Politique de confidentialité
Date d'effet : 17 juillet 2026
1. Qui sommes-nous
Hibern est une application iOS de réveil développée et exploitée par un développeur indépendant basé en France. Dans cette politique, « Hibern », « nous », « notre » et « nos » désignent l'opérateur de l'application Hibern et du site web hibern.info.
Pour toute question relative à cette politique ou à vos données, vous pouvez nous contacter à hello@hibern.info.
2. Champ d'application de cette politique
Cette politique s'applique :
- À l'application iOS Hibern (« l'Application »), disponible sur l'App Store d'Apple
- Au site web hibern.info (« le Site »)
- Au service backend Hibern utilisé pour la vérification des preuves de réveil
Cette politique ne s'applique pas aux services tiers liés depuis l'Application ou le Site. Chaque fournisseur de services mentionné dans cette politique opère selon ses propres conditions de confidentialité.
3. Informations que nous collectons
3.1 Informations sur l'appareil et identifiants
Lorsque vous utilisez l'Application, les identifiants suivants peuvent être traités par l'Application ou ses fournisseurs de services intégrés :
- Identifiant anonyme PostHog : PostHog attribue un identifiant aléatoire à chaque installation de l'application. Cet identifiant est persistant entre les sessions et sert à associer les événements analytiques et les propriétés de profil à une même installation. Il n'est pas lié à votre nom, votre adresse e-mail ou votre identifiant Apple, mais c'est un identifiant persistant rattaché à votre profil d'utilisation dans PostHog.
- Identifiant publicitaire (IDFA) : Si vous accordez la permission via l'invite Transparence du suivi d'Apple (ATT), le SDK TikTok Business peut accéder à l'identifiant publicitaire de votre appareil. Cet identifiant est utilisé pour l'attribution publicitaire et la mesure des campagnes. Si vous refusez l'invite ATT, l'IDFA n'est pas accédé.
- Informations sur l'appareil : Le SDK TikTok Business et le SDK Superwall collectent automatiquement des informations de base sur l'appareil (modèle, version du système d'exploitation, langue, fuseau horaire) dans le cadre de leur fonctionnement standard.
- Identifiants de transaction : Lorsque vous effectuez un achat ou démarrez un essai gratuit via l'Application, les identifiants de transaction Apple StoreKit peuvent être transmis à TikTok pour la mesure des conversions (voir Section 7).
- Adresse IP : Votre adresse IP est visible par les serveurs qui traitent vos requêtes. Le backend de vérification des preuves Hibern utilise votre adresse IP uniquement pour la limitation de débit (maximum 20 requêtes par 10 minutes). Cette adresse IP est conservée en mémoire temporaire et n'est pas journalisée ni stockée de manière persistante. PostHog, TikTok et Superwall reçoivent également votre adresse IP dans le cadre des communications HTTPS standard.
3.2 Informations d'accueil et de profil
Lors de l'accueil (onboarding), l'Application vous pose une série de questions pour personnaliser votre expérience et déterminer votre profil de réveil. Les informations suivantes sont collectées et envoyées à PostHog :
- Tranche d'âge : Une fourchette que vous sélectionnez (par ex., 18–24, 25–34, 35–44)
- Genre : « Femme » ou « Homme »
- Réponses sur le comportement au réveil : Vos réponses aux questions sur la fréquence de vos difficultés au réveil, votre première réaction face au réveil, la désactivation inconsciente du réveil, le temps pour sortir du lit, votre ressenti matinal, votre sentiment de contrôle sur votre réveil, et vos stratégies de réveil actuelles
- Score de contrôle du réveil : Un score numérique (0–100) dérivé d'un curseur, classé en faible, moyen-bas, moyen-haut ou élevé
- Type de réveil : Un profil calculé à partir de vos réponses (par ex., « boucle snooze », « piège défilement », « désactivation fantôme », « levée lente », « levée irrégulière »)
- Préférence linguistique : Anglais ou français
Ces informations sont envoyées à PostHog sous forme de propriétés d'événements et stockées comme propriétés de profil persistantes associées à votre identifiant anonyme PostHog. Ces réponses ne sont pas anonymes au sens strict — elles sont rattachées à un profil analytique persistant, même si ce profil n'est pas connecté à votre nom ou adresse e-mail.
Les réponses d'accueil sont également stockées localement sur votre appareil.
3.3 Utilisation de l'application et analytique
Hibern utilise PostHog (hébergé dans l'UE à eu.i.posthog.com) pour l'analytique produit. Les fonctionnalités de capture automatique de PostHog — y compris les vues d'écran automatiques, les événements de cycle de vie, la capture d'interactions avec les éléments, la détection de clics rageurs, la relecture de session, la capture automatique d'erreurs et les sondages — sont toutes explicitement désactivées dans Hibern. Seuls les événements suivants, instrumentés manuellement, sont envoyés :
- onboarding_screen_viewed — enregistre l'écran d'accueil consulté, avec le nom de l'écran, son index, le nombre total d'écrans et la langue
- onboarding_question_answered — enregistre votre réponse à chaque question d'accueil, avec l'identifiant de la question, la ou les valeurs de réponse et la langue. Pour la question démographique, la tranche d'âge et le genre sont inclus.
- onboarding_completed — enregistre que vous avez terminé l'accueil, avec votre type de réveil, tranche d'âge, genre et langue
Aucun autre événement de l'application — comme la création d'alarme, la sonnerie, l'achèvement de mission, les modifications de paramètres ou les vues d'écran générales — n'est envoyé à PostHog ou à tout autre fournisseur d'analytique.
3.4 Abonnements et achats
Hibern propose des abonnements payants optionnels (« Hibern Plus ») traités entièrement par l'App Store d'Apple et StoreKit. Hibern ne collecte, ne traite et ne stocke pas directement vos données de carte de paiement, adresse de facturation ou identifiants Apple.
Les informations d'achat suivantes sont disponibles pour l'Application et peuvent être traitées par ses fournisseurs de services :
- Identifiant du produit (par ex., forfait mensuel ou annuel)
- Statut de l'abonnement (actif, inactif, expiré)
- Statut de l'essai gratuit et début de l'essai
- Date d'achat et statut de renouvellement
- Identifiant de transaction et identifiant de transaction original (attribués par Apple)
- Prix, devise et prix localisé
- Période d'abonnement
Superwall est utilisé pour afficher, tester et gérer les paywalls dans l'Application. Superwall reçoit les informations de statut d'abonnement de StoreKit pour déterminer s'il faut afficher un paywall et suivre les taux de conversion. Superwall reçoit également l'attribut de langue de l'Application (anglais ou français) pour afficher la version correcte du paywall.
TikTok reçoit les événements d'achat et d'abonnement via un pont entre Superwall et le SDK TikTok Business (voir Section 7 pour les détails).
3.5 Photos de preuve de réveil et vérification par IA
Certaines missions de réveil vous demandent de prendre une photo comme preuve d'accomplissement (par exemple, photographier un lit fait ou un objet sélectionné aléatoirement). Lorsque vous soumettez une photo de preuve :
- La photo est capturée avec la caméra arrière de votre appareil, redimensionnée à un maximum de 960 pixels et compressée au format JPEG.
- L'image compressée est envoyée au serveur backend d'Hibern, hébergé sur Vercel, à un point de terminaison de vérification dédié.
- Le backend transmet l'image et une description textuelle de la tâche de vérification à l'API Gemini de Google (modèles : gemini-2.5-flash-lite ou gemini-2.5-flash) pour une analyse d'image par IA.
- Gemini renvoie un résultat structuré indiquant si la mission a été accomplie, un score de confiance et une brève explication.
- Le backend renvoie ce résultat à l'Application. L'image est ensuite supprimée.
Ce qui n'est pas envoyé à Gemini : Aucun identifiant utilisateur, identifiant d'appareil, adresse e-mail, information de compte ou identifiant analytique n'est inclus dans la requête de vérification. Gemini ne reçoit que l'image et la description de la mission.
Conservation des images : Le backend Hibern ne stocke pas les photos de preuve. Le backend n'a ni base de données, ni service de stockage de fichiers, ni bucket de stockage d'objets. Les images n'existent que dans la mémoire temporaire de la fonction serverless pendant les quelques secondes nécessaires à la vérification, puis sont supprimées. Le backend ne journalise pas les données d'image, les identifiants utilisateurs ou les adresses IP — seuls les messages d'erreur nettoyés sont journalisés en cas de défaillance technique.
Utilisation des données par l'API Gemini de Google : Selon les conditions d'utilisation de l'API Gemini de Google, les données envoyées via l'API Gemini payante ne sont pas utilisées par Google pour entraîner ses modèles d'IA. Google peut conserver les entrées et sorties de l'API pour une période limitée à des fins de surveillance des abus et de débogage, comme décrit dans ses conditions. Nous vous encourageons à consulter les conditions actuelles de Google pour les informations les plus récentes.
3.6 Données de mouvement et de capteurs
Pour les missions basées sur le mouvement (secouer le téléphone, squats, pompes), l'Application accède aux capteurs de mouvement de votre appareil et, pour les missions d'exercice, à la caméra avec le framework Vision d'Apple pour la détection de posture. Ces données sont traitées entièrement sur votre appareil et ne sont transmises à aucun serveur ni tiers.
3.7 Diagnostics
L'Application collecte des informations de diagnostic et de plantage de base via le framework MetricKit d'Apple. Les entrées de diagnostic sont stockées localement sur votre appareil (jusqu'à 80 entrées dans UserDefaults). Ces données de diagnostic ne sont transmises à aucun serveur ni tiers.
3.8 Communications de support
Si vous nous contactez par e-mail à hello@hibern.info, nous recevons votre adresse e-mail, le contenu de votre message et les pièces jointes que vous incluez. Nous utilisons ces informations uniquement pour répondre à votre demande.
4. Attribution publicitaire et suivi
Hibern utilise le SDK TikTok Business (version 1.6) pour l'attribution publicitaire et la mesure des campagnes. Hibern n'affiche pas de publicités dans l'Application.
Événements envoyés à TikTok
Les événements suivants sont envoyés à TikTok via un pont entre Superwall (qui gère les paywalls) et le SDK TikTok Business :
- Événements de paywall : paywall ouvert (ViewContent), paywall fermé, paywall refusé
- Événements d'achat : paiement initié (InitiateCheckout), essai gratuit démarré (StartTrial), abonnement démarré (Subscribe), achat complété (Purchase), achat échoué, achat abandonné, achat restauré
Données incluses dans les événements TikTok
Chaque événement envoyé à TikTok peut inclure :
- Nom de l'événement et identifiant unique de l'événement
- Métadonnées du paywall : nom du placement, identifiant du paywall, nom du paywall, identifiant de présentation, disponibilité de l'essai gratuit
- Informations produit : identifiant du produit, prix, devise, prix localisé, période d'abonnement
- Identifiants de transaction : identifiant de transaction Apple StoreKit et identifiant de transaction original (pour les événements d'achat)
- Informations de l'appareil collectées automatiquement par le SDK TikTok (modèle, version de l'OS, langue, fuseau horaire)
- IDFA (identifiant pour les annonceurs) — uniquement si vous accordez l'autorisation via l'invite ATT
Le suivi automatique des paiements par TikTok est désactivé dans la configuration du SDK TikTok de l'Application. Tous les événements d'achat sont envoyés explicitement via le pont Superwall–TikTok décrit ci-dessus.
TikTok utilise ces informations pour l'attribution d'installation, la mesure de campagne, l'optimisation publicitaire et la création d'audiences conformément à la politique de confidentialité de TikTok.
Transparence du suivi d'Apple
L'Application demande votre autorisation de suivi via le framework Transparence du suivi (ATT) d'Apple lors de la première ouverture. Si vous refusez, le SDK TikTok ne reçoit pas votre IDFA. Vous pouvez modifier votre préférence de suivi à tout moment via Réglages > Confidentialité et sécurité > Suivi sur votre iPhone.
Indépendamment de votre choix ATT, TikTok peut toujours recevoir les données d'événements sans identifiant (comme les événements d'achat et les interactions de paywall) décrites ci-dessus.
5. Comment nous utilisons les informations
Nous utilisons les informations décrites dans cette politique aux fins suivantes :
- Fournir l'Application : Traiter les horaires de réveil, les missions, les séries et les sessions de réveil
- Vérification de preuve : Envoyer les photos de preuve à l'API Gemini pour vérifier l'accomplissement des missions
- Analytique produit : Comprendre les taux de complétion de l'accueil et les profils utilisateurs pour améliorer l'Application (via PostHog)
- Gestion des abonnements : Déterminer votre statut d'abonnement pour débloquer les fonctionnalités premium (via Apple StoreKit et Superwall)
- Optimisation des paywalls : Sélectionner et tester les configurations de paywall selon la langue et le statut d'abonnement (via Superwall)
- Mesure publicitaire : Mesurer l'efficacité des campagnes publicitaires et attribuer les installations et conversions (via TikTok)
- Limitation de débit : Prévenir les abus du backend de vérification via une limitation de débit temporaire basée sur l'IP
- Support : Répondre à vos e-mails et demandes de support
- Conformité légale : Respecter les obligations légales applicables
6. Fournisseurs de services et partage de données
Nous partageons des informations avec les fournisseurs de services tiers suivants. Chaque fournisseur traite les données aux fins décrites ci-dessous et opère selon ses propres conditions de confidentialité.
Apple (App Store, StoreKit)
- Service : Traitement des paiements, gestion des abonnements, distribution de l'application
- Données reçues : Données de paiement, historique d'achat, statut d'abonnement — traités entièrement par Apple
- Rôle : Responsable de traitement indépendant pour les données de paiement
- Informations de confidentialité : apple.com/legal/privacy
PostHog
- Service : Analytique produit
- Données reçues : Événements d'accueil, réponses aux questions d'accueil (y compris tranche d'âge, genre, comportement de réveil), type de réveil, préférence linguistique — le tout associé à un identifiant anonyme persistant
- Hébergement des données : Union européenne (eu.i.posthog.com)
- Rôle : Sous-traitant
- Informations de confidentialité : posthog.com/privacy
TikTok
- Service : Attribution publicitaire, mesure de campagne, optimisation publicitaire
- Données reçues : Événements de paywall, événements d'achat et d'abonnement (y compris identifiants de produit, prix, devise, identifiants de transaction), informations de l'appareil, IDFA (si ATT est accordé)
- Rôle : Responsable de traitement indépendant pour les données publicitaires. Selon les lois applicables en matière de protection des données, la réception par TikTok d'événements publicitaires et d'identifiants peut constituer une « vente » ou un « partage » d'informations personnelles.
- Informations de confidentialité : tiktok.com/legal/privacy-policy
Superwall
- Service : Affichage de paywalls, tests A/B de paywalls, interprétation du statut d'abonnement
- Données reçues : Statut d'abonnement, préférence linguistique, événements d'impression et de conversion de paywall, informations de l'appareil
- Rôle : Sous-traitant
- Informations de confidentialité : superwall.com/legal/privacy-policy
Google (API Gemini)
- Service : Vérification d'image par IA pour les missions de preuve de réveil
- Données reçues : Photos de preuve et descriptions textuelles de la tâche de vérification. Aucun identifiant utilisateur n'est inclus.
- Rôle : Sous-traitant pour la requête de vérification d'image
- Informations de confidentialité : Conditions d'utilisation de l'API Gemini
Vercel
- Service : Hébergement du backend de vérification des preuves et du site web hibern.info
- Données reçues : Requêtes HTTP incluant l'adresse IP, les en-têtes de requête et le corps de requête (photos de preuve en transit). Vercel peut conserver des journaux d'accès serveur standard.
- Rôle : Fournisseur d'infrastructure / sous-traitant
- Informations de confidentialité : vercel.com/legal/privacy-policy
Autres divulgations
Nous pouvons également divulguer des informations si la loi, la réglementation ou une procédure judiciaire l'exige, ou en cas de fusion, acquisition ou vente d'actifs.
7. Transparence du suivi d'Apple et choix de l'utilisateur
Vous disposez des choix suivants concernant vos données :
- Autorisation de suivi : Vous pouvez refuser l'invite ATT lorsqu'elle apparaît, ou modifier votre choix à tout moment dans Réglages > Confidentialité et sécurité > Suivi sur votre iPhone. Le refus empêche le SDK TikTok d'accéder à votre IDFA.
- Autorisations de caméra et de mouvement : Vous pouvez révoquer l'accès à la caméra ou aux capteurs de mouvement à tout moment dans Réglages > Hibern sur votre iPhone.
- Autorisations de notifications : Vous pouvez désactiver les notifications de réveil dans Réglages > Notifications > Hibern.
- Gestion de l'abonnement : Vous pouvez consulter, modifier ou annuler votre abonnement Hibern Plus dans Réglages > [votre nom] > Abonnements sur votre iPhone.
8. Bases légales du traitement (EEE, Royaume-Uni et Suisse)
Si vous êtes situé dans l'Espace économique européen, au Royaume-Uni ou en Suisse, nous traitons vos données personnelles sur les bases légales suivantes :
- Exécution d'un contrat : Traitement des horaires de réveil, des missions, des séries, de la vérification de preuve et de la gestion d'abonnement — nécessaires pour fournir les fonctionnalités essentielles de l'Application
- Consentement : Suivi publicitaire via l'invite ATT. Vous pouvez retirer votre consentement à tout moment dans les Réglages iOS ; le retrait n'affecte pas la licéité du traitement effectué avant le retrait
- Intérêts légitimes : Analytique produit (compréhension des flux d'accueil et des profils utilisateurs pour améliorer l'Application), limitation de débit pour prévenir les abus, et mesures de sécurité de base. Nous mettons en balance ces intérêts avec vos droits et n'utilisons pas cette base pour le suivi ou le profilage publicitaire.
- Obligation légale : Lorsque nous sommes tenus de conserver des données ou de répondre à une procédure judiciaire
9. Conservation des données
Les différentes catégories de données sont conservées pour des durées différentes :
- Événements analytiques et profils PostHog : Conservés selon les paramètres de conservation par défaut de PostHog. Les profils de personne (y compris les réponses d'accueil, tranche d'âge, genre et type de réveil) persistent jusqu'à ce qu'une demande de suppression soit effectuée.
- Événements publicitaires TikTok : Conservés par TikTok conformément à la politique de confidentialité de TikTok. Hibern ne contrôle pas les durées de conservation de TikTok.
- Données de paywall Superwall : Conservées par Superwall conformément à la politique de confidentialité de Superwall.
- Photos de preuve : Non stockées. Les images n'existent en mémoire temporaire du serveur que pendant les secondes nécessaires à la vérification, puis sont supprimées.
- Journaux serveur Vercel : Vercel peut conserver des journaux d'accès serveur standard conformément aux politiques de conservation de Vercel.
- Données sur l'appareil : Les données d'alarme, l'historique de sessions, les réponses d'accueil et les diagnostics sont stockés sur votre appareil et persistent jusqu'à la suppression de l'Application ou la réinitialisation de ses données.
- Communications de support : Les e-mails que vous nous envoyez sont conservés aussi longtemps que raisonnablement nécessaire pour résoudre votre demande et pour nos dossiers, sauf si vous demandez la suppression.
10. Transferts internationaux
Vos données peuvent être traitées en dehors de votre pays de résidence par les fournisseurs de services suivants :
- PostHog : Hébergé dans l'Union européenne (eu.i.posthog.com)
- TikTok : TikTok peut traiter les données aux États-Unis, à Singapour et dans d'autres pays comme décrit dans sa politique de confidentialité
- Superwall : Basé aux États-Unis
- Google (API Gemini) : Peut traiter les requêtes aux États-Unis ou dans d'autres centres de données Google
- Vercel : Peut traiter les requêtes aux États-Unis ou dans d'autres emplacements edge de Vercel
Lorsque les données sont transférées en dehors de l'EEE, nous nous appuyons sur les garanties fournies par chaque fournisseur de services, qui peuvent inclure des clauses contractuelles types, des décisions d'adéquation ou d'autres mécanismes de transfert légalement reconnus.
11. Site web (hibern.info)
Le site web hibern.info est un site statique hébergé sur Vercel. Le site n'utilise pas de cookies, de scripts d'analytique, de pixels publicitaires, de technologies de suivi ni d'outils de gestion du consentement. Vercel peut collecter des journaux d'accès serveur standard (adresse IP, user-agent du navigateur, horodatage de la requête) dans le cadre de son infrastructure d'hébergement.
12. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos informations, notamment :
- Toutes les données transmises entre l'Application, notre backend et les services tiers utilisent le chiffrement HTTPS/TLS
- Le backend de vérification des preuves fonctionne comme une fonction serverless sans état et sans stockage persistant
- La clé API Gemini est stockée côté serveur uniquement et n'est jamais intégrée dans l'Application
- Les journaux d'erreurs sont nettoyés pour masquer les clés API et les valeurs sensibles
- Une limitation de débit est appliquée au point de terminaison de vérification des preuves pour prévenir les abus
Aucun système n'est sécurisé à 100%. Nous ne pouvons pas garantir la sécurité absolue de vos données pendant la transmission ou le traitement.
13. Confidentialité des enfants
L'accueil de l'Application inclut une option de tranche d'âge « moins de 18 ans », reflétant que certains utilisateurs peuvent être mineurs. Cependant, Hibern n'est pas spécifiquement destiné aux enfants de moins de 13 ans. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de 13 ans. Si vous êtes un parent ou tuteur et pensez que votre enfant de moins de 13 ans a fourni des informations personnelles via l'Application, veuillez nous contacter à hello@hibern.info afin que nous puissions prendre les mesures appropriées.
14. Vos droits en matière de confidentialité
Selon votre juridiction (notamment en vertu du RGPD, du RGPD britannique et des lois applicables), vous pouvez avoir le droit de :
- Accès : Demander une copie des données personnelles que nous détenons à votre sujet
- Rectification : Demander la correction de données inexactes ou incomplètes
- Suppression : Demander la suppression de vos données personnelles
- Limitation : Demander la limitation du traitement de vos données
- Opposition : Vous opposer au traitement fondé sur les intérêts légitimes
- Portabilité : Demander une copie de vos données dans un format structuré et lisible par machine
- Retrait du consentement : Lorsque le traitement est fondé sur le consentement (comme le suivi), retirer votre consentement à tout moment. Le retrait n'affecte pas la licéité du traitement effectué avant le retrait.
Pour exercer l'un de ces droits, contactez-nous à hello@hibern.info. Nous répondrons dans un délai de 30 jours ou selon les exigences du droit applicable.
Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez le droit de déposer une plainte auprès de votre autorité de contrôle locale. En France, il s'agit de la Commission Nationale de l'Informatique et des Libertés (CNIL).
15. Suppression de vos informations
Données sur l'appareil : La suppression de l'application Hibern de votre iPhone efface toutes les données stockées localement (alarmes, historique de sessions, réponses d'accueil, diagnostics).
Données PostHog : La suppression de l'Application ne supprime pas automatiquement votre profil analytique PostHog. Pour demander la suppression de vos données PostHog, contactez-nous à hello@hibern.info.
Données TikTok : Les événements déjà transmis à TikTok sont régis par les politiques de conservation de TikTok. Vous pouvez désactiver le suivi dans les Réglages iOS pour empêcher l'envoi futur de données.
Données Superwall : Pour demander la suppression des données détenues par Superwall, contactez-nous à hello@hibern.info.
Photos de preuve : Les photos de preuve n'étant pas stockées par notre backend, aucune demande de suppression n'est nécessaire pour les photos.
16. Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Lorsque nous apportons des modifications importantes, nous actualiserons la « Date d'effet » en haut de cette page. Nous vous encourageons à consulter cette page régulièrement. Votre utilisation continue de Hibern après la publication des modifications constitue votre acceptation de la politique mise à jour.
17. Nous contacter
Si vous avez des questions, préoccupations ou demandes concernant cette politique de confidentialité ou vos données personnelles, veuillez nous contacter :
- E-mail : hello@hibern.info
- Support : hibern.info/support