Inkally
Rejoindre la béta

Politique de confidentialité

Comment Inkally traite tes données personnelles, conformément au RGPD.

Last updated · 2026-05-23

⚠️ Phase beta — informations en cours de finalisation

Inkally est en phase beta testeurs. La présente politique est opérationnelle et engageante, mais certaines mentions administratives (raison sociale, adresse) seront finalisées avant la sortie commerciale. Pour exercer tes droits RGPD ou toute question : privacy@inkally.app.

1. Responsable du traitement

Le responsable du traitement de tes données personnelles est :
Inkally — [À COMPLÉTER : raison sociale]
Adresse : [À COMPLÉTER : siège social]
E-mail : privacy@inkally.app

2. Distinction des rôles RGPD

Inkally intervient dans deux rôles distincts au sens du RGPD :

  • Responsable de traitementpour les données de l'artiste tatoueur·euse abonné·e (identité du compte, email, paiements, logs d'usage du service).
  • Sous-traitantpour les données saisies par l'artiste tatoueur·euse concernant ses propres clients finaux (fiches clients, photos, consentements, questionnaires santé). L'artiste tatoueur·euse reste responsable de traitement vis-à-vis de ses clients.

3. Données collectées

  • Données d'identificationde l'artiste tatoueur·euse abonné·e : nom, prénom, email, téléphone, adresse postale du studio.
  • Données professionnelles: SIRET, n° de déclaration ARS, n° de police d'assurance RC pro, lots d'encres / aiguilles, cycles de stérilisation.
  • Données de paiement : gérées exclusivement par Stripe. Inkally ne stocke jamais de numéro de carte bancaire.
  • Données saisies par l'artiste tatoueur·euse concernant ses clients finaux : identité, contacts, photos, consentements signés, questionnaires de santé.
  • Données techniques: logs d'accès, adresse IP (anonymisée après 30 jours), user-agent, horodatage des actions sensibles.

4. Finalités du traitement

  • Fournir, exploiter et maintenir le service Inkally.
  • Authentifier les utilisateurs et gérer leur abonnement.
  • Permettre la traçabilité légale (factures séquentielles, audit log).
  • Émettre les emails transactionnels (rappels, aftercare, etc.).
  • Améliorer le produit via des statistiques anonymes (uniquement avec consentement).
  • Répondre à toute obligation légale.

5. Base légale

  • L'exécution du contrat (art. 6.1.b RGPD) pour le fonctionnement du service.
  • Le consentement (art. 6.1.a RGPD) pour les cookies analytics et les emails marketing.
  • L'obligation légale (art. 6.1.c RGPD) pour la conservation des factures (10 ans, Code de commerce).
  • L'intérêt légitime (art. 6.1.f RGPD) pour les logs de sécurité.
  • Le consentement explicite (art. 9.2.a RGPD) pour les données de santé (allergies, médication, etc.).

6. Données de santé — chiffrement de bout en bout (E2E)

Les questionnaires de santé des clients finaux contiennent des données sensibles (art. 9 RGPD). Inkally applique un chiffrement zero-knowledge (ECIES — Elliptic Curve Integrated Encryption Scheme, NIST P-256 + AES-GCM) :

  • Côté client : le questionnaire est chiffré dans le navigateur du client final, avec la clé publique du studio. Le serveur ne reçoit que du ciphertext inintelligible.
  • Clé privée: générée par l'artiste tatoueur·euse lors de l'activation, stockée uniquement dans son navigateur (IndexedDB), jamais transmise au serveur. Un fichier de récupération chiffré est fourni à l'artiste tatoueur·euse.
  • Conséquence: ni Inkally, ni Supabase (qui héberge le ciphertext), ni un éventuel agent gouvernemental contraignant Supabase ou Inkally, ne peuvent déchiffrer ces données. Seul·e l'artiste tatoueur·euse en possession de sa clé privée peut les lire.
  • Photos cicatrisées, avant et après: le chiffrement E2E zero-knowledge couvre désormais ces catégories sensibles. Si tu as activé une clé E2E sur ton studio, les photos sont chiffrées dans ton navigateur (ECIES P-256 + AES-GCM 256) avant d'être envoyées sur R2. Inkally stocke uniquement le binaire chiffré et les métadonnées de déchiffrement (clé éphémère + IV). Sans ta clé privée, le contenu est illisible.
  • Les PDF de consentements signés restent à ce jour chiffrés en transit (TLS) + au repos (R2) mais accessibles à Inkally — le chiffrement E2E de cette catégorie est en cours de déploiement.

7. Hébergement, sous-traitants extra-UE et US Cloud Act

L'ensemble des données est physiquement hébergé en Union Européenne :

  • Base PostgreSQL → Supabase, région Frankfurt (eu-central-1).
  • Photos et PDF → Cloudflare R2, région UE.
  • Hébergement applicatif → Vercel, région Frankfurt (eu-central-1).
  • Emails transactionnels → Resend, infrastructure UE.

Transferts internationaux indirects. Vercel Inc., Supabase Inc., Cloudflare Inc., Stripe Inc. et Resend Inc. sont des sociétés incorporées aux États-Unis. Bien que les données restent physiquement en UE, ces sociétés sont soumises au US CLOUD Act et peuvent théoriquement être contraintes par une juridiction américaine de fournir des données stockées par leurs soins, y compris en UE.

Encadrement légal des transferts. Le transfert des données personnelles vers ces sous-traitants est encadré par :

  • les Clauses Contractuelles Types de la Commission européenne (SCCs, décision 2021/914) signées avec chaque sous-traitant ;
  • le EU-US Data Privacy Framework(décision d'adéquation UE 2023/1795 du 10 juillet 2023) pour les sous-traitants américains certifiés ;
  • les DPA (Data Processing Addendum) RGPD signés avec chaque sous-traitant.

Mitigation Cloud Act.Pour les données les plus sensibles (santé), le chiffrement E2E zero-knowledge décrit en section 6 garantit qu'aucun sous-traitant — y compris contraint par une autorité étrangère — ne peut accéder au contenu en clair. La clé de déchiffrement n'existe que dans le navigateur de l'artiste tatoueur·euse.

8. Durée de conservation

  • Compte actif : tant que l'abonnement est actif.
  • Après résiliation : 30 jours d'accès pour export, puis suppression définitive (avec email de rappel).
  • Factures : 10 ans (obligation Code de commerce).
  • Logs d'accès : 1 an maximum (anonymisés après 30 jours).
  • Données de santé : effacées sur demande du client final à tout moment (art. 17 RGPD).

9. Tes droits RGPD

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

  • Droit d'accès (art. 15) : export ZIP de toutes tes données.
  • Droit de rectification (art. 16) : modification directe via Paramètres.
  • Droit à l'effacement(art. 17, « droit à l'oubli ») : sur demande écrite, sous réserve d'obligations légales.
  • Droit à la limitation (art. 18) : sur demande à privacy@inkally.app.
  • Droit à la portabilité (art. 20) : export au format ouvert (CSV, JSON, PDF).
  • Droit d'opposition (art. 21) : opt-out des emails marketing en un clic depuis chaque email.
  • Droit de réclamation : tu peux saisir la CNIL si tu estimes tes droits non respectés.

10. Sous-traitants

  • Supabase — base de données + auth, UE.
  • Cloudflare — stockage R2 + CDN, UE.
  • Vercel — hébergement, UE (Frankfurt).
  • Stripe — paiements, UE/USA (DPF).
  • Resend — emails transactionnels, UE.

11. Base produits partagée (scan code-barre)

Inkally maintient une base interne qui associe les codes-barres (GTIN / EAN-13) des consommables professionnels (encres, aiguilles, consommables d'hygiène) à leurs métadonnées produit (nom, marque, couleur, volume). Cette base est construite par les artistes tatoueur·euses utilisateur·rices lors de la saisie d'un produit dans leur inventaire après scan.

  • Données concernées: uniquement des informations factuelles publiques visibles sur l'emballage du produit. Aucune donnée personnelle. Aucune donnée propre à un studio (le numéro de lot, la quantité, la date d'achat restent dans ton inventaire privé, jamais publiés).
  • Visibilité: la base est lue par tous les studios Inkally au moment du scan, pour pré-remplir leur formulaire et gagner du temps. L'identifiant du studio contributeur reste interne (non visible publiquement).
  • Cadre juridique: il s'agit d'une compilation d'informations factuelles publiques (cf. directive UE 96/9/CE sur les bases de données et la doctrine de la « nominative use » pour les marques). Inkally n'est affilié à aucun fabricant.
  • Modération: tout utilisateur peut signaler une entrée erronée ; tout fabricant peut demander la rectification ou le retrait d'une entrée en écrivant à privacy@inkally.app. Procédure type LCEN art. 6.

12. Cookies

Inkally utilise uniquement des cookies essentiels au fonctionnement du service. Détail et gestion du consentement sur la page Cookies.

13. Contact

Pour toute question :
E-mail : privacy@inkally.app
Adresse postale : voir Mentions légales.

14. Modifications

Cette politique peut être mise à jour. La date de dernière mise à jour est indiquée en haut. Toute modification substantielle te sera notifiée par email au moins 30 jours avant son entrée en vigueur.