FIGA

Politique de Cookies et de Données Techniques

Préambule – Définitions

Pour les besoins de la présente politique, les termes ci-dessous ont la signification suivante :

  • L'Éditeur : désigne FIGADERE Lucas, entrepreneur individuel exerçant sous le nom commercial FIGA, responsable de l'exploitation des services.
  • FIGA : désigne la plateforme technologique globale exploitée par l'Éditeur, incluant notamment le site internet, les applications, la base de données et les services associés.
  • FIGA Pro : désigne l'application destinée aux professionnels.
  • FIGA Client : désigne l'application destinée aux clients finaux.

1. Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la consultation d'un site internet. La présente politique couvre également les autres technologies similaires (stockage local du navigateur, données techniques transmises lors d'une requête HTTP) lorsqu'elles sont utilisées par FIGA.

2. Cookies déposés par FIGA

FIGA dépose un nombre restreint de cookies, tous strictement nécessaires à la fourniture du service demandé par l'utilisateur.

2.1 Cookies d'authentification (Supabase)

Lorsqu'un utilisateur se connecte à son compte, les cookies de session Supabase (préfixés sb-…-auth-token) sont déposés afin de maintenir la session ouverte et d'authentifier les requêtes ultérieures. Ces cookies sont protégés par les attributs SameSite=Lax et Secure, et leur durée de vie suit la politique de session Supabase (rafraîchissement automatique du jeton).

2.2 Cookie de redirection post-connexion

Un cookie temporaire figa_redirect_after_login peut être déposé pendant un maximum de 10 minutes afin de mémoriser l'URL vers laquelle rediriger l'utilisateur après son authentification. Il est automatiquement supprimé dès la connexion réussie.

2.3 Stockage de session local

La clé figa-intro-done est stockée dans le sessionStorage du navigateur (non transmise au serveur) afin d'éviter de rejouer l'animation d'accueil lors d'une même session de navigation. Elle est supprimée à la fermeture de l'onglet.

2.4 Cookie de consentement

Lorsque vous répondez à la bannière de consentement, votre choix est mémorisé dans le localStorage du navigateur sous la clé figa-cookie-consent, afin de ne pas vous solliciter à nouveau lors des visites suivantes.

Conformément à la directive ePrivacy et à la position de la CNIL, ces cookies sont strictement nécessaires au fonctionnement du service et ne nécessitent pas de consentement préalable.

3. Données techniques traitées sans dépôt de cookie

Lors de chaque requête vers le site, certaines données techniques sont automatiquement transmises par votre navigateur ou résolues par notre infrastructure. Elles ne sont ni vendues, ni utilisées à des fins publicitaires ou de profilage commercial.

3.1 Adresse IP et User-Agent

L'adresse IP du visiteur et l'identifiant de son navigateur (User-Agent) sont utilisés pour :

  • appliquer une limitation du nombre de requêtes (rate limiting) afin de protéger le service contre les abus et attaques par déni de service ;
  • identifier et bloquer les outils d'attaque automatisés connus (scanners de vulnérabilités) ;
  • valider la cohérence des en-têtes HTTP (Host, Origin, Referer) pour la protection contre les attaques de type CSRF.

L'adresse IP est conservée en clair dans la mémoire vive du service de limitation de débit (Upstash Redis) pour une durée maximale de 4 heures, puis purgée automatiquement. En cas d'événement de sécurité (blocage, requête anormale), elle peut apparaître dans nos journaux techniques pour une durée limitée, conformément à la durée de rétention de notre hébergeur.

Sur les routes sensibles (création de compte, connexion, prise de rendez-vous), l'adresse IP est hachée avec un sel cryptographique (SHA-256) avant toute persistance en base, de manière à ne jamais stocker l'adresse IP en clair sur nos serveurs.

3.2 Mesure d'audience (Vercel Web Analytics et Speed Insights)

Si vous acceptez les cookies via la bannière, le site fait appel aux outils de mesure d'audience et de performance de notre hébergeur Vercel (Web Analytics et Speed Insights). Ces outils :

  • ne déposent aucun cookie ;
  • ne conservent pas l'adresse IP des visiteurs ;
  • collectent uniquement des données agrégées et anonymes (page visitée, type d'appareil, pays, indicateurs de performance Web Vitals) ;
  • ne permettent pas le suivi inter-sites.

Si vous refusez les cookies, ces outils ne sont pas chargés sur votre navigateur.

3.3 Détection anti-bot sur les formulaires sensibles

Sur les pages d'inscription, de connexion et de prise de rendez-vous, FIGA met en œuvre un dispositif de détection des comportements automatisés afin de protéger ses utilisateurs contre la fraude et la création de faux comptes. Au moment de la soumission du formulaire, sont transmises au serveur :

  • des signaux d'interaction agrégés (mouvements de souris, scrolls, dynamique de frappe, focus de la page) — sans le contenu des touches saisies ;
  • une empreinte technique du navigateur (résolution écran, fuseau horaire, langues, nombre de cœurs CPU, présence de WebDriver, rendu graphique WebGL).

Ces données sont strictement nécessaires à la sécurité du service (équivalent technique d'un CAPTCHA invisible). Elles sont associées à un hachage salé de l'adresse IP et conservées de manière limitée dans le temps. Aucune de ces informations n'est utilisée à des fins commerciales, publicitaires, ou de profilage marketing.

3.4 Paiement (Stripe)

Lorsque vous initiez un paiement ou un abonnement, vous êtes redirigé vers une page hébergée par Stripe (Stripe Checkout). Aucun script Stripe n'est exécuté sur le site figa-app.com lui-même. Sur le domaine de Stripe, ce dernier dépose ses propres cookies et collecte les données techniques nécessaires à la prévention de la fraude et au traitement du paiement, conformément à sa propre politique de confidentialité (https://stripe.com/fr/privacy).

4. Sous-traitants techniques

Les données ci-dessus transitent par les prestataires techniques suivants, agissant en qualité de sous-traitants au sens du RGPD :

  • Vercel Inc. — hébergement du site, mesure d'audience anonyme et indicateurs de performance.
  • Upstash Inc. — limitation du débit des requêtes (rate limiting) via Redis.
  • Supabase Inc. — base de données, authentification et journalisation de sécurité.
  • Stripe, Inc. — uniquement sur les pages de paiement et d'abonnement.

Aucune donnée n'est transmise à des régies publicitaires, à des réseaux sociaux ou à des courtiers de données. FIGA n'utilise notamment ni Google Analytics, ni le pixel Meta/Facebook, ni aucun outil de remarketing.

5. Durée de conservation

  • Cookies d'authentification : durée de la session, avec rafraîchissement automatique du jeton.
  • Cookie figa_redirect_after_login : 10 minutes maximum.
  • Cookie de consentement figa-cookie-consent : 13 mois maximum (recommandation CNIL).
  • Adresse IP dans le rate limiting : 4 heures maximum.
  • Hachages d'adresse IP et événements de sécurité en base : durée limitée nécessaire à l'objectif de sécurité poursuivi.

6. Vos droits et la gestion de votre consentement

Vous pouvez à tout moment :

  • modifier votre choix en effaçant la clé figa-cookie-consent dans le stockage local de votre navigateur — la bannière s'affichera à nouveau lors de la visite suivante ;
  • configurer votre navigateur pour accepter, refuser ou supprimer les cookies ;
  • exercer vos droits d'accès, de rectification, d'effacement, de limitation et d'opposition prévus par le RGPD en écrivant à l'adresse figa.application@gmail.com.

Le refus des cookies strictement nécessaires (authentification, sécurité) peut empêcher l'utilisation de certaines fonctionnalités du service.

7. Modification de la politique cookies

FIGA se réserve le droit de modifier la présente politique à tout moment afin de se conformer à la réglementation ou à l'évolution des services. La date de dernière mise à jour est indiquée ci-dessous.

Dernière mise à jour : 1 juin 2026

Politique de cookies · FIGA