Dernière mise à jour : 17 juin 2026
Politique de confidentialité
Applicable à l'application mobile Evadeo (Android & iOS) et au site web evadeo.app.
1. Responsable du traitement
Le responsable du traitement des données personnelles est Evadeo, éditeur de la plateforme Evadeo (site web et application mobile).
Contact : administration@evadeo.io
Evadeo est actuellement en phase de bêta test. Aucun paiement n'est collecté à ce stade.
2. Données collectées
Nous collectons uniquement les données nécessaires au fonctionnement du service :
- Données de compte :adresse e-mail, prénom, nom et photo de profil (lors de l'inscription par e-mail ou via Google OAuth).
- Données de voyage :destinations, dates, itinéraires, activités, hébergements, dépenses, documents de voyage (titres de transport, réservations importés manuellement) et notes personnelles saisis dans l'application.
- Données de groupe : liste des membres invités (adresse e-mail), rôles et contributions aux dépenses partagées.
- Préférences :centres d'intérêt, style de voyage, budget indicatif, sélectionnés lors de l'onboarding ou modifiables dans les paramètres.
- Données de navigation (web) : adresse IP, type de navigateur, pages visitées via les journaux serveur Vercel.
- Données d'utilisation (mobile) : identifiant de l'appareil (uniquement pour les notifications push si vous les autorisez), version de l'OS, langue du système.
Evadeo ne collecte pasde données de localisation GPS, de contacts du téléphone, de données biométriques, ni d'informations de paiement.
3. Finalités du traitement
- Créer et gérer votre compte utilisateur.
- Fournir les fonctionnalités de planification et de suivi de voyage (itinéraire, dépenses, documents, membres).
- Générer des suggestions d'activités et d'itinéraires via IA, en se basant sur vos préférences.
- Envoyer des invitations par e-mail aux membres que vous ajoutez à un voyage.
- Envoyer des notifications push si vous les avez activées (rappels, mises à jour du groupe).
- Assurer la sécurité, la stabilité et l'amélioration du service.
- Répondre à vos demandes de support ou de contact.
4. Base légale (RGPD)
- Exécution du contrat de service— traitement nécessaire pour fournir les fonctionnalités de l'application (art. 6.1.b RGPD).
- Consentement— notifications push, cookies d'analyse (art. 6.1.a RGPD). Vous pouvez retirer ce consentement à tout moment.
- Intérêt légitime — journaux serveur, sécurité de la plateforme (art. 6.1.f RGPD).
5. Hébergement et stockage des données
Toutes les données personnelles sont stockées et traitées via Supabase(base de données PostgreSQL managée). Supabase est hébergé sur l'infrastructure AWS en région Europe (eu-west-1 — Irlande), garantissant que vos données restent dans l'Espace Économique Européen (EEE).
- Supabase Auth— gestion de l'authentification (sessions, tokens JWT, OAuth Google). Les mots de passe sont hachés avec bcrypt ; Evadeo n'y a jamais accès en clair.
- Supabase Storage — stockage des fichiers uploadés (photos de profil, documents importés).
- Vercel — hébergement du site web et du backend Next.js (Edge Network, EEE).
- Anthropic (Claude API)— génération IA des suggestions de voyage. Seules les préférences et destinations (sans identifiant personnel) sont transmises ; les données ne sont pas utilisées pour entraîner les modèles d'Anthropic (cf. politique Anthropic API).
- Google OAuth— uniquement pour l'authentification si vous choisissez « Continuer avec Google ». Aucune donnée Google n'est stockée au-delà de votre e-mail et nom de profil.
Aucune donnée n'est vendue, louée ou partagée à des fins publicitaires ou commerciales.
6. Authentification
Evadeo propose deux méthodes d'authentification :
- E-mail + mot de passe — inscription classique avec vérification par e-mail.
- Google OAuth — connexion en un clic via votre compte Google.
Les sessions sont gérées par des tokens JWT signés côté Supabase, stockés de façon sécurisée (SecureStore sur mobile, httpOnly cookie sur web). Aucun mot de passe n'est stocké dans l'application.
7. Durée de conservation
- Données de compte et de voyage : conservées tant que votre compte est actif.
- Suppression de compte : sur demande, vos données personnelles et vos voyages sont effacés dans un délai de 30 jours, sauf obligation légale contraire. Pour demander la suppression, écrivez à administration@evadeo.io.
- Journaux serveur : conservés 90 jours à des fins de diagnostic et de sécurité.
- Tokens de session :expiration automatique après 7 jours d'inactivité.
8. Cookies (web uniquement)
L'application mobile n'utilise pas de cookies. Sur le site web, deux catégories sont utilisées :
- Cookies strictement nécessaires— session d'authentification, préférences d'accès. Toujours actifs, ne nécessitent pas de consentement.
- Cookies d'analyse— Vercel Analytics (mesure d'audience anonymisée). Activés uniquement avec votre consentement. Aucune donnée revendue.
Vous pouvez retirer votre consentement à tout moment en supprimant le cookie evadeo_cookie_consent dans les réglages de votre navigateur.
9. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Accès — obtenir une copie de vos données personnelles.
- Rectification — corriger des données inexactes ou incomplètes.
- Suppression— demander l'effacement de vos données (« droit à l'oubli »).
- Portabilité — recevoir vos données dans un format structuré et lisible.
- Opposition— vous opposer à certains traitements (ex. analyse d'audience).
- Limitation — demander la restriction du traitement dans certains cas.
Pour exercer ces droits : administration@evadeo.io ou via notre formulaire de contact. Nous répondons sous 30 jours.
10. Protection des mineurs
Evadeo est destiné aux personnes de 16 ans et plus. Nous ne collectons pas sciemment de données personnelles concernant des enfants de moins de 16 ans. Si vous pensez qu'un enfant a créé un compte, contactez-nous pour procéder à la suppression immédiate.
11. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données : chiffrement des données en transit (HTTPS/TLS), hachage des mots de passe (bcrypt), tokens JWT avec expiration courte, accès à la base de données restreint par Row-Level Security (RLS) Supabase, et journalisation des accès.
12. Transferts hors EEE
Les données sont hébergées dans l'EEE (AWS eu-west-1). Les appels à l'API Anthropic (Claude) impliquent un transfert vers des serveurs aux États-Unis ; ce transfert est encadré par les clauses contractuelles types d'Anthropic. Les données transmises ne contiennent pas d'identifiant personnel direct.
13. Modifications de cette politique
Nous pouvons mettre à jour cette politique à tout moment. En cas de modification substantielle, vous serez notifié par e-mail ou par une notification dans l'application au moins 15 jours avant l'entrée en vigueur des changements. La version en vigueur est toujours disponible à cette adresse.
14. Autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de protection des données (APD) belge : dataprotectionauthority.be, ou auprès de l'autorité compétente de votre pays de résidence au sein de l'UE/EEE.