Politique de confidentialité

Ce qu'on collecte

Sira est conçue selon le principe de minimisation des données : on ne collecte que ce qui est strictement nécessaire au fonctionnement de l'application et du site. Voici la liste exhaustive.

Stocké uniquement sur ton iPhone

• Horaires de prière que tu configures manuellement (Fajr, Dhuhr, Asr, Maghrib, Isha) ;
• Liste opaque des apps que tu choisis de bloquer (gérée par Apple via FamilyActivitySelection, voir la section 7) ;
• Historique des prières validées sur les 7 derniers jours (rétention glissante) ;
• Compteurs de streak (quotidien et hebdomadaire) ;
• Préférences d'affichage (toggle arabe pour les du'as, etc.) ;
• Données d'humeur que tu poses avant chaque prière (échelle 1 à 5, anonymisées).

Transmis à nos serveurs (Supabase, Union européenne)

• Un identifiant unique de device (UUID v4 généré localement) pour permettre l'exercice de ton droit à l'effacement RGPD ;
• Le statut de ton abonnement (essai, actif, expiré), géré par RevenueCat selon les conditions d'Apple.

Aucune donnée de prière, de streak, d'humeur ou de configuration n'est jamais transmise à nos serveurs. Sira ne pratique aucune décision automatisée ni profilage au sens de l'article 22 du RGPD.

Avec ton consentement explicite (opt-in, désactivé par défaut)

• Rapports de crash anonymes (Sentry) : si tu actives l'option dans Réglages → Diagnostic, Sira peut transmettre une trace technique (fichier, ligne, type d'erreur iOS) en cas de crash. Aucune donnée utilisateur dans le rapport. Révocable à tout moment.

Ce qu'on NE collecte PAS

Voici ce que Sira ne fait pas, contrairement à la plupart des applications mobiles :

Stockage des données

L'architecture de Sira est privacy-by-design :

• La majorité de tes données restent sur ton iPhone, dans le stockage chiffré SwiftData géré par iOS. Elles sont protégées par le code d'accès et Face ID de ton appareil ;
• Seuls un UUID anonyme et le statut de ton abonnement sont stockés sur nos serveurs Supabase, hébergés à Frankfurt (Union européenne). Aucune sortie de l'EEE pour ces données ;
• Le site getsira.fr est statique (Vercel) et utilise Plausible Analytics, un outil cookieless hébergé en Estonie qui agrège les pages vues sans aucun identifiant personnel ;
• Lorsque tu désinstalles l'application, toutes les données stockées localement sont définitivement supprimées. Les données serveur peuvent être supprimées sur demande (voir section 10).

Services tiers

Pour fonctionner, Sira s'appuie sur les services tiers suivants. La section 12 détaille les obligations contractuelles (DPA, transferts internationaux) qui encadrent chacun d'eux.

Responsable du traitement

Le responsable du traitement au sens de l'article 4.7 du RGPD et de l'article 5 de la nLPD est :

Sachs Consulting Sàrl n'est pas tenue de désigner un délégué à la protection des données au sens de l'article 37 du RGPD (volume de traitement et taille d'entreprise sous les seuils). Pour toute demande relative à tes données, écris à contact@getsira.fr. Une réponse te sera apportée dans le délai légal d'un mois.

Base légale des traitements

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale précise :

• Exécution du contrat (Art. 6.1.b) : fourniture du service Sira (gestion des fenêtres de prière, blocage Family Controls, suivi local du streak) et gestion de l'abonnement via RevenueCat ;
• Consentement (Art. 6.1.a) : activation du diagnostic de crash anonyme (Sentry), affiché dans les réglages de l'app et révocable à tout moment ;
• Intérêt légitime (Art. 6.1.f) : analytics web cookieless sur getsira.fr (Plausible), sécurité de l'app et lutte contre la fraude à l'abonnement. Cet intérêt est mis en balance avec tes droits, et tu peux t'y opposer en écrivant à contact@getsira.fr ;
• Obligation légale (Art. 6.1.c) : conservation de certaines données comptables liées à l'abonnement, conformément au droit suisse.

Apple Family Controls et entitlement Distribution

Sira utilise l'entitlement Family Controls (Distribution) d'Apple pour bloquer les apps que tu choisis pendant tes fenêtres de prière. Concrètement, Sira combine trois frameworks Apple :

• FamilyActivityPicker : interface système Apple qui te permet de sélectionner les apps à bloquer. Sira affiche cette fenêtre mais ne reçoit jamais la liste précise des apps que tu coches. Apple retourne uniquement un jeton opaque à Sira, qu'on stocke localement sur ton iPhone ;
• ManagedSettings : framework qui applique le blocage au niveau du système d'exploitation, à partir du jeton opaque. Encore une fois, Sira ne voit pas les noms ou bundle IDs des apps concernées ;
• DeviceActivity : framework qui déclenche le blocage automatiquement au début de chaque fenêtre de prière, même quand Sira n'est pas ouverte.

Cette architecture est imposée par Apple précisément pour garantir que des apps comme Sira ne puissent jamais profiler ton usage. C'est une garantie privacy-by-design d'Apple, pas de Sira. Sira est conçue comme un outil de discipline numérique auto-dirigé pour adultes, pas comme un outil de contrôle parental, de surveillance ou de gestion à distance. Tu restes la seule personne en mesure de modifier ta sélection.

Sira embarque par ailleurs un Privacy Manifest (PrivacyInfo.xcprivacy) conformément aux exigences d'Apple en vigueur depuis mai 2024. Ce manifeste, livré avec l'app et vérifié par Apple lors de la review, déclare les API « required reason » utilisées par Sira ainsi que l'absence de tracking au sens de l'AppTrackingTransparency framework.

Mineurs

Sira est destinée à des personnes adultes. L'application est conçue comme un outil de discipline numérique auto-dirigé qui suppose une démarche personnelle et un consentement éclairé au traitement des données.

• L'âge minimum pour utiliser Sira est de 16 ans révolus, conformément à l'article 8 du RGPD ;
• La souscription à un abonnement payant est réservée aux personnes ayant la capacité contractuelle pleine, soit 18 ans révolus en Suisse comme en France ;
• Sira n'est pas une application destinée aux enfants au sens de la catégorie « Kids » de l'App Store, et n'est pas soumise à la réglementation américaine COPPA ;
• Si un mineur a utilisé Sira sans consentement parental valide, la suppression peut être demandée à contact@getsira.fr et sera traitée en priorité, sans condition.

Tes droits

Conformément au RGPD et à la nLPD, tu disposes des droits suivants :

• Droit d'accès (Art. 15 RGPD) : obtenir copie des données te concernant ;
• Droit de rectification (Art. 16) : corriger des données inexactes ;
• Droit à l'effacement (Art. 17, « droit à l'oubli ») : demander la suppression de toutes tes données sur nos serveurs ;
• Droit à la limitation du traitement (Art. 18) : geler temporairement le traitement de tes données ;
• Droit d'opposition (Art. 21) : t'opposer à un traitement reposant sur l'intérêt légitime ;
• Droit à la portabilité (Art. 20) : récupérer tes données dans un format structuré et lisible par machine ;
• Droit de retirer ton consentement à tout moment, sans affecter la licéité du traitement déjà effectué ;
• Droit d'introduire une réclamation auprès d'une autorité de contrôle (en Suisse : le PFPDT ; en France : la CNIL ; ou l'autorité de ton pays de résidence dans l'UE).

Pour exercer ces droits, contacte contact@getsira.fr en précisant ton identifiant device (visible dans Réglages, section « À propos » de l'app). Une réponse te sera apportée dans un délai d'un mois à compter de la réception de ta demande, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois si ta demande est complexe ou si nous recevons un nombre élevé de demandes simultanément, auquel cas nous t'en informerons.

Suppression de compte et de tes données

Tu peux demander à tout moment la suppression complète de ton compte Sira et de toutes les données associées à ton UUID sur nos serveurs.

• Par email : envoie une demande à contact@getsira.fr en précisant ton identifiant device (visible dans Réglages, section « À propos » de l'app). Nous traitons ta demande sous 30 jours maximum.

La suppression entraîne l'effacement définitif de ton UUID Supabase, du statut d'abonnement associé et de tout journal technique te concernant. Les données stockées localement sur ton iPhone sont, elles, supprimées dès la désinstallation de l'application. La résiliation de l'abonnement payant doit être effectuée séparément depuis ton compte Apple ID (Réglages iOS → Abonnements), Apple étant le seul gestionnaire des transactions et des renouvellements.

Conservation des données

• Données opérationnelles dans l'app (prières, streak, humeur) : rétention 7 jours glissants, sauf le profil onboarding, la configuration, les compteurs de streak et le statut d'abonnement qui sont conservés tant que tu utilises Sira ;
• Données serveur (UUID, statut d'abonnement) : conservées tant que le compte est actif, supprimées dans les 30 jours suivant ta demande d'effacement ;
• Logs techniques (erreurs, crashs Sentry si opt-in) : conservés 90 jours maximum à des fins de diagnostic ;
• Données comptables liées à l'abonnement (factures, justificatifs de transaction transmis par Apple) : conservées 10 ans conformément aux obligations comptables suisses (CO Art. 958f).

Sous-traitants (détail juridique)

Sira fait appel à des prestataires techniques qui agissent en qualité de sous-traitants au sens de l'article 28 du RGPD. Chacun d'eux est lié à Sachs Consulting Sàrl par un accord de traitement des données (DPA), soit signé directement, soit accepté via les conditions standard de la plateforme.

Transferts internationaux

Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, lorsque le sous-traitant y est certifié, par le Data Privacy Framework (DPF) UE / États-Unis adopté en juillet 2023. Pour la Suisse, les transferts s'appuient également sur les clauses contractuelles types reconnues par le PFPDT et le Swiss-U.S. Data Privacy Framework.

Les transferts intra-UE (Supabase à Frankfurt, Plausible en Estonie) ne nécessitent pas de garanties supplémentaires au sens du chapitre V du RGPD.

Violation de données personnelles

En cas de violation de données personnelles présentant un risque pour les droits et libertés des personnes concernées, Sachs Consulting Sàrl s'engage à notifier l'incident dans un délai de 72 heures à compter de la prise de connaissance :

• au Préposé fédéral à la protection des données et à la transparence (PFPDT) pour la Suisse, conformément à l'article 24 de la nLPD ;
• à la CNIL ou à toute autre autorité de contrôle européenne compétente, conformément à l'article 33 du RGPD.

Si la violation est susceptible d'engendrer un risque élevé pour tes droits et libertés, tu en seras informé personnellement et dans les meilleurs délais, conformément à l'article 34 du RGPD.

App Privacy, déclarations App Store Connect

Apple demande à chaque éditeur d'application de déclarer dans App Store Connect les catégories de données collectées et leur usage. Ces déclarations sont visibles publiquement sur la fiche App Store de Sira. Voici la correspondance entre ces déclarations et le détail décrit dans cette politique :

• Contact Info (email, téléphone, adresse) : aucune donnée collectée. Sira ne demande ni email ni numéro de téléphone ;
• Identifiers : un User ID anonyme (UUID v4 généré localement, stocké côté Supabase) pour permettre l'exercice de ton droit à l'effacement. Cet identifiant n'est pas utilisé pour du tracking inter-apps ;
• Purchases : historique d'abonnement traité par RevenueCat à partir des reçus de l'App Store ;
• Usage Data : aucune donnée d'usage collectée. Sira n'intègre pas de SDK d'analytics produit ;
• Diagnostics : rapports de crash anonymes transmis à Sentry uniquement si tu actives l'option dans les réglages, classés Not Linked to You ;
• Tracking, Used to Track You : aucune donnée. Sira ne pratique aucun tracking au sens du framework AppTrackingTransparency d'Apple.

Mises à jour de cette politique et contact

Cette politique de confidentialité peut être mise à jour à mesure que l'application évolue. La date de dernière mise à jour figure en haut de cette page. Les changements significatifs te seront notifiés via l'application ou par email si nous avons ton adresse. Les versions antérieures de cette politique sont disponibles sur demande.

Pour toute question relative à la protection de tes données personnelles : contact@getsira.fr.

Pour les questions techniques liées à l'application ou au site : dev@getsira.fr.

Voir aussi les mentions légales pour les coordonnées complètes de l'éditeur.