Politique de confidentialité de Pumpynotes

1. Qui nous sommes et champ d'application de la présente politique

Pumpynotes est une application de productivité de type logiciel en tant que service (SaaS) basée sur le web, qui réunit un calendrier, des notes structurées en blocs et un suivi des finances personnelles et professionnelles multidevises au sein d'un espace de travail unique, ainsi que des espaces de travail partagés pour les équipes. Dans la présente Politique de confidentialité, « Pumpynotes », « nous » et « notre » désignent l'exploitant du service Pumpynotes, et « vous » ou « votre » désigne toute personne qui utilise le service ou interagit de toute autre manière avec nous.

Aux fins du GDPR, Pumpynotes agit en qualité de « responsable du traitement » des données à caractère personnel décrites dans la présente politique, et au titre de la KVKK, il agit en qualité de « responsable du traitement des données » (veri sorumlusu). Cela signifie que nous sommes responsables de la décision relative à la manière dont vos données à caractère personnel sont traitées et aux finalités de ce traitement.

La présente Politique de confidentialité s'applique à toutes les données à caractère personnel que nous traitons dans le cadre de l'application Pumpynotes, de notre site web et de tout service, fonctionnalité ou communication que nous fournissons. Elle décrit les données que nous collectons, les raisons pour lesquelles nous les collectons, les bases juridiques sur lesquelles nous nous appuyons, la durée de leur conservation, les personnes avec lesquelles nous les partageons et les droits dont vous disposez. Le service est actuellement proposé sous forme de bêta publique, et la présente politique s'applique pendant la période de bêta ainsi qu'au-delà, sauf publication d'une version mise à jour.

Notre service est proposé à un public mondial, avec une présence significative dans l'Union européenne et en Türkiye. Pour cette raison, nous avons conçu cette politique de manière à tenir compte des exigences à la fois du GDPR et de la KVKK et à y être conforme. Lorsque les deux cadres juridiques emploient une terminologie différente pour des concepts similaires, nous avons cherché à répondre aux exigences de l'un comme de l'autre.

2. Les données que nous collectons

Données de compte. Lorsque vous créez et gérez un compte Pumpynotes, nous collectons les informations nécessaires à la création et au fonctionnement de ce compte. Cela comprend généralement votre adresse électronique, votre nom ou nom d'affichage, votre mot de passe sous une forme hachée de manière sécurisée, les paramètres de votre compte et de votre espace de travail, la langue et les préférences que vous avez choisies et, le cas échéant, des informations relatives à l'espace de travail auquel vous appartenez ainsi qu'à votre rôle au sein d'un espace de travail d'équipe partagé.

Contenu que vous créez. La finalité première de Pumpynotes est de vous permettre de créer et d'organiser votre propre contenu. Cela comprend les notes et blocs de notes que vous rédigez, les événements de calendrier que vous planifiez et les écritures financières que vous enregistrez, y compris les montants, les devises, les catégories, les descriptions et tout détail financier personnel ou professionnel que vous choisissez de saisir. Ce contenu vous appartient, et nous le traitons pour votre compte afin de fournir le service. Nous n'utilisons pas le contenu que vous créez à des fins publicitaires, et nous ne le vendons pas.

Données d'utilisation et données techniques. Lorsque vous utilisez l'application, nous collectons automatiquement certaines informations d'utilisation et techniques. Cela peut inclure le type de votre appareil et de votre navigateur, votre système d'exploitation, votre adresse IP, votre localisation approximative déduite de votre adresse IP, vos paramètres de langue, les pages et fonctionnalités que vous utilisez, les dates et heures de votre activité, les pages d'entrée et de sortie, ainsi que les données de diagnostic et de journalisation générées lors de l'utilisation du service ou en cas d'erreur. Ces informations nous aident à exploiter, sécuriser et améliorer le service.

Données de facturation. Lorsque vous souscrivez un abonnement payant (Free, Pro, Enterprise ou Enterprise+, facturé mensuellement ou annuellement), les paiements sont traités par Paddle.com, qui agit en qualité de Marchand officiel (Merchant of Record) et de vendeur de l'abonnement. Paddle gère le paiement, la facturation, le renouvellement des abonnements ainsi que le calcul et le reversement des taxes et de la TVA applicables. Pumpynotes ne collecte, ne consulte ni ne stocke vos numéros complets de carte de paiement. Nous recevons de Paddle les informations limitées liées à la facturation qui sont nécessaires à la gestion de votre abonnement, telles que votre formule et votre statut d'abonnement, votre pays de facturation, les derniers chiffres ou le type de carte lorsqu'ils sont fournis, les références de factures et les événements de renouvellement ou de résiliation. Pour plus de détails sur la manière dont Paddle traite vos données en qualité de responsable du traitement à part entière, veuillez vous référer à l'avis de confidentialité de Paddle.

3. Comment nous utilisons vos données

Nous utilisons vos données à caractère personnel pour fournir, exploiter et maintenir le service Pumpynotes, notamment pour créer et authentifier votre compte, stocker et afficher les notes, événements et écritures financières que vous créez, permettre le fonctionnement des espaces de travail d'équipe partagés et synchroniser vos données entre vos sessions et vos appareils.

Nous utilisons les données de compte et de facturation pour gérer votre abonnement, traiter et confirmer les paiements par l'intermédiaire de Paddle, vous envoyer des messages transactionnels tels que des confirmations de compte, des alertes de sécurité, des avis de facturation et de renouvellement et des annonces importantes relatives au service, ainsi que pour vous fournir une assistance client lorsque vous nous contactez.

Nous utilisons les données d'utilisation, techniques et de journalisation pour surveiller et garantir la sécurité, la stabilité et les performances du service, pour détecter, prévenir et investiguer la fraude, les abus et les problèmes techniques, pour déboguer et corriger les erreurs, et pour comprendre comment le service est utilisé afin de pouvoir améliorer les fonctionnalités existantes et en développer de nouvelles.

Lorsque vous avez donné votre consentement, nous pouvons utiliser vos coordonnées pour vous envoyer des informations facultatives sur les produits, des bulletins d'information ou d'autres communications non essentielles. Vous pouvez retirer ce consentement à tout moment. Nous pouvons également utiliser des données agrégées ou anonymisées, qui ne permettent plus de vous identifier, à des fins statistiques et analytiques.

4. Bases juridiques du traitement

En vertu du GDPR (article 6) et des dispositions correspondantes de la KVKK (articles 5 et 6), nous ne traitons vos données à caractère personnel que lorsque nous disposons d'une base juridique valable pour le faire. Les bases sur lesquelles nous nous appuyons sont décrites ci-dessous.

Exécution d'un contrat. Nous traitons vos données de compte, le contenu que vous créez ainsi que vos données de facturation et d'abonnement parce que cela est nécessaire pour vous fournir le service Pumpynotes et pour exécuter notre contrat avec vous au titre de nos Conditions d'utilisation. Sans ces données, nous ne pouvons pas créer votre compte, stocker votre contenu ni fournir l'abonnement que vous avez choisi.

Consentement. Lorsque la loi exige le consentement, ou lorsque nous le demandons, nous nous appuyons sur votre consentement, par exemple pour les communications marketing facultatives et pour les cookies ou outils d'analyse non essentiels. Vous pouvez retirer votre consentement à tout moment, et ce retrait n'affecte pas la licéité du traitement effectué avant celui-ci.

Intérêts légitimes. Nous traitons certaines données d'utilisation, techniques et de journalisation sur le fondement de nos intérêts légitimes consistant à maintenir la sécurité du service, à prévenir la fraude et les abus, à entretenir et améliorer le service et à communiquer avec vous au sujet de votre compte. Lorsque nous nous appuyons sur les intérêts légitimes, nous mettons en balance nos intérêts avec vos droits et libertés et nous n'utilisons pas cette base lorsque vos intérêts prévalent sur les nôtres.

Obligations légales. Nous traitons certaines données, telles que les registres de facturation et de transactions, lorsque cela est nécessaire pour respecter des obligations légales auxquelles nous sommes soumis, notamment des exigences fiscales, comptables et de conservation des registres, ainsi que pour répondre aux demandes licites des autorités compétentes. En vertu de la KVKK, le traitement peut également être effectué lorsqu'il est expressément autorisé par la loi ou lorsqu'il est obligatoire pour nous afin de respecter une obligation légale.

5. Cookies et outils d'analyse

Nous utilisons des cookies et des technologies similaires, telles que le stockage local et des identifiants similaires, pour exploiter le service et comprendre la manière dont il est utilisé. Les cookies strictement nécessaires sont indispensables aux fonctionnalités essentielles, comme le maintien de votre connexion, la gestion de votre session, la mémorisation de vos préférences et la protection de la sécurité du service. Ils sont essentiels et ne peuvent pas être désactivés si vous souhaitez utiliser l'application.

Nous pouvons également utiliser des cookies ou technologies d'analyse et de performance afin de collecter des informations sur la manière dont les visiteurs et les utilisateurs interagissent avec le service, par exemple les fonctionnalités utilisées et les performances de l'application. Cela nous aide à identifier les problèmes et à améliorer l'expérience utilisateur. Lorsque ces technologies ne sont pas strictement nécessaires, nous solliciterons votre consentement avant de les utiliser, conformément à la législation applicable.

Vous pouvez contrôler ou supprimer les cookies via les paramètres de votre navigateur et, lorsque nous proposons une bannière de cookies ou de consentement, vous pouvez y gérer vos préférences. Veuillez noter que la désactivation de certains cookies peut affecter la disponibilité ou le fonctionnement de certaines parties du service. Lorsque nous faisons appel à des prestataires tiers d'analyse, ces prestataires traitent les données pour notre compte dans le cadre d'accords appropriés.

6. Comment nous partageons les données et nos sous-traitants ultérieurs

Nous ne vendons pas vos données à caractère personnel. Nous ne partageons les données à caractère personnel que de la manière décrite dans la présente politique et uniquement avec des parties qui nous aident à exploiter le service ou lorsque la loi nous y oblige. Les tiers qui traitent des données à caractère personnel pour notre compte, ou dans le cadre du service, agissent en qualité de nos sous-traitants ultérieurs ou, le cas échéant, en qualité de responsables du traitement indépendants.

Paiements : Paddle. Paddle.com agit en qualité de Marchand officiel (Merchant of Record) pour nos abonnements payants et traite l'ensemble des paiements, du paiement en ligne, de la facturation, des renouvellements ainsi que des taxes et de la TVA applicables. Paddle gère directement vos coordonnées de paiement ; Pumpynotes ne collecte ni ne stocke vos données complètes de carte. Paddle traite les données personnelles et de paiement pertinentes pour exécuter votre achat et pour respecter ses propres obligations légales en tant que vendeur officiel.

Hébergeur. Nous faisons appel à un fournisseur d'hébergement et d'infrastructure cloud réputé pour héberger l'application Pumpynotes, stocker vos données et exploiter les serveurs et bases de données qui font fonctionner le service. Ce fournisseur traite les données à caractère personnel pour notre compte strictement aux fins de la fourniture de services d'hébergement et d'infrastructure, dans le cadre d'un accord de traitement des données qui impose des mesures appropriées de confidentialité et de sécurité.

Fournisseur de services de messagerie. Nous faisons appel à un service tiers d'acheminement des courriels pour envoyer des communications transactionnelles et, le cas échéant, facultatives, telles que des messages de vérification de compte, des avis de sécurité et de facturation et des informations sur les produits. Ce fournisseur traite l'adresse électronique et le contenu des messages nécessaires à l'acheminement de ces courriels pour notre compte.

Autres divulgations. Nous pouvons également divulguer des données à caractère personnel lorsque cela est nécessaire pour respecter la loi, la réglementation, une procédure judiciaire ou une demande exécutoire d'une autorité gouvernementale ou judiciaire ; pour faire respecter nos Conditions d'utilisation ; pour protéger les droits, les biens ou la sécurité de Pumpynotes, de nos utilisateurs ou de tiers ; ou dans le cadre d'une fusion, d'une acquisition, d'un financement ou d'une cession d'actifs, auquel cas nous prendrons des mesures pour garantir que vos données restent protégées.

7. Transferts internationaux de données et garanties

Comme nous exerçons nos activités à l'échelle mondiale et faisons appel à des prestataires de services susceptibles d'être situés dans différents pays, vos données à caractère personnel peuvent être transférées, stockées ou traitées dans des pays autres que le vôtre, y compris en dehors de l'Espace économique européen (EEE) et de la Türkiye. Les lois sur la protection des données dans ces pays peuvent différer de celles de votre juridiction.

Lorsque nous transférons des données à caractère personnel à l'international, nous prenons des mesures pour garantir qu'elles demeurent protégées selon un niveau conforme à la présente politique et à la législation applicable. Pour les transferts depuis l'EEE, nous nous appuyons sur des garanties appropriées telles que les clauses contractuelles types de la Commission européenne, les transferts vers des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat, ou d'autres mécanismes de transfert licites, assortis de mesures supplémentaires lorsque cela est nécessaire.

Pour les transferts de données à caractère personnel à l'étranger relevant de la KVKK, nous effectuons ces transferts conformément aux conditions énoncées dans le droit turc de la protection des données, ce qui peut inclure l'obtention de votre consentement explicite lorsque cela est requis, le recours à une décision d'adéquation, ou la mise en place d'engagements écrits ou d'autres garanties approuvés par l'autorité turque compétente. Vous pouvez nous contacter pour obtenir davantage d'informations sur les garanties que nous appliquons à un transfert particulier.

8. Conservation des données

Nous ne conservons les données à caractère personnel que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, notamment la fourniture du service, le respect de nos obligations légales, fiscales et comptables, le règlement des litiges et l'exécution de nos accords.

Tant que votre compte est actif, nous conservons vos données de compte et le contenu que vous créez (vos notes, événements et écritures financières) afin que le service puisse fonctionner. Si vous supprimez un contenu spécifique, celui-ci est retiré de votre espace de travail actif, bien que des copies résiduelles puissent subsister dans les sauvegardes pendant une période limitée avant d'être écrasées ou supprimées dans le cadre normal de notre cycle de sauvegarde.

Lorsque vous fermez votre compte, ou après une période d'inactivité prolongée, nous supprimerons ou anonymiserons vos données à caractère personnel dans un délai raisonnable, sauf lorsque nous sommes tenus ou autorisés à conserver certaines données plus longtemps. Par exemple, les registres de facturation et de transactions peuvent être conservés pendant la durée requise par les lois fiscales et comptables applicables. Une fois que la conservation n'est plus nécessaire ni légalement requise, nous supprimons de manière sécurisée ou anonymisons de façon irréversible les données.

9. Mesures de sécurité

Nous prenons au sérieux la sécurité de vos données à caractère personnel et mettons en œuvre des mesures techniques et organisationnelles appropriées pour les protéger contre tout accès, divulgation, altération, perte ou destruction non autorisés ou illicites. Ces mesures comprennent le chiffrement des données en transit au moyen de protocoles conformes aux normes du secteur, le chiffrement des données au repos lorsque cela est approprié, le hachage sécurisé des mots de passe, des contrôles d'accès limitant l'accès aux données à caractère personnel aux seules personnes qui en ont besoin, des contrôles de sécurité réseau et applicative, la journalisation et la surveillance, ainsi que le réexamen régulier de nos pratiques de sécurité.

Nous exigeons de nos sous-traitants ultérieurs qu'ils maintiennent des mesures de sécurité appropriées et qu'ils ne traitent les données à caractère personnel que selon nos instructions et sous réserve d'obligations de confidentialité. Nous limitons l'accès à votre contenu au personnel et aux processus autorisés qui en ont besoin pour exploiter le service.

Bien que nous nous efforcions de protéger vos données, aucune méthode de transmission sur Internet ni aucune méthode de stockage électronique n'est totalement sûre, et nous ne pouvons garantir une sécurité absolue. Vous jouez également un rôle important dans la protection de vos données en utilisant un mot de passe fort et unique, en gardant vos identifiants confidentiels et en nous avertissant rapidement si vous soupçonnez une utilisation non autorisée de votre compte. En cas de violation de données à caractère personnel susceptible d'affecter vos droits, nous en informerons l'autorité de contrôle compétente et, lorsque cela est requis, les utilisateurs concernés, conformément à la législation applicable.

10. Vos droits au titre du GDPR et de la KVKK

Selon votre localisation et la législation applicable, vous disposez d'un certain nombre de droits relatifs à vos données à caractère personnel. Au titre du GDPR et de la KVKK, ceux-ci comprennent le droit d'accéder à vos données à caractère personnel et d'obtenir des informations sur la manière dont elles sont traitées ; le droit de rectification, c'est-à-dire la correction de données inexactes ou incomplètes ; et le droit à l'effacement, vous permettant de demander la suppression de vos données dans certaines circonstances.

Vous disposez également du droit à la limitation du traitement dans certaines situations ; du droit à la portabilité des données, vous permettant de recevoir certaines données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et de les faire transmettre à un autre responsable du traitement lorsque cela est techniquement possible ; et du droit de vous opposer à un traitement effectué sur le fondement de nos intérêts légitimes, ainsi que de vous opposer au marketing direct à tout moment.

Lorsque nous nous appuyons sur votre consentement, vous avez le droit de retirer ce consentement à tout moment, sans que cela n'affecte la licéité du traitement effectué avant le retrait. En vertu de la KVKK, vous disposez en outre du droit de savoir si vos données sont traitées, de demander des informations sur le traitement, de connaître la finalité du traitement et de savoir si vos données sont utilisées conformément à cette finalité, de connaître les tiers auxquels vos données sont transférées sur le territoire national ou à l'étranger, de demander la notification des corrections ou suppressions à ces tiers, de vous opposer à tout résultat qui se produirait à votre encontre du fait de l'analyse de vos données exclusivement par des moyens automatisés, ainsi que de réclamer une indemnisation pour les dommages résultant d'un traitement illicite.

Pour exercer l'un de ces droits, veuillez nous contacter à l'adresse [email protected]. Nous répondrons dans les délais requis par la législation applicable. Nous pourrons avoir besoin de vérifier votre identité avant de donner suite à votre demande et, dans certains cas, nous pourrons être dans l'impossibilité de nous y conformer pleinement lorsque la loi nous autorise ou nous oblige à conserver certaines données. L'exercice de vos droits est normalement gratuit, mais nous pouvons facturer des frais raisonnables ou refuser de donner suite lorsqu'une demande est manifestement infondée ou excessive, dans la mesure permise par la loi.

Si vous estimez que vos droits n'ont pas été respectés, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. Dans l'Union européenne, il s'agit de l'autorité de protection des données de votre pays de résidence, de votre lieu de travail ou du lieu où la prétendue violation a été commise. En Türkiye, il s'agit de l'Autorité turque de protection des données à caractère personnel (Kişisel Verileri Koruma Kurumu, KVKK). Nous apprécierions toutefois d'avoir l'occasion de répondre à vos préoccupations directement avant que vous ne saisissiez une autorité, c'est pourquoi nous vous encourageons à nous contacter en premier lieu.

11. Confidentialité des enfants

Pumpynotes ne s'adresse pas aux enfants, et nous ne collectons pas sciemment de données à caractère personnel auprès d'enfants n'ayant pas atteint l'âge requis pour donner leur consentement en vertu de la législation applicable. Dans l'Union européenne, l'âge minimum pertinent pour consentir à des services en ligne peut varier de 13 à 16 ans selon le pays, et en Türkiye des protections similaires s'appliquent aux mineurs.

Si vous n'avez pas atteint l'âge applicable dans votre juridiction, vous ne devez pas utiliser le service ni nous fournir de données à caractère personnel sans l'intervention et le consentement d'un parent ou d'un tuteur légal. Si nous apprenons que nous avons collecté des données à caractère personnel auprès d'un enfant sans le consentement approprié, nous prendrons des mesures pour supprimer ces données rapidement. Si vous estimez qu'un enfant nous a fourni des données à caractère personnel, veuillez nous contacter à l'adresse [email protected] afin que nous puissions prendre les mesures appropriées.

12. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre afin de refléter des changements dans nos pratiques, dans le service ou dans les exigences légales et réglementaires. Lorsque nous apportons des modifications, nous mettrons à jour la date ou la version indiquée dans la politique et, lorsque les modifications sont importantes, nous fournirons un avis plus visible, tel qu'une notification au sein de l'application ou par courrier électronique.

Nous vous encourageons à consulter cette politique régulièrement afin de rester informé de la manière dont nous protégeons vos données à caractère personnel. La poursuite de votre utilisation de Pumpynotes après l'entrée en vigueur d'une politique mise à jour indique que vous avez connaissance de la politique révisée et, lorsque les modifications requièrent votre consentement en vertu de la législation applicable, nous solliciterons ce consentement avant de nous appuyer sur le traitement concerné.

13. Comment nous contacter

Si vous avez des questions, des préoccupations ou des demandes concernant la présente Politique de confidentialité ou la manière dont nous traitons vos données à caractère personnel, ou si vous souhaitez exercer l'un de vos droits, vous pouvez nous contacter à l'adresse [email protected]. Nous agissons en qualité de responsable du traitement de vos données à caractère personnel, et cette adresse électronique constitue le point de contact principal pour toutes les questions liées à la confidentialité, y compris les demandes au titre du GDPR et de la KVKK.

La présente Politique de confidentialité est régie et interprétée conformément aux lois de la République de Türkiye, sans préjudice des droits et recours impératifs en matière de protection des données dont vous disposez en vertu des lois de votre pays de résidence, notamment au titre du GDPR pour les utilisateurs situés dans l'Espace économique européen.