ; votre email est utilisé exclusivement pour vous informer du lancement. Voir la politique de confidentialité de Formspree.

B. Authentification — Google Sign-In

Pour créer votre compte et vous connecter, nous utilisons Google Sign-In. Lorsque vous donnez votre consentement OAuth, Google nous transmet :

Votre nom et prénom
Votre adresse email
Votre identifiant Google unique
L'URL de votre photo de profil (optionnel)

Nous n'avons jamais accès à votre mot de passe Google.

C. Données d'apprentissage générées par votre utilisation

L'essence du Service est le suivi de votre apprentissage. Nous collectons :

Votre progression dans les leçons d'histoire (chapitres lus, atomes découverts).
Vos réponses aux quiz (correctes ou incorrectes).
Vos points d'expérience (XP), niveaux atteints et succès débloqués.
Les métadonnées de notre algorithme de répétition espacée (SM-2) : date de dernière révision, statut de mémorisation de chaque atome, planification des prochains rappels.
Vos meilleurs scores au mini-jeu Chrono Challenge.
Vos préférences (niveau de profondeur 1-5, langue, options d'affichage).

D. Données d'abonnement — RevenueCat

Si vous souscrivez à un abonnement Histoply Premium, nous utilisons les services de RevenueCat, Inc. (États-Unis) pour gérer la facturation, les renouvellements et les annulations. Les paiements sont traités exclusivement par Apple (App Store) ou Google (Play Store) — nous n'avons jamais accès à votre numéro de carte bancaire.

RevenueCat traite pour notre compte :

Votre identifiant utilisateur unique (UUID Histoply / Supabase).
Les événements d'achat : achat initial, renouvellement, annulation, remboursement, changement d'offre.
Des métadonnées techniques de l'appareil (système d'exploitation, version, modèle).
Votre adresse IP (utilisée pour déterminer la devise applicable).

Voir la politique de confidentialité de RevenueCat.

E. Données publicitaires — Google AdMob et SDK UMP

L'application affiche des publicités fournies par Google AdMob (Google Ireland Ltd pour les utilisateurs UE/EEE/UK/Suisse, Google LLC ailleurs), notamment des publicités vidéo récompensées qui vous permettent d'obtenir des vies supplémentaires.

Au premier lancement de l'application, un écran de consentement (généré par le SDK Google User Messaging Platform — UMP) vous demande votre consentement pour la collecte et le partage de données à des fins publicitaires. Le SDK UMP applique automatiquement les exigences réglementaires de votre juridiction :

Utilisateurs UE/EEE/UK/Suisse : écran conforme au RGPD et au cadre TCF v2.2 de l'IAB Europe (consentement explicite, refus possible).
Utilisateurs des États-Unis : écran conforme aux lois étatiques (CCPA/CPRA en Californie, et lois équivalentes en Virginie, Colorado, Connecticut, Utah et autres États applicables) — option Do Not Sell or Share disponible.

Selon votre consentement, AdMob et ses partenaires peuvent collecter :

Votre identifiant publicitaire mobile (Google Advertising ID sur Android, IDFA sur iOS le cas échéant).
Votre adresse IP, le type de réseau et les caractéristiques techniques de votre appareil (modèle, OS, langue, fuseau).
Votre interaction avec les publicités (impressions, clics).
Une localisation approximative dérivée de l'IP.

La liste exhaustive et à jour des partenaires publicitaires (annonceurs, mesures, plateformes d'enchères) auxquels Google peut partager ces données est consultable : partenaires publicitaires Google AdMob. Pour comprendre comment Google utilise les données reçues, voir policies.google.com/technologies/partner-sites.

Modifier votre consentement à tout moment : dans l'application, via Profil → « Préférences publicitaires », vous pouvez réafficher l'écran de consentement et changer votre choix. Vous pouvez également limiter la publicité ciblée au niveau de votre appareil :

Android : Paramètres → Confidentialité → Annonces → « Supprimer l'ID publicitaire ».
iOS : Réglages → Confidentialité et sécurité → Suivi → désactiver « Autoriser les apps à demander à effectuer le suivi ».

F. Données techniques, SDK et identifiants mobiles

Pour assurer le fonctionnement, la sécurité et la maintenance du Service, nous collectons automatiquement certaines informations techniques :

Adresse IP, type de navigateur ou de client mobile, système d'exploitation, version de l'application.
Journaux d'erreurs et de diagnostic.
Identifiants mobiles persistants nécessaires au fonctionnement du Service (UUID interne, jetons de session).

Le site web histoply.app n'utilise aucun cookie tiers ni traceur publicitaire ; les polices d'écriture sont auto-hébergées (pas de chargement depuis Google Fonts ou autre CDN). Voir le détail des cookies et SDK en section 12.

4. Finalités et bases légales

Nous traitons vos données sur les bases légales suivantes (article 6 RGPD) :

Exécution du contrat (art. 6.1.b) : fournir, opérer et maintenir le Service ; vous authentifier ; synchroniser votre progression ; faire fonctionner l'algorithme SRS ; gérer votre abonnement Premium.
Consentement (art. 6.1.a) : diffusion de publicité personnalisée (recueilli via le SDK UMP) ; inscription à la liste d'attente pré-lancement.
Intérêt légitime (art. 6.1.f) : améliorer l'ergonomie et le contenu du Service ; assurer la sécurité de la plateforme ; prévenir la fraude ; répondre aux demandes de support. Vous pouvez vous opposer à ces traitements (voir section 10).
Obligation légale (art. 6.1.c) : conservation des factures et justificatifs comptables liés aux abonnements (durée fixée par le Code de commerce et le Code général des impôts).

5. Destinataires et sous-traitants

Nous ne vendons pas vos données personnelles. Nous les transmettons uniquement aux sous-traitants suivants, qui agissent sur instruction écrite de Volvelle SASU et sont liés par un accord de traitement (DPA) conforme à l'article 28 du RGPD :

Sous-traitant	Localisation	Rôle / Données traitées
Supabase, Inc.	États-Unis (infrastructure AWS, régions UE et US)	Hébergement de la base de données, authentification, stockage des données d'apprentissage et de profil.
Formspree, Inc.	États-Unis	Collecte des inscriptions à la liste d'attente pré-lancement (email uniquement).
Google Ireland Ltd / Google LLC	Irlande (UE) / États-Unis	Authentification Google Sign-In ; régie publicitaire AdMob ; SDK de consentement UMP.
RevenueCat, Inc.	États-Unis	Gestion technique des abonnements Premium (achats, renouvellements, annulations).
Apple Inc. / Google LLC	États-Unis	Traitement des paiements via App Store / Play Store. Nous n'avons jamais accès à vos données bancaires.

Nous pouvons également divulguer vos informations si la loi l'exige (réquisition judiciaire, obligation comptable) ou pour protéger nos droits et la sécurité du Service.

6. Conformité avec les services API Google

Nonobstant toute autre disposition de cette Politique, l'utilisation par Histoply des informations reçues des API Google adhérera à la Politique de Données Utilisateur des Services API Google, y compris les exigences d'utilisation limitée (Limited Use Requirements).

Les données obtenues via les API Google (informations Google Sign-In) sont utilisées uniquement pour fournir les fonctionnalités d'authentification et de personnalisation du profil. Elles ne sont ni transférées à des tiers, ni vendues, ni utilisées à des fins publicitaires.

7. Transferts hors Union européenne

Plusieurs de nos sous-traitants (Supabase, Formspree, RevenueCat, Google LLC) sont établis aux États-Unis. Ces transferts sont encadrés par les mécanismes de transfert suivants, prévus aux articles 44 à 49 du RGPD :

Mécanisme principal — EU-U.S. Data Privacy Framework (DPF) : Supabase, Google et RevenueCat sont certifiés au DPF, mécanisme reconnu par la Commission Européenne (décision d'adéquation du 10 juillet 2023) comme offrant un niveau de protection adéquat.
Mécanisme secondaire — Clauses Contractuelles Types (SCC) : en complément, nous avons conclu des SCC (modèle approuvé par la Commission Européenne) avec l'ensemble de nos sous-traitants américains.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS 1.3 en transit, chiffrement au repos sur les serveurs Supabase/AWS, séparation des environnements, gestion des accès par rôles, journalisation des opérations sensibles. Aucun système n'étant infaillible, nous ne pouvons garantir une sécurité absolue.

9. Durée de conservation

Données de compte et d'apprentissage : conservées tant que votre compte est actif.
Suppression de compte : en cas de demande de suppression (voir page dédiée), vos données personnelles sont effacées ou anonymisées dans un délai maximal de 30 jours.
Liste d'attente pré-lancement : email conservé jusqu'à 24 mois après le lancement, ou suppression à votre demande.
Données de facturation : conservées pendant la durée légale (10 ans pour la comptabilité, 6 ans pour les obligations fiscales).
Journaux techniques et de sécurité : 12 mois maximum.

10. Vos droits (RGPD)

Conformément aux articles 15 à 22 et 7 du RGPD, vous disposez des droits suivants :

Droit d'accès (art. 15) — obtenir une copie des données détenues.
Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes.
Droit à l'effacement (art. 17, « droit à l'oubli ») — demander la suppression du compte et des données.
Droit à la limitation du traitement (art. 18).
Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré (JSON).
Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime.
Droit de retirer votre consentement à tout moment (art. 7 §3) — sans que cela compromette la licéité des traitements antérieurs.
Droit de définir des directives post-mortem sur le sort de vos données après votre décès (art. 85 loi Informatique et Libertés).
Droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr/fr/plaintes.

Pour exercer ces droits, écrivez-nous à contact@histoply.app. Nous répondrons dans le délai d'un mois prévu par le RGPD (extensible à trois mois en cas de demande complexe). Une preuve d'identité pourra être demandée en cas de doute raisonnable.

11. Droits spécifiques aux résidents américains (CCPA / CPRA)

Si vous résidez en Californie, dans le Colorado, le Connecticut, l'Utah, la Virginie, ou dans tout autre État américain disposant d'une loi de protection des données équivalente, vous bénéficiez de droits supplémentaires en plus de ceux décrits ci-dessus.

A. Catégories d'informations personnelles concernées

Au sens du CCPA (Cal. Civ. Code § 1798.140), nous collectons les catégories suivantes : identifiants (email, UUID, GAID/IDFA), informations commerciales (historique d'achat d'abonnements), activité réseau et d'application (interactions avec les leçons et les publicités), informations de géolocalisation approximative (dérivée de l'IP), et inférences (préférences d'apprentissage).

B. Vos droits

Right to Know — connaître les catégories et éléments d'informations personnelles que nous collectons, utilisons et partageons.
Right to Delete — demander la suppression de vos informations personnelles.
Right to Correct — demander la correction d'informations inexactes.
Right to Opt-Out of Sale or Sharing — refuser que vos informations soient « vendues » ou « partagées » à des fins de publicité comportementale inter-contextuelle.
Right to Limit Use of Sensitive Personal Information — limiter l'usage des informations sensibles.
Right to Non-Discrimination — ne pas subir de traitement défavorable pour avoir exercé l'un de ces droits.

C. « Do Not Sell or Share My Personal Information »

Nous ne vendons pas vos informations personnelles contre rémunération monétaire. En revanche, le partage avec nos partenaires publicitaires (Google AdMob et son écosystème) à des fins de publicité comportementale inter-contextuelle peut être qualifié de « partage » au sens du CPRA. Vous pouvez vous y opposer à tout moment :

Dans l'application : Profil → « Préférences publicitaires » → refuser la publicité personnalisée.
Au niveau de votre appareil : activer un signal Global Privacy Control (GPC) sur votre navigateur, ou supprimer/réinitialiser votre identifiant publicitaire mobile.
Par email : envoyer une demande à contact@histoply.app avec l'objet « CCPA Opt-Out ».

D. Mineurs (CCPA § 1798.120(c))

Nous ne vendons ni ne partageons sciemment d'informations personnelles d'utilisateurs de moins de 16 ans sans leur consentement affirmatif (ou celui de leur parent ou tuteur pour les moins de 13 ans).

12. Cookies, SDK et identifiants mobiles

Site web histoply.app : aucun cookie tiers, aucun traceur publicitaire, aucune analytique. Les polices d'écriture (Poppins et Lora) sont auto-hébergées. Seuls des éléments techniques strictement nécessaires (cache navigateur, sécurité) peuvent être stockés.

Application mobile : nous intégrons les SDK suivants, qui traitent des données conformément à cette Politique :

Supabase (auth + base de données) — fonctionnement essentiel.
Google Sign-In — authentification.
Google AdMob + UMP SDK — diffusion de publicité et recueil du consentement publicitaire.
RevenueCat — gestion des abonnements.

Les identifiants publicitaires mobiles (Google Advertising ID sur Android, IDFA sur iOS le cas échéant) sont utilisés uniquement avec votre consentement, recueilli via le SDK UMP. Vous pouvez les réinitialiser ou les désactiver à tout moment depuis les réglages de votre appareil (voir section 3.E).

13. Modifications de la Politique

Nous pouvons mettre à jour cette Politique pour refléter des évolutions techniques, légales ou de notre Service. La date de « Dernière mise à jour » et le numéro de version en haut de page indiquent la révision en vigueur. En cas de modification substantielle, nous vous en informerons par email ou via une notification dans l'application avant l'entrée en vigueur des changements.

14. Contact

Volvelle SASU

58 rue de Monceau, 75008 Paris, France

Email : contact@histoply.app

SIREN : 100 705 136 — RCS Paris

Pour toute question sur cette Politique ou pour exercer vos droits, écrivez-nous à l'adresse email ci-dessus. Vous pouvez également déposer une réclamation auprès de la CNIL (www.cnil.fr/fr/plaintes) si vous estimez que vos droits ne sont pas respectés.