1. Introduction
Lyph (lyph.fr) est un SaaS pour tatoueurs indépendants : dossiers clients, acomptes, agenda Google, croquis et espace client. Cette politique décrit les données traitées, les finalités, les durées, tes droits et nos sous-traitants.
Responsable du traitement (comptes tatoueurs) : Lucas Hacher — lucashacher@gmail.com.
2. Rôles RGPD
Pour les données des clients finaux saisies par un tatoueur (nom, email, projet, croquis), le tatoueur est responsable de traitement et Lyphagit en sous-traitant technique. Pour les données de compte tatoueur et de facturation de l'abonnement Lyph, Lucas Hacher est responsable de traitement.
3. Données Google Calendar
Si tu connectes Google, nous demandons le scope calendar.events (voir, créer, modifier et supprimer des événements) uniquement pour :
- afficher ton agenda dans le tableau de bord Lyph ;
- créer ou mettre à jour un événement lors de la confirmation d’un RDV ou du paiement d’un acompte ;
- supprimer l’événement lié en cas d’annulation ou de déconnexion.
Pas d'usage publicitaire ni de revente. Jetons OAuth et identifiants d'événements (google_event_id) peuvent être stockés ; le contenu détaillé des événements est lu via l'API au fil de l'usage.
4. Autres données traitées
- Compte tatoueur : email, mot de passe (hash), profil (nom, slug, bio, Instagram).
- Dossiers clients : identité, contact, description de projet, montants, statuts, séances.
- Croquis et documents uploadés (stockage privé Supabase) ; partage client avec filigrane si activé.
- Documents de vérification pro (hygiène, ARS) — analyse automatique pour le badge confiance.
- Paiements : Stripe gère les cartes ; nous stockons identifiants de session / intent, pas les numéros de carte.
- Emails transactionnels (liens d’acompte, confirmations) via Resend.
- Journaux techniques : IP, user-agent, horodatages (sécurité et support).
5. Bases légales
- Exécution du contrat (fourniture du service SaaS).
- Consentement (connexion Google OAuth).
- Intérêt légitime (sécurité, amélioration du service, support).
- Obligations légales (facturation abonnement, conservation comptable le cas échéant).
6. Conservation
Les données sont conservées tant que le compte est actif, puis supprimées ou anonymisées dans un délai raisonnable après clôture du compte, sauf obligation légale de conservation. Les jetons Google sont supprimés lors de la déconnexion Agenda. Les messages de contact support sont conservés le temps du traitement de la demande.
7. Sécurité
- HTTPS (TLS) pour toutes les communications.
- Chiffrement au repos côté Supabase.
- Row Level Security : chaque tatoueur n’accède qu’à ses données.
- Jetons Google et secrets jamais exposés côté client.
- Principe du moindre privilège sur les scopes OAuth.
8. Sous-traitants
- Supabase — auth, base de données, stockage fichiers ;
- Vercel — hébergement ;
- Stripe — abonnement Lyph et acomptes Connect ;
- Google — API Calendar ;
- Resend — emails transactionnels ;
- n8n (le cas échéant) — orchestration de notifications après paiement.
9. Cookies et stockage local
Nous utilisons des cookies/session strictement nécessaires à l'authentification. La préférence de thème (clair/sombre) peut être stockée localement dans ton navigateur (localStorage). Pas de publicité tierce ni de profilage publicitaire.
10. Tes droits
Tu peux à tout moment :
- déconnecter Google Agenda dans Réglages ;
- révoquer Lyph depuis myaccount.google.com/permissions ;
- demander accès, rectification, suppression, opposition, limitation ou portabilité via email.
Tu peux introduire une réclamation auprès de la CNIL (cnil.fr).
11. Contact
Questions sur cette politique : lucashacher@gmail.com. Voir aussi les mentions légales.
© 2026 Lyph