Politique de confidentialité

Timline traite les données nécessaires à la création et à la gestion de votre compte : email, nom, mot de passe chiffré, image de profil, statut d'abonnement et données de session.

Lorsque vous utilisez l'application, des données de travail peuvent aussi être enregistrées : projets, visuels, templates, médias importés, base de données sportive, messages de contact et journaux de sécurité.

Ces données sont utilisées pour authentifier les utilisateurs, fournir les fonctionnalités de création graphique, gérer les abonnements, assurer le support, protéger la plateforme contre les abus et respecter les obligations légales.

Les données de sécurité peuvent inclure des informations techniques limitées comme l'adresse IP, la route ciblée et l'agent utilisateur lorsqu'un événement de sécurité ou une action admin sensible est détecté.

Les paiements et la gestion d'abonnement reposent sur Stripe (États-Unis). Timline ne stocke pas les numéros complets de carte bancaire. Stripe agit en qualité de sous-traitant et dispose d'un accord de traitement des données (DPA) conforme au RGPD.

La base de données est hébergée via Supabase (PostgreSQL managé, région EU-Francfort). L'envoi d'emails transactionnels est assuré via IONOS (Allemagne, Union Européenne). Les médias uploadés (photos, logos, images) sont stockés sur Cloudflare R2 (région EU-Ouest).

Les transferts de données vers des sous-traitants établis hors de l'Union Européenne (Stripe, Supabase, Cloudflare) sont encadrés par des clauses contractuelles types (CCT) conformes au RGPD. Les données sont hébergées dans des régions européennes pour chaque service concerné.

Les médias importés par les utilisateurs sont conservés pour permettre l'édition, l'automatisation et l'export de visuels. Des contrôles de taille, de type et de sécurité sont appliqués côté serveur.

Les imports externes sont limités à des usages techniques légitimes et peuvent être bloqués lorsqu'une cible réseau est considérée comme sensible ou dangereuse.

Les données sont conservées aussi longtemps que le compte reste actif ou que cela est nécessaire pour fournir le service, traiter une demande d'assistance, établir une preuve ou satisfaire une obligation légale.

Les journaux techniques et de sécurité sont conservés pendant une durée limitée et proportionnée à leur finalité de protection, d'investigation et d'audit.

Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, de suppression, de limitation du traitement et d'opposition. Vous pouvez également exercer votre droit à la portabilité et recevoir une copie de vos données dans un format structuré et lisible par machine.

Une fonctionnalité de suppression de compte est disponible dans les paramètres de l'application. Un export complet de vos données personnelles est accessible via les paramètres de votre compte. Certaines données de facturation ou obligations légales peuvent toutefois imposer une rétention résiduelle limitée.

Pour toute demande relative à vos droits, utilisez la messagerie intégrée ou contactez l'équipe via les canaux de support communiqués par Timline. Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (cnil.fr).

Si vous avez accès à votre compte, vous pouvez demander un export de vos données depuis les paramètres de l'application. Cet export est fourni dans un format structuré et lisible par machine.

Si vous n'avez plus accès à votre compte, vous pouvez contacter Timline via les canaux de support. Une vérification d'identité ou de contrôle de l'adresse email concernée pourra être demandée avant toute transmission de données.

Les demandes sont traitées sans retard excessif et, en principe, dans un délai maximal d'un mois à compter de leur réception, sauf cas complexe ou demande manifestement excessive au sens du RGPD.

Timline applique des mesures techniques et organisationnelles raisonnables : chiffrement des secrets et des champs sensibles via AES-256-GCM, hachage bcrypt des mots de passe, authentification à deux facteurs (2FA) disponible, contrôle d'accès, validation des entrées, journalisation admin chiffrée, limitation de débit (Upstash Redis), protections HTTP (HSTS, CSP, X-Frame-Options) et surveillance des opérations sensibles.

Aucune solution n'offre un risque zéro. En cas d'incident majeur, une procédure de réponse et de rotation des secrets est appliquée. Une notification est faite aux personnes concernées et à la CNIL lorsque les conditions réglementaires l'exigent.

Timline utilise uniquement des cookies strictement nécessaires au fonctionnement du service : cookie de session NextAuth pour maintenir l'authentification, cookie de préférence de thème (clair / sombre), cookie de consentement aux cookies (durée 13 mois). Ces cookies sont exemptés de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés.

Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers (Google Analytics, Meta Pixel, etc.) et aucun cookie de réseau social n'est déposé par défaut. Lors d'un paiement, Stripe peut déposer ses propres cookies sur le domaine de checkout pour la prévention de la fraude — ces dépôts sont sous la responsabilité de Stripe et soumis à sa propre politique.

Le bandeau de consentement présenté à la première visite permet d'accepter ou de refuser les cookies non strictement nécessaires. Cette préférence est conservée 13 mois maximum et peut être révoquée à tout moment en effaçant les données du site dans votre navigateur.

Compte utilisateur actif : conservé tant que l'abonnement est actif ou que vous utilisez le service. Compte suspendu : 30 jours avant suppression définitive. Compte payant expiré non renouvelé : 36 mois.

Visuels en corbeille : 30 jours. Visuels non ouverts depuis longtemps : 24 mois (alerte préalable à 22 mois). Notifications lues ou envoyées : 30 jours. Demandes de contact : 24 mois. Journaux d'audit administrateur : 12 mois. Codes 2FA à usage unique : 10 minutes.

Données de facturation conservées au titre des obligations comptables et fiscales : durée minimale prévue par la loi française (en règle générale 10 ans pour les pièces comptables).

Pour toute question relative à la confidentialité, au support ou à l'exercice de vos droits, utilisez la messagerie intégrée si vous avez un compte, ou contactez l'équipe à support.timline@gmail.com.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : 3 place de Fontenoy, 75007 Paris, ou en ligne sur cnil.fr.