Politique de confidentialité
Dernière mise à jour : mai 2026 - Version 3.0
Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
Poomli accorde une importance particulière à la protection de tes données personnelles. Cette politique t'informe de manière transparente sur leur collecte, leur utilisation et leur protection. Poomli ne vend jamais tes données.Elles servent exclusivement à te fournir le service que tu as demandé.
Article 1 - Responsable du traitement
Poomli - Gaëlle Pairel
Micro-entreprise - SIRET : 82969150000047 - Code APE : 7410Z
Siège social : allée André Malraux, 69140 Rillieux-la-Pape
Référent données personnelles : hello@poomli.fr
Article 2 - Données personnelles collectées
Données que tu fournis directement
- Données d'identification : prénom et adresse email, collectés lors de la création de ton compte ou du téléchargement d'une ressource gratuite.
- Données du questionnaire (19 questions) : budget, logement, mode de vie, préférences en matière d'alimentation, de transport et d'équipement, pour générer ta liste de naissance personnalisée.
- Données du Baby Planner Digital : date prévue d'accouchement (DPA), semaine d'aménorrhée (SA), parité, préférences sur l'allaitement, les couches et le mode de garde. Ces données peuvent être qualifiées de données de santé au sens de l'article 9 du RGPD (voir Article 4).
- Données de prise de rendez-vous : prénom et email transmis à Calendly pour organiser une consultation vidéo premium.
Données collectées automatiquement
Adresse IP, type de navigateur, pages visitées, durée de visite - à des fins de sécurité, de limitation des abus et, avec ton consentement, d'analyse d'audience.
Données de paiement
Les paiements sont traités exclusivement par Stripe Payments Europe. Poomli ne stocke jamais ton numéro de carte ni tes données bancaires. Stripe transmet uniquement une confirmation de transaction.
Article 3 - Finalités et bases légales
| Finalité | Données concernées | Base légale RGPD |
|---|---|---|
| Création et gestion du compte | Prénom, email | Exécution du contrat (art. 6.1.b) |
| Génération de la liste de naissance | Données questionnaire | Exécution du contrat (art. 6.1.b) |
| Personnalisation du Baby Planner | Données de grossesse | Consentement explicite (art. 9.2.a) |
| Emails transactionnels (accès, confirmation, rappels) | Email, prénom | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements | Email, montant, date | Exécution du contrat (art. 6.1.b) |
| Conservation des justificatifs comptables | Données de facturation | Obligation légale (art. 6.1.c) |
| Emails marketing et newsletter | Consentement (art. 6.1.a) | |
| Mesure d'audience (Google Analytics) | IP, navigation | Consentement (art. 6.1.a) |
| Amélioration du service, statistiques internes | Données agrégées anonymisées | Intérêt légitime (art. 6.1.f) |
| Sécurité, rate limiting, prévention des abus | IP uniquement | Intérêt légitime (art. 6.1.f) |
| Prise de rendez-vous consultation premium | Prénom, email | Exécution du contrat (art. 6.1.b) |
Article 4 - Données de grossesse (données sensibles)
Les données relatives à ta grossesse (DPA, SA, suivi de poids, mouvements fœtaux, projet de naissance, préférences d'accouchement) sont des données de santéprotégées par l'article 9 du RGPD. Elles bénéficient du niveau de protection le plus élevé.
Poomli s'engage à :
- Ne collecter ces données qu'avec ton consentement explicite, recueilli lors de l'activation du Baby Planner. Tu peux le retirer à tout moment sans que cela n'affecte ton accès aux autres fonctionnalités.
- Ne jamais utiliser ces données à des fins publicitaires, de profilage commercial, ni les transmettre à des assureurs, employeurs ou prestataires de santé.
- Les conserver 12 mois maximum, puis les supprimer automatiquement. Tu peux demander leur suppression immédiate à tout moment.
- Les stocker dans Firebase Firestore (Google Ireland, UE, région europe-west), avec des règles d'accès strictes : seul ton compte authentifié peut lire tes données.
- En cas de violation affectant ces données, notifier la CNIL dans les 72 heures et t'en informer personnellement sans délai (art. 33 et 34 RGPD).
Article 5 - Durées de conservation
| Catégorie | Durée |
|---|---|
| Données de compte (prénom, email) | Durée de la relation contractuelle + 3 ans |
| Données du questionnaire et de grossesse | 12 mois après la dernière utilisation, puis suppression |
| Données de facturation | 10 ans (art. L123-22 du Code de commerce) |
| Données de paiement | Conservées par Stripe selon ses obligations légales propres |
| Cookies analytiques | 13 mois maximum |
| Prospects non-clients | 36 mois après le dernier contact |
| Logs de sécurité (IP) | 12 mois |
Les données peuvent être supprimées à tout moment sur demande (voir Article 9).
Article 6 - Destinataires et sous-traitants
Poomli ne vend jamais tes données. Elles peuvent être communiquées aux sous-traitants suivants, strictement nécessaires au fonctionnement du service, chacun lié par un accord de traitement des données conforme au RGPD :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement du site | USA (voir art. 7) | CCT |
| Firebase / Firestore (Google Ireland Ltd.) | Authentification, stockage des données | UE - Irlande (europe-west) | ISO 27001, SOC 2 et SOC 3 |
| Stripe Payments Europe Ltd. | Traitement des paiements | UE - Irlande | PCI-DSS niveau 1 |
| Brevo SAS | Emails transactionnels et marketing | France (UE) | ISO 27001 |
| Upstash Inc. | Limitation de débit anti-abus (IP uniquement) | USA (voir art. 7) | CCT |
| Calendly LLC | Prise de rendez-vous consultation premium | USA (voir art. 7) | CCT |
| Google Analytics (Google Ireland Ltd.) | Mesure d'audience (avec consentement) | UE - Irlande | ISO 27001 |
Article 7 - Transferts hors de l'Union européenne
Trois prestataires sont établis aux États-Unis : Vercel, Upstash et Calendly. Ces transferts sont encadrés par les clauses contractuelles types (CCT)adoptées par la Commission européenne (décision 2021/914) et/ou le cadre EU-US Data Privacy Framework, conformément aux articles 46 et 49 du RGPD.
Upstash ne reçoit que des données techniques (adresse IP) utilisées exclusivement pour la limitation de débit. Les données personnelles (réponses au questionnaire, données de grossesse) ne lui sont jamais transmises.
Firebase, Stripe, Brevo et Google Analytics sont hébergés au sein de l'Union européenne et ne font l'objet d'aucun transfert vers des pays tiers. Pour obtenir une copie des garanties mises en place, écrivez à hello@poomli.fr.
Article 8 - Sécurité des données
Poomli met en œuvre les mesures suivantes pour protéger tes données :
- Chiffrement des données en transit (HTTPS/TLS) et au repos.
- Hébergement sur Firebase (infrastructure Google), certifiée ISO 27001, SOC 2 et SOC 3.
- Paiements traités par Stripe, certifié PCI-DSS niveau 1.
- Authentification sécurisée via Firebase Auth (magic link, Google Sign-In).
- Accès restreint aux données : seule Gaëlle Pairel, fondatrice de Poomli, dispose d'un accès administrateur.
- Règles Firestore strictes : seul ton compte authentifié peut lire tes données.
Toutefois, aucune transmission de données sur Internet ne peut être garantie comme totalement sécurisée. En cas de violation de données susceptible d'engendrer un risque pour tes droits et libertés, Poomli s'engage à notifier la CNIL dans un délai de 72 heures et à t'en informer sans délai (art. 33 et 34 RGPD).
Article 9 - Tes droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, tu disposes des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que tes données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de tes données, sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement (art. 18) : demander la suspension temporaire du traitement dans certains cas.
- Droit à la portabilité (art. 20) : recevoir tes données dans un format structuré, lisible par machine.
- Droit d'opposition (art. 21) : t'opposer au traitement fondé sur l'intérêt légitime, ou te désabonner des emails marketing via le lien présent dans chaque email.
- Droit de retrait du consentement (art. 7.3) : à tout moment, sans affecter la licéité du traitement antérieur.
- Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : aucune décision te concernant n'est prise sur la seule base d'un traitement automatisé.
- Directives post-mortem (art. 85 loi Informatique et Libertés) : définir le sort de tes données après ton décès.
Pour exercer ces droits, écrivez à hello@poomli.fr en précisant ta demande et en joignant un justificatif d'identité si nécessaire. Poomli répond dans un délai maximum de 30 jours, prorogeable de deux mois en cas de demande complexe (avec information préalable).
Article 10 - Recours auprès de la CNIL
Si tu estimes que le traitement de tes données ne respecte pas la réglementation, tu peux introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr - CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Article 11 - Cookies
Pour toute information sur les cookies utilisés par poomli.fr, consultez la Politique de cookies. Tu peux modifier tes préférences à tout moment via le bandeau de gestion des cookies.
Article 12 - Modification de cette politique
Poomli se réserve le droit de modifier la présente politique à tout moment. Toute modification sera publiée sur cette page avec mise à jour de la date et du numéro de version. En cas de modification substantielle affectant tes droits, tu seras informé(e) par email avant l'entrée en vigueur des changements. Les versions précédentes sont disponibles sur demande à hello@poomli.fr.