Version 1.0 — Entrée en vigueur le 11 mai 2026

Politique de confidentialité — Klemly

Préambule

La présente politique de confidentialité (ci-après la « Politique ») décrit la manière dont l'application mobile Klemly (ci-après l'« Application » ou « Klemly ») collecte, traite, conserve et protège vos données personnelles.

Elle est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016, dit « Règlement Général sur la Protection des Données » (ci-après « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Loi Informatique et Libertés ».

L'utilisation de l'Application implique la prise de connaissance de la présente Politique. Pour les conditions générales d'utilisation, se reporter au document distinct intitulé « Conditions Générales d'Utilisation » accessible à l'adresse https://klemly.fr/cgu.

Article 1 — Responsable de traitement

Le responsable de traitement, au sens de l'article 4.7 du RGPD, est :

Clément Despierre, entrepreneur individuel exerçant en tant qu'auto-entrepreneur
Adresse fiscale : 71 Chemin du Brusquet, 83610 Collobrières
SIRET : 94879830100016
Email de contact RGPD : contact@klemly.fr

Klemly n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. En cas de besoin, le contact unique pour toute question relative à la protection des données est l'adresse contact@klemly.fr.

Article 2 — Finalités du traitement

Vos données personnelles sont traitées exclusivement pour les finalités suivantes :

Fournir le service Klemly : permettre la création et la gestion de votre compte, l'enregistrement de vos sessions de jeu, le calcul de vos statistiques personnelles, l'accès à votre historique.
Gérer l'abonnement Pro (le cas échéant) : permettre la souscription, le renouvellement et la résiliation de votre abonnement Klemly Pro, et donner accès aux fonctionnalités payantes.
Assurer la sécurité du service : prévenir les accès frauduleux, détecter les usages anormaux, conserver des traces techniques en cas d'incident.
Communiquer avec vous : vous transmettre les emails essentiels au service (confirmation d'inscription, réinitialisation de mot de passe, notification de suppression de compte, export RGPD, mises à jour des présentes conditions).
Respecter nos obligations légales : conserver les enregistrements comptables liés à un éventuel abonnement Pro pendant la durée légale, traiter les demandes d'exercice des droits RGPD.
Améliorer la stabilité de l'Application : détecter et corriger les erreurs techniques via le service Sentry, sans collecte d'informations personnelles identifiantes (cf. Article 9).

Klemly ne procède à aucun traitement à des fins publicitaires, aucun profilage à des fins de marketing, et aucune revente de données à des tiers, sous quelque forme que ce soit.

Article 3 — Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque finalité de traitement repose sur une base légale identifiée :

Finalité	Base légale	Référence RGPD
Création et gestion du compte	Exécution du contrat	art. 6.1.b
Saisie et stockage des sessions de jeu	Exécution du contrat	art. 6.1.b
Calcul des statistiques personnelles	Exécution du contrat	art. 6.1.b
Stockage des photos de tickets	Consentement (au moment de l'ajout)	art. 6.1.a
Gestion de l'abonnement Pro	Exécution du contrat	art. 6.1.b
Conservation comptable (10 ans)	Obligation légale	art. 6.1.c
Logs techniques (Sentry, Supabase Auth)	Intérêt légitime (sécurité, stabilité)	art. 6.1.f
Emails transactionnels essentiels	Exécution du contrat	art. 6.1.b
Traçabilité des acceptations légales	Obligation légale (preuve RGPD)	art. 6.1.c

Le retrait du consentement (concernant les photos de tickets) est possible à tout moment depuis l'Application, par suppression de la photo concernée. Ce retrait n'affecte pas la licéité du traitement effectué avant celui-ci.

Article 4 — Catégories de données collectées

Klemly collecte les catégories de données suivantes :

4.1 Données d'identification

Adresse email (servant d'identifiant unique de connexion)
Identifiant unique interne (UUID généré par l'Application)
Pseudonyme (« username »), optionnel et modifiable

4.2 Données d'authentification

Mot de passe chiffré par hachage cryptographique fort (jamais stocké en clair)

4.3 Données de jeu saisies par l'utilisateur

Type de jeu (casino, PMU, FDJ, paris sportifs, poker, autre)
Sous-type de jeu éventuel (selon une liste prédéfinie dans l'Application)
Lieu de la session (texte libre)
Mise, gain, résultat net (montants)
Date, heure et durée de la session
Humeur déclarée avant/après (texte libre court)
Note personnelle (texte libre)

4.4 Photos de tickets (optionnel, base : consentement)

Photos ajoutées volontairement par l'utilisateur en pièce jointe à une session

4.5 Données d'abonnement (le cas échéant)

Statut Pro (actif / inactif)
Identifiant interne d'abonnement RevenueCat
Type d'abonnement (mensuel, annuel)
Date de début et date d'échéance
Identifiants techniques de transaction (Apple / Google)

4.6 Préférences

Devise (EUR par défaut)
Fuseau horaire
Langue d'affichage
Paramètres de mode pause et de limites (Pro)

4.7 Données techniques (intérêt légitime)

Logs d'authentification Supabase (adresse IP, type d'appareil, version OS, horodatage) — l'adresse IP est traitée par notre sous-traitant Supabase à des fins exclusivement techniques (sécurité, détection d'accès anormaux) et n'est pas réutilisée par l'éditeur à d'autres fins
Logs d'erreurs Sentry (stack trace, version de l'application, type d'appareil) — sans données personnelles identifiantes grâce au mécanisme de scrubbing automatique

4.8 Traçabilité légale

Acceptations successives des CGU, de la Politique de confidentialité et des Conditions d'abonnement Pro (identifiant du document, version, horodatage)

Klemly ne collecte pas :

de données dites « particulières » au sens de l'article 9 du RGPD (santé, opinions politiques, religion, orientation sexuelle, données biométriques, etc.) ;
de données de localisation GPS ;
de données de contact (carnet d'adresses) ;
de données issues de réseaux sociaux ;
de données issues de tiers (pas de scraping, pas d'agrégation externe).

Article 5 — Source des données

L'ensemble des données traitées par Klemly provient de deux sources uniques :

Vous, l'utilisateur : toutes les données de jeu, photos, préférences, notes, humeurs sont saisies manuellement par vous-même dans l'Application. Aucune donnée n'est collectée automatiquement à partir d'autres applications ou services.
L'usage technique de l'Application : logs techniques générés automatiquement par les composants techniques (authentification, monitoring des erreurs).

Klemly ne pratique aucun scraping de sites tiers, ne consomme aucun flux provenant d'un opérateur de jeu, ne se synchronise avec aucune plateforme externe de manière automatique.

Article 6 — Destinataires et sous-traitants

Pour fournir le service, Klemly fait appel à des sous-traitants au sens de l'article 28 du RGPD. Chaque sous-traitant est engagé par un contrat de sous-traitance et traite vos données exclusivement sur instruction de Klemly, pour les finalités décrites ci-dessous.

6.1 Liste exhaustive des sous-traitants

Sous-traitant	Adresse	Hébergement	Finalité	Données concernées	Politique
Supabase Inc.	970 Toa Payoh North #07-04, Singapour	Amazon Web Services, Francfort (UE)	Hébergement de la base de données, authentification, stockage des photos	Email, mot de passe haché, sessions, photos, préférences, paramètres	https://supabase.com/privacy
RevenueCat Inc.	731 Sansome Street, San Francisco, CA 94111, USA	États-Unis	Gestion technique des abonnements Pro	Identifiant interne, statut d'abonnement, transactions	https://www.revenuecat.com/privacy/
Functional Software Inc. (Sentry)	45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA	Francfort (UE)	Monitoring des erreurs et incidents techniques	Logs techniques, fil d'événements (« breadcrumbs ») — sans données personnelles identifiantes	https://sentry.io/privacy/
Resend Inc.	2261 Market Street #5039, San Francisco, CA 94114, USA	Francfort (UE)	Envoi des emails transactionnels (confirmation, réinitialisation, export RGPD, suppression de compte)	Adresse email du destinataire, contenu de l'email	https://resend.com/legal/privacy-policy
Apple Distribution International Limited	Hollyhill Industrial Estate, Hollyhill, Cork, T23 YK84, Irlande	Irlande (UE) et États-Unis	Distribution de l'Application via l'App Store, gestion des paiements iOS	Identifiant Apple (géré par Apple), transactions	https://www.apple.com/legal/privacy/
Google Ireland Limited	Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irlande	Irlande (UE) et États-Unis	Distribution de l'Application via Google Play, gestion des paiements Android	Identifiant Google Play, transactions	https://policies.google.com/privacy

6.2 Engagement des sous-traitants

Chaque sous-traitant est soumis à des obligations contractuelles strictes : confidentialité, sécurité, limitation des traitements à la stricte finalité prévue, notification immédiate en cas d'incident, restitution ou destruction des données en fin de contrat.

6.3 Aucun autre destinataire

En dehors de ces sous-traitants et des autorités auxquelles Klemly serait légalement tenue de répondre (autorité judiciaire sur réquisition, autorité fiscale dans le cadre d'un contrôle), aucun tiers ne reçoit vos données. Klemly ne revend, ne loue, n'échange aucune donnée personnelle.

Article 7 — Transferts de données hors Union européenne

Certains de nos sous-traitants sont susceptibles de traiter vos données depuis les États-Unis. Ces transferts sont encadrés par les mécanismes prévus par le RGPD :

7.1 RevenueCat (transfert vers les États-Unis)

RevenueCat héberge ses serveurs aux États-Unis. Le transfert de vos données vers ce sous-traitant est encadré par les clauses contractuelles types adoptées par la Commission européenne par décision (UE) 2021/914 du 4 juin 2021, conformément à l'article 46 du RGPD. Ces clauses contractuelles types constituent un mécanisme de transfert reconnu par la Commission européenne offrant des garanties appropriées au sens du RGPD.

7.2 Apple et Google (hébergement mixte UE / États-Unis)

Apple Distribution International Limited et Google Ireland Limited sont les entités contractantes basées en Irlande (UE). Toutefois, certains traitements techniques liés à la distribution applicative et à la facturation peuvent impliquer des transferts vers les États-Unis, encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision (UE) 2021/914 du 4 juin 2021) ou, le cas échéant, par le Data Privacy Framework.

7.3 Sous-traitants UE-only

Supabase, Sentry et Resend hébergent vos données dans des centres de données situés en Union européenne (Francfort, Allemagne), même si leurs sièges sociaux sont situés hors UE. Aucun transfert effectif de vos données vers les États-Unis n'a lieu pour ces trois sous-traitants dans le cadre du fonctionnement nominal de l'Application.

Article 8 — Durées de conservation

Chaque catégorie de données est conservée pour une durée strictement nécessaire à la finalité poursuivie :

Catégorie de données	Durée de conservation
Données du compte (email, identifiant, préférences)	Tant que le compte est actif. À défaut d'activité pendant 24 mois consécutifs, suppression automatique du compte, après un email d'avertissement envoyé 30 jours avant la suppression effective.
Sessions de jeu enregistrées	Tant que le compte est actif. Suppression à la suppression du compte.
Photos de tickets	Tant que la session associée existe. Suppression dès que l'utilisateur supprime la photo ou la session associée.
Objectifs et limites (Pro)	Tant que le compte est actif. Les objectifs et limites historiques restent consultables en lecture seule après annulation de l'abonnement Pro.
Rapports mensuels (Pro)	5 ans à compter de la génération.
Logs d'erreurs Sentry	90 jours glissants.
Logs d'authentification Supabase	30 à 90 jours, selon la politique technique de notre sous-traitant Supabase.
Données comptables liées à un abonnement Pro (identifiant de transaction, montant, date)	10 ans, en application des articles L. 123-22 du Code de commerce et L. 102 B du Livre des procédures fiscales.
Suppression de compte demandée par l'utilisateur	Suppression différée (« soft-delete ») 30 jours, période pendant laquelle l'utilisateur peut annuler la suppression. Au-delà : suppression définitive (« hard-delete »).
Traces d'acceptation des documents légaux	Tant que le compte est actif + durée des prescriptions civiles applicables.

Distinction conservation / accès

Pour les comptes en offre gratuite, l'historique consultable dans l'Application est limité aux 3 derniers mois. Cela ne signifie pas que les données plus anciennes ont été supprimées : elles sont conservées dans nos systèmes et redeviennent accessibles si l'utilisateur souscrit à l'offre Klemly Pro. La conservation ne se confond donc pas avec l'accès direct depuis l'interface.

Article 9 — Sécurité des données

Klemly met en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque, conformément à l'article 32 du RGPD :

9.1 Mesures techniques

Chiffrement en transit : toutes les communications entre l'Application et nos serveurs sont chiffrées via TLS 1.2 ou supérieur (HTTPS exclusif).
Chiffrement des mots de passe : les mots de passe sont chiffrés par hachage cryptographique fort, selon l'état de l'art, avant stockage. Klemly n'a, à aucun moment, accès à votre mot de passe en clair.
Isolation des données utilisateurs : la base de données utilise le mécanisme « Row Level Security » de PostgreSQL, qui garantit qu'un utilisateur ne peut techniquement accéder qu'à ses propres données, y compris en cas de défaillance de l'application cliente.
Stockage sécurisé sur l'appareil : les jetons d'authentification sont stockés dans les zones sécurisées de votre appareil (Keychain sur iOS, Keystore sur Android), et non dans le stockage applicatif ordinaire.
Stockage privé des photos : les photos de tickets sont stockées dans un espace privé, accessible uniquement via des liens signés à durée de validité limitée (1 heure). Aucune photo n'est accessible publiquement.
Cloisonnement des privilèges serveur : les opérations sensibles (modification du statut Pro, suppression de compte, génération d'export) sont effectuées par des composants serveur dédiés (« Edge Functions ») disposant de clés d'accès strictement isolées du client.

9.2 Mesures organisationnelles

Pseudonymisation des logs techniques : les logs d'erreurs envoyés à Sentry font l'objet d'un nettoyage automatique (« scrubbing ») qui retire les emails, adresses IP, en-têtes d'authentification et autres données potentiellement identifiantes avant transmission.
Accès restreint : seul l'éditeur (Clément Despierre) dispose d'un accès administratif à la base de données et aux outils de monitoring.
Suivi des incidents : tout incident de sécurité fait l'objet d'une documentation interne et, le cas échéant, d'une notification à la CNIL dans les 72 heures conformément à l'article 33 du RGPD.

9.3 Limites de garantie

Aucun système informatique n'est invulnérable. Klemly s'engage à mettre en œuvre toutes les diligences raisonnables pour protéger vos données, mais ne peut garantir une sécurité absolue. En cas d'incident affectant vos données, vous serez informé conformément à l'article 34 du RGPD si l'incident est susceptible d'engendrer un risque élevé pour vos droits et libertés.

Article 10 — Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :

10.1 Droit d'accès (art. 15 RGPD)

Obtenir la confirmation que vos données sont traitées, et en recevoir une copie complète.

10.2 Droit de rectification (art. 16 RGPD)

Demander la correction de toute donnée inexacte ou incomplète.

10.3 Droit à l'effacement, dit « droit à l'oubli » (art. 17 RGPD)

Demander la suppression de vos données. Ce droit n'est pas absolu : il s'efface notamment lorsque la conservation est imposée par une obligation légale (cf. Article 8).

10.4 Droit à la portabilité (art. 20 RGPD)

Recevoir vos données dans un format structuré et couramment utilisé, et obtenir leur transfert vers un autre responsable de traitement lorsque cela est techniquement possible.

10.5 Droit d'opposition (art. 21 RGPD)

Vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière, notamment pour les traitements fondés sur l'intérêt légitime.

10.6 Droit à la limitation du traitement (art. 18 RGPD)

Demander la suspension du traitement de vos données dans certaines hypothèses (contestation de l'exactitude, opposition en cours d'examen, etc.).

10.7 Droit de retirer son consentement (art. 7 RGPD)

Pour les traitements fondés sur le consentement (photos de tickets), retirer ce consentement à tout moment, sans que cela affecte la licéité des traitements antérieurs.

10.8 Droit de définir des directives post-mortem (art. 85 LIL)

Définir des directives relatives au sort de vos données après votre décès, conformément à la loi française.

Article 11 — Procédure d'exercice des droits

11.1 Depuis l'Application

La plupart de vos droits peuvent être exercés directement depuis l'écran « Paramètres » → « Mes données » de l'Application :

Accès et portabilité : génération d'un export complet de vos données au format JSON + ZIP (incluant profil, sessions, objectifs, rapports, photos), envoyé par email en règle générale sous 24 heures, et en tout état de cause dans le délai légal d'un mois prévu par l'article 12.3 du RGPD.
Rectification : modification directe de vos données depuis les écrans de profil et de session.
Effacement : suppression complète du compte avec confirmation par ré-authentification.
Retrait du consentement photos : suppression individuelle des photos depuis l'écran de chaque session.

11.2 Par email

Pour toute demande qui ne peut être effectuée directement depuis l'Application, ou pour exercer les autres droits (opposition, limitation, directives post-mortem), vous pouvez nous contacter à l'adresse :

contact@klemly.fr

Indiquez précisément la nature de votre demande et l'identifiant de votre compte (adresse email d'inscription). Une pièce d'identité pourra exceptionnellement vous être demandée en cas de doute raisonnable sur votre identité, conformément à l'article 12.6 du RGPD.

11.3 Délai de réponse

Klemly s'engage à répondre à toute demande dans un délai maximal de un mois à compter de la réception, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois compte tenu de la complexité ou du nombre de demandes, auquel cas vous serez informé du motif de la prolongation.

11.4 Gratuité

L'exercice des droits est gratuit. Une demande manifestement infondée ou excessive (notamment en raison de son caractère répétitif) pourrait toutefois donner lieu à des frais raisonnables ou à un refus motivé, conformément à l'article 12.5 du RGPD.

Article 12 — Réclamation auprès de la CNIL

Si, après avoir contacté Klemly, vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française :

Adresse postale : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : https://www.cnil.fr
Formulaire de plainte en ligne : https://www.cnil.fr/fr/plaintes

Vous pouvez également saisir l'autorité de contrôle de votre pays de résidence si vous résidez dans un autre État membre de l'Union européenne.

Article 13 — Cookies et traceurs

13.1 Dans l'Application mobile

L'Application Klemly n'utilise aucun cookie ni traceur publicitaire. Le fonctionnement applicatif natif n'implique pas de cookies au sens de l'article 82 de la Loi Informatique et Libertés.

Les jetons d'authentification stockés localement sur votre appareil (Keychain iOS / Keystore Android) ne sont pas des cookies au sens réglementaire : ils sont strictement nécessaires au fonctionnement du service et indissociables de votre demande explicite de connexion.

13.2 Sur le site web klemly.fr

Le site web https://klemly.fr (landing page, hébergement des documents légaux) n'utilise aucun cookie tiers, aucun outil d'analyse statistique, aucun pixel de tracking à la date d'entrée en vigueur de la présente Politique.

Seuls des cookies dits « strictement nécessaires » au fonctionnement du site (préférence d'affichage, sécurité de session) sont susceptibles d'être déposés. Ces cookies, exemptés du consentement préalable conformément aux recommandations de la CNIL (délibération n° 2020-091 du 17 septembre 2020), ne servent à aucun traitement de profilage ni de mesure d'audience.

L'introduction ultérieure d'un outil de mesure d'audience ferait l'objet d'une mise à jour de la présente Politique et, le cas échéant, du déploiement d'un mécanisme de recueil de consentement conforme.

Article 14 — Mineurs

L'Application est strictement réservée aux personnes majeures (18 ans et plus). Klemly ne collecte pas intentionnellement de données concernant des mineurs.

Si Klemly venait à apprendre qu'un mineur a créé un compte, son compte serait suspendu et ses données supprimées sans délai. Tout parent ou tuteur ayant connaissance d'un compte créé par un mineur peut nous le signaler à l'adresse contact@klemly.fr.

Article 15 — Modification de la présente Politique

La présente Politique peut être modifiée selon le mécanisme de versionning défini dans les Conditions Générales d'Utilisation :

Modifications mineures (versions 1.x) : ajustements de forme, précisions rédactionnelles, ajout d'un sous-traitant sans changement de finalité. Bannière d'information à l'ouverture de l'Application pendant 7 jours, entrée en vigueur immédiate.
Modifications majeures (versions 2.0 et suivantes) : nouvelles finalités de traitement, nouvelles catégories de données, modification substantielle des droits ou obligations. Préavis de 30 jours, email d'information, écran de ré-acceptation au démarrage de l'Application. En cas de refus, le compte est placé en mode lecture seule (consultation des données possible, ajout ou modification bloqués). Après une période de 6 mois sans acceptation, le compte fait l'objet d'une suppression automatique, avec préavis email préalable de 30 jours.

Chaque acceptation, ainsi que la version correspondante, est enregistrée et traçable. L'historique des versions est consultable à l'adresse https://klemly.fr/privacy.

Article 16 — Contact

Pour toute question relative à la présente Politique ou au traitement de vos données personnelles :

Email : contact@klemly.fr
Site web : https://klemly.fr

Document rédigé en français. Tout désaccord d'interprétation se résout sur la base de la version française.

Fin du document — Politique de confidentialité Klemly v1.0 — 11 mai 2026