SightReader SightReader

Politique de confidentialité

Dernière mise à jour : 18 June 2026

Cette traduction est fournie à titre indicatif. La version anglaise fait foi sur le plan juridique.

Cette politique explique quelles données personnelles SightReader collecte, pourquoi nous les collectons et ce que tu peux faire à ce sujet. Nous avons essayé de la garder courte et claire. Si quelque chose n’est pas clair, écris-nous à [email protected] et nous t’expliquerons.

Qui nous sommes

SightReader ( sightreader.app ) est exploité par Bret Cameron, travailleur indépendant, basé à Londres, Royaume-Uni. Au sens du UK GDPR et du Data Protection Act 2018, nous sommes le responsable du traitement des données personnelles décrites ci-dessous.

Contact pour toute question relative à la confidentialité : [email protected].

Ce que nous collectons

Informations de compte

  • Ton adresse e-mail et (lorsque le fournisseur les transmet) ton nom affiché et ta photo de profil depuis le fournisseur de connexion que tu choisis (Google, Microsoft ou le lien magique par e-mail).
  • Un identifiant interne d’utilisateur que nous générons, ainsi qu’un rôle (la plupart des utilisateurs sont simplement user).
  • Les réponses du parcours d’accueil (niveau, objectif hebdomadaire) si tu le complètes.

Données de pratique

  • Les sessions que tu termines : quel morceau, précision, timing, étoiles obtenues, notes jouées.
  • Les réglages que tu modifies (tempo, transposition, armures).
  • Les morceaux que tu téléverses (fichiers MusicXML), le cas échéant. Ils sont stockés sur ton compte.
  • Les noms des appareils MIDI connectés (par exemple « Yamaha P-45 ») afin de pouvoir les afficher dans le sélecteur. Nous ne capturons pas l’audio.

Données de paiement

Si tu passes à Pro, la facturation est gérée par Stripe. Nous ne voyons jamais tes données de carte — Stripe ne nous transmet que l’identifiant client, le statut de l’abonnement et la devise. La politique de confidentialité de Stripe s’applique à son traitement.

Données techniques

  • Adresse IP et localisation approximative (pays/ville) au moment de la requête.
  • Navigateur, OS et type d’appareil déduits du User-Agent.
  • Les pages que tu consultes, les boutons que tu cliques et les erreurs que tu rencontres.

Communications

Lorsque nous t’envoyons un e-mail (bienvenue, séquence d’accueil, résumé hebdomadaire si tu es administrateur), nous enregistrons l’envoi ainsi que tout rebond ou plainte qui en découle. Si tu réponds à l’un de nos e-mails, nous conservons le fil.

Bases légales du traitement

Au titre de l’article 6 du UK GDPR, les bases légales sur lesquelles nous nous appuyons sont :

  • Contrat — pour fournir le service auquel tu t’es inscrit : gestion du compte, suivi de la pratique, facturation, connexion.
  • Intérêts légitimes — pour garder le service sécurisé, corriger les bugs (Sentry), comprendre quelles fonctionnalités sont utilisées (PostHog) et te contacter au sujet de changements significatifs du produit. Nous avons mis cela en balance avec tes droits et estimons l’impact minimal.
  • Consentement — pour les e-mails marketing non essentiels qui vont au-delà des informations de service. Chaque e-mail marketing contient un lien de désinscription. Tu peux retirer ton consentement à tout moment depuis ton compte ou via le lien de désinscription.
  • Obligation légale — pour conserver les registres de facturation (Stripe) à des fins fiscales auprès de HMRC.

Comment nous utilisons tes données

  • Pour créer ton compte et te permettre de te connecter.
  • Pour sauvegarder ta progression et te proposer des sélections quotidiennes adaptées à ton niveau.
  • Pour encaisser les paiements Pro et savoir si tu as droit aux fonctionnalités Pro.
  • Pour t’envoyer des e-mails transactionnels (liens de connexion, reçus, modifications de compte).
  • Pour t’envoyer des e-mails d’accueil et produit (bienvenue, séquence), auxquels tu peux te désinscrire à tout moment.
  • Pour déboguer les plantages, surveiller la performance et détecter les abus.
  • Pour produire des statistiques agrégées et non identifiantes sur l’usage du produit (par exemple « combien d’utilisateurs ont terminé le Grade 1 la semaine dernière »).

Nous ne vendons pas tes données personnelles. Nous n’affichons pas de publicité tierce et ne partageons jamais tes données avec des annonceurs.

Sous-traitants

Nous faisons appel à un petit nombre de prestataires pour fournir le service. Chacun est lié par un contrat (Avenant de traitement des données) qui l’oblige à traiter tes données uniquement selon nos instructions et à appliquer des mesures de sécurité appropriées.

  • Supabase (base de données et stockage d’authentification) — hébergé dans l’UE.
  • Cloudflare (hébergement, DNS, WAF) — réseau mondial, trafic généralement servi depuis le Royaume-Uni ou l’UE pour les visiteurs britanniques.
  • Amazon Web Services — S3 (stockage de notre bibliothèque MusicXML), CloudFront (CDN devant la bibliothèque) et SES (e-mail transactionnel et marketing ; l’adresse e-mail et le corps du message sont traités). Nous utilisons la région eu-west-2 (Londres).
  • Stripe — traitement des paiements (Royaume-Uni et international).
  • Google et Microsoft — uniquement quand tu choisis ces fournisseurs pour te connecter. Ils savent que tu t’es connecté à SightReader ; nous recevons ton e-mail, ton nom affiché et ton avatar.
  • PostHog (analytique produit) — cloud UE (eu.i.posthog.com).
  • Sentry (supervision des erreurs) — Francfort, Allemagne (de.sentry.io).

Transferts internationaux

La majeure partie de notre traitement se déroule au Royaume-Uni ou dans l’UE. Lorsqu’un sous-traitant est situé en dehors du Royaume-Uni (par exemple Stripe, certaines parties d’AWS, Google, Microsoft), les transferts s’appuient sur le UK International Data Transfer Agreement, les Clauses contractuelles types de l’UE complétées par l’avenant britannique, ou une décision d’adéquation (comme le UK–US Data Bridge), selon le cas. Tu peux nous demander une copie du mécanisme de transfert applicable en écrivant à [email protected].

Conservation

  • Données de compte et de pratique — conservées tant que ton compte est actif. Si tu supprimes ton compte, nous retirons les champs identifiants dans un délai de 30 jours ; les statistiques de pratique agrégées et anonymes peuvent persister.
  • Journaux d’e-mails — conservés 12 mois pour le diagnostic de délivrabilité, puis supprimés.
  • Registres de paiement — conservés au moins 6 ans pour respecter les règles de conservation de HMRC.
  • Jetons de lien magique — à usage unique, expirent après 30 minutes, hachés au repos.
  • Événements de plantage et d’analytique — conservés 90 jours (Sentry) et 12 mois (PostHog) respectivement, puis supprimés.

Tes droits

Au titre du UK GDPR, tu as le droit de :

  • Demander une copie des données personnelles que nous détenons sur toi (droit d’accès).
  • Corriger ce qui est inexact (rectification).
  • Nous demander de supprimer tes données, y compris ton compte (effacement / « droit à l’oubli »).
  • Limiter ou t’opposer à certains traitements.
  • Recevoir tes données dans un format portable (portabilité des données).
  • Retirer ton consentement à tout moment, lorsque nous nous sommes appuyés sur le consentement.
  • Déposer une plainte auprès de l’ Information Commissioner’s Office (ICO) du Royaume-Uni si tu estimes que nous avons mal géré tes données. Nous apprécierions d’avoir d’abord la possibilité d’y répondre — écris-nous à [email protected].

Tu peux exercer la plupart de ces droits directement depuis ta page de compte (supprimer le compte, exporter les données, modifier le profil). Pour tout ce qui n’est pas en libre-service, écris-nous — nous nous efforçons de répondre dans un délai de 30 jours.

Pour effacer toi-même ton compte et toutes les données associées, va sur la page de suppression du compte. La suppression est définitive après un délai de grâce de 30 jours.

Cookies et technologies similaires

Nous regroupons les cookies en trois catégories. Tu peux modifier tes choix à tout moment sur la page Paramètres des cookies .

Strictement nécessaires

Toujours actifs. Le site ne fonctionne pas sans eux, ils sont donc exemptés de consentement.

  • Authentification — un cookie de session défini par Auth.js pour ne pas avoir à te reconnecter à chaque chargement de page.
  • Protection CSRF — un cookie de courte durée pour empêcher les requêtes falsifiées.
  • Préférence de langue — un cookie qui mémorise la langue choisie pour que le site s’affiche dans la bonne langue à ta prochaine visite.
  • Enregistrement du consentement aux cookies — stockage local conservant tes choix par catégorie, pour ne pas te redemander à chaque visite.
  • Préférences — stockage local pour mémoriser des choix d’interface comme le volume ou la clé préférée.
  • Supervision des plantages — Sentry dépose un identifiant de session pour relier les erreurs liées. Aucune donnée personnelle ; requis pour la santé du site.

Analyse

Définis uniquement si tu y consens. PostHog dépose un cookie propriétaire et une entrée localStorage pour compter les utilisateurs uniques et mesurer l’usage des fonctionnalités. Hébergé en UE, IP masquée.

Marketing

Aucun cookie marketing actif aujourd’hui. Nous les listerons ici au fur et à mesure de leur ajout, et la catégorie reste désactivée par défaut jusqu’à ton accord.

Pour modifier tes choix, va sur Paramètres des cookies (également dans le pied du site).

Enfants

SightReader convient aux élèves de piano de tout âge, mais nous ne collectons pas sciemment de données personnelles d’enfants de moins de 13 ans. Conformément au Age Appropriate Design Codede l’ICO, toute personne de moins de 13 ans au Royaume-Uni doit demander à un parent ou tuteur de créer le compte en son nom. Si tu penses qu’un enfant s’est inscrit sans autorisation, écris-nous à [email protected] et nous supprimerons le compte.

Sécurité

Nous protégeons tes données avec des mesures conformes aux standards du secteur : TLS en transit, chiffrement au repos chez nos prestataires de base de données et de stockage, jetons de lien magique hachés (et non en clair), sécurité au niveau des lignes dans la base de données pour que chaque utilisateur ne puisse lire que ses propres enregistrements, mises à jour régulières des dépendances et identifiants de service à privilèges minimaux. Aucun système n’est inviolable — si nous détectons une violation affectant tes données, nous t’en informerons et préviendrons l’ICO sans retard injustifié, comme l’exige la loi.

Modifications de cette politique

Nous pouvons mettre à jour cette politique lorsque le produit ou nos prestataires évoluent. La date de « Dernière mise à jour » en haut de la page fait foi. Pour des changements substantiels (nouvelles catégories de données, nouveaux sous-traitants modifiant sensiblement le tableau de la confidentialité), nous préviendrons les utilisateurs actifs par e-mail au moins 14 jours avant l’entrée en vigueur.

Contact

Questions, demandes ou plaintes : [email protected]. Nous nous efforçons de répondre sous trois jours ouvrés (heure du Royaume-Uni).

Si nous ne pouvons pas résoudre ta plainte, tu peux contacter l’ Information Commissioner’s Office — le régulateur britannique de la protection des données — à ico.org.uk/make-a-complaint.