Ma ForgeRetour aux tarifs

Politique de confidentialité

Dernière mise à jour : 7 mai 2026.

1. Responsable du traitement

Le responsable du traitement des données personnelles est Cédric Marchal, éditeur du service Ma Forge, domicilié 4 rue de Bodegnée, 4470 Saint-Georges-sur-Meuse, Belgique. Pour toute question relative à vos données personnelles, à l'exercice de vos droits ou à la présente politique : marchal.cedric@outlook.com. Compte tenu de la taille du service, aucun délégué à la protection des données (DPO) n'est désigné — le responsable du traitement est le point de contact direct.

2. Données collectées

  • Email— pour l'authentification, la vérification du compte et les emails transactionnels (réinitialisation de mot de passe, confirmations, factures).
  • Mot de passe— stocké uniquement sous forme de condensat bcrypt (le mot de passe en clair n'est jamais conservé).
  • Nom (optionnel) — affiché dans votre interface utilisateur.
  • Image de profil (optionnelle) — stockée associée à votre compte.
  • Rôleuser par défaut, adminpour les comptes d'administration.
  • Contenu de campagne— fiches d'entités, notes, cartes, sessions, structure JSON associée. Saisi par vous, stocké en base pour la fourniture du service.
  • Données de facturation— gérées intégralement par Stripe (numéro de carte, adresse de facturation). Ma Forge stocke uniquement un identifiant client/abonnement Stripe et le statut de l'abonnement.
  • Logs serveur — adresses IP, horodatage, page consultée ou endpoint API, code de réponse. Collectés à des fins de sécurité et de diagnostic technique.

3. Finalités et bases légales

  • Fourniture du service (compte, sauvegarde et affichage des contenus, abonnement Pro) — base légale : exécution du contrat (art. 6.1.b RGPD).
  • Facturation et obligations comptables — base légale : obligation légale (art. 6.1.c RGPD).
  • Sécurité, prévention de la fraude et du spam (logs, limitation de débit) — base légale : intérêt légitime (art. 6.1.f RGPD).
  • Emails transactionnels(vérification, réinitialisation, confirmation d'abonnement) — base légale : exécution du contrat.

Aucun traitement à des fins publicitaires ou de profilage n'est effectué. Aucune donnée n'est revendue.

4. Sous-traitants et transferts

  • Vercel Inc.(États-Unis) — hébergement de l'application et de la base de données Postgres associée, sur des régions de l'Union Européenne. Transferts éventuels hors UE encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.
  • Stripe Payments Europe Ltd (Irlande, avec maison-mère Stripe Inc. aux États-Unis) — traitement des paiements et de la facturation. Transferts vers les États-Unis encadrés par les CCT.
  • Resend, Inc. (États-Unis) — envoi des emails transactionnels. Transferts vers les États-Unis encadrés par les CCT.

Chaque sous-traitant est lié par un accord de traitement (DPA) et offre des garanties appropriées au sens des articles 28 et 44 et suivants du RGPD.

5. Cookies

Ma Forge n'utilise que des cookies strictement nécessaires au fonctionnement du service : un cookie de session d'authentification (HttpOnly, Secure, SameSite=Lax) et, le cas échéant, un cookie de protection CSRF. Aucun cookie de mesure d'audience, de profilage ou de publicité n'est déposé. Aucune information n'est partagée avec des tiers à des fins marketing.

6. Durée de conservation

  • Compte et contenus utilisateur — conservés tant que le compte est actif. En cas de suppression, effacement immédiat de la base, suivi de la rotation des sauvegardes incrémentales sous 30 jours.
  • Données de facturation — conservées 7 ans conformément aux obligations comptables belges (art. III.86 du Code de droit économique).
  • Logs techniques— 12 mois maximum à des fins de sécurité (recommandation de l'Autorité de protection des données).
  • Tokens de vérification email et de réinitialisation— supprimés à l'usage ou à expiration (24 h maximum).

7. Sécurité

Les mots de passe sont stockés sous forme de condensat bcrypt. Les communications avec le service sont chiffrées en transit (HTTPS/TLS). La base de données est hébergée sur une infrastructure managée disposant de sauvegardes automatiques. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous serez informé dans les meilleurs délais conformément à l'article 34 du RGPD, et l'Autorité de protection des données belge sera notifiée dans les 72 heures.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
  • Accès — vos données de compte sont consultables directement depuis votre interface ; un export complet peut être demandé par email.
  • Rectification — modification de votre nom, email et mot de passe depuis la page de votre compte.
  • Effacement— bouton « Supprimer mon compte » dans votre compte (suppression immédiate et définitive, en cascade sur l'ensemble de vos données).
  • Portabilité— export JSON de vos campagnes et entités, fourni sur demande à l'adresse de contact.
  • Limitation et opposition— vous pouvez vous opposer à un traitement fondé sur l'intérêt légitime ; nous examinerons votre demande au cas par cas.
  • Retrait du consentement — lorsque le traitement repose sur le consentement, vous pouvez le retirer à tout moment, sans effet sur les traitements antérieurs.
  • Directives post-mortem— vous pouvez communiquer à l'éditeur des instructions relatives au sort de vos données après votre décès, qui seront exécutées dans la limite des obligations légales applicables.

Pour exercer ces droits, contactez marchal.cedric@outlook.com. Une réponse vous sera apportée sous un mois maximum, à compter de la réception de votre demande (art. 12.3 RGPD). Une pièce justificative d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur.

9. Réclamation auprès de l'autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à l'Autorité de protection des données (APD), rue de la Presse 35, 1000 Bruxelles : autoriteprotectiondonnees.be. Si vous résidez dans un autre État membre de l'Union Européenne, vous pouvez également saisir l'autorité de contrôle de votre lieu de résidence (article 77 du RGPD).

10. Modifications

La présente politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. Toute modification substantielle sera notifiée aux utilisateurs actifs par email au moins 15 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête de ce document.

Voir aussi : Conditions générales d'utilisation.