Politique de confidentialité

Le responsable du traitement des données à caractère personnel collectées via le service FlashNomadeest l'éditeur du site, un particulier résident fiscal en Espagne, en cours d'immatriculation comme travailleur indépendant.

Contact : hello@flashnomade.com
Coordonnées postales : communiquées sur demande écrite à cette adresse email.

Aucun Délégué à la Protection des Données (DPO) n'a été désigné au titre de l'article 37 du RGPD : le traitement n'atteint pas les seuils rendant la désignation obligatoire.

Nous collectons uniquement les données strictement nécessaires :

• Email — création de compte, envoi des alertes, envoi de la newsletter. Obligatoire.
• Mot de passe — stocké sous forme hachée (bcrypt avec salage par compte) chez Supabase. Obligatoire pour les comptes.
• Préférences de voyage — aéroports de départ favoris, budget maximum, catégories préférées. Optionnel.
• Adresse IP et user-agent — pour la sécurité (rate limiting, prévention du brute-force, anti-fraude). Conservés 30 jours maximum.
• Identifiant client Stripe (cus_xxx)— pour gérer l'abonnement (création, mise à jour, annulation). Aucune donnée de carte n'est stockée chez nous.
• Endpoint Web Push— uniquement si l'utilisateur active les notifications push depuis son navigateur. Consentement explicite via prompt navigateur.
• Clics affiliés — partenaire cible, deal cliqué, hash IP journalier (irréversible). Sert à mesurer la performance commerciale.
• Wishlist — stockée dans le localStorage du navigateur, jamais transmise à nos serveurs.

Nous ne collectons pas: nom, prénom, date de naissance, numéro de téléphone, adresse postale, données bancaires, données de géolocalisation précise, données sensibles au sens de l'article 9 du RGPD.

• Fournir le service (envoi d'alertes, accès au compte, gestion des abonnements).
• Envoyer la newsletter hebdomadaire (avec consentement explicite via opt-in).
• Sécuriser le service (anti-fraude, anti-spam, rate limiting).
• Améliorer le service (statistiques agrégées et anonymisées sur les pages les plus visitées, les routes les plus recherchées).
• Mesurer la performance commerciale (taux de clic affilié, taux de conversion abonnement).
• Respecter nos obligations légales (comptabilité, fiscalité, réponse aux autorités).

• Exécution du contrat (article 6.1.b RGPD) : compte utilisateur, abonnements Discover et Captain.
• Consentement explicite(article 6.1.a RGPD) : newsletter, notifications push. L'utilisateur peut retirer son consentement à tout moment via le lien « se désinscrire » dans chaque email, ou en désactivant les notifications dans son navigateur.
• Intérêt légitime(article 6.1.f RGPD) : sécurité du service, prévention de la fraude, mesure de la performance commerciale. Cet intérêt légitime fait l'objet d'une mise en balance avec les droits et libertés de l'utilisateur.
• Obligation légale (article 6.1.c RGPD) : conservation des factures et données comptables pendant 10 ans (art. L. 123-22 du Code de commerce).

Les données sont accessibles à l'éditeur et à ses sous-traitants techniques, soumis chacun à un accord cadre conforme à l'article 28 du RGPD :

• Vercel Inc. (États-Unis) — hébergement web et CDN. Encadrement : clauses contractuelles types (CCT) + adhésion au EU-U.S. Data Privacy Framework.
• Supabase Inc.(Singapour, données stockées à Stockholm) — base de données PostgreSQL hébergée dans l'Union européenne.
• Stripe Payments Europe, Limited (Irlande) — traitement des paiements. Stripe est certifié PCI DSS niveau 1.
• Resend Inc. (États-Unis) — envoi des emails transactionnels et newsletters. Encadrement : CCT + DPA.
• Travelpayouts Ltd.(Royaume-Uni) — programme d'affiliation. Reçoit des informations agrégées sur les clics affiliés (jamais l'email de l'utilisateur).
• cron-job.org (Allemagne) — déclencheur de tâches planifiées (cron). Ne reçoit aucune donnée utilisateur, uniquement le signal de déclenchement.

Aucune donnée n'est revendue à des tiers à des fins commerciales ni utilisée pour de la publicité ciblée tierce.

Certains sous-traitants (Vercel, Resend) sont établis aux États-Unis. Les transferts sont encadrés par :

• l'adhésion des sous-traitants au EU-U.S. Data Privacy Frameworkcertifié par la Commission européenne (décision d'adéquation du 10 juillet 2023),
• les clauses contractuelles types adoptées par la Commission européenne (CCT 2021/914) lorsque le DPF n'est pas applicable,
• des mesures techniques complémentaires (chiffrement en transit et au repos).

• Données du compte actif : tant que le compte existe.
• Données du compte supprimé : suppression effective sous 30 jours, sauf obligations légales de conservation.
• Données de facturation : 10 ans (art. L. 123-22 du Code de commerce français, équivalent espagnol art. 30 C.Co.).
• Logs d'accès et adresses IP : 30 jours.
• Newsletter: tant que l'utilisateur ne s'est pas désinscrit. La désinscription supprime immédiatement l'adresse email de notre base d'envoi.
• Clics affiliés : 24 mois pour le suivi de commission, puis anonymisation.

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :

• Droit d'accès aux données vous concernant.
• Droit de rectification des données inexactes ou incomplètes.
• Droit à l'effacement(« droit à l'oubli ») : vous pouvez demander la suppression de votre compte et de vos données.
• Droit à la limitation du traitement.
• Droit à la portabilité : export de vos données au format JSON, fourni dans un délai de 30 jours.
• Droit d'oppositionau traitement fondé sur l'intérêt légitime (par exemple, opposition aux mesures statistiques).
• Droit de retrait du consentement à tout moment, sans effet rétroactif sur la licéité du traitement antérieur.
• Droit de définir des directives relatives au sort de vos données après votre décès (article 85 LIL).

Pour exercer ces droits, contactez hello@flashnomade.com. Une réponse vous sera apportée sous 30 jours maximum. Une pièce d'identité pourra être demandée pour vérifier votre identité avant traitement.

Vous pouvez vous désinscrire de la newsletter à tout moment en :

• cliquant sur le lien « se désinscrire » présent dans chaque email,
• visitant directement /account/unsubscribe et en saisissant votre adresse email,
• contactant hello@flashnomade.com.

La désinscription est immédiate et gratuite. Votre adresse email est supprimée de notre base d'envoi dans la minute qui suit.

FlashNomade utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

• cookies de session d'authentification (Supabase Auth),
• cookies de sécurité (rate limiting, anti-CSRF),
• cookie de mémorisation de la langue (FR/ES).

Conformément à la délibération CNIL n° 2020-091, aucun consentement n'est requis pour ces cookies. Une bannière d'information est néanmoins affichée pour transparence (acceptation ou refus n'a aucun effet, ils restent nécessaires au service).

Aucun cookie publicitaireni cookie de tracking comportemental tiers n'est déposé. Aucune mesure d'audienceavec identifiant persistant n'est utilisée : nous utilisons Vercel Analytics qui collecte uniquement des données agrégées sans cookies (RGPD-friendly).

Toutes les communications avec le site sont chiffrées en HTTPS (TLS 1.3, HSTS 2 ans + preload). Les mots de passe sont hachés avec bcrypt et un salage par compte. Les clés API et secrets applicatifs sont stockés chiffrés au repos chez Vercel et Supabase.

Politique de sécurité du contenu (CSP) stricte, en-têtes de sécurité (X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy restrictif). Tests réguliers contre les vulnérabilités OWASP Top 10.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes, l'éditeur s'engage à notifier l'autorité de contrôle compétente sous 72h (articles 33 et 34 du RGPD) et à informer les utilisateurs concernés sans délai.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez à tout moment introduire une réclamation auprès :

• de la CNIL (France) : cnil.fr/fr/plaintes,
• de l'AEPD(Espagne — autorité compétente pour l'éditeur) : aepd.es,
• ou de l'autorité de contrôle compétente dans votre pays de résidence.

La présente politique peut être modifiée à tout moment pour refléter les évolutions du service ou de la réglementation. La version applicable est celle accessible sur le site. Toute modification substantielle est notifiée par email aux utilisateurs disposant d'un compte au moins 30 jours avant son entrée en vigueur.