Politique de confidentialité
Dernière mise à jour : 22 mars 2026
1. Introduction
La présente politique de confidentialité décrit la manière dont le site planning-poker.online (ci-après « le Site » ou « le Service ») collecte, utilise, stocke et protège les données des utilisateurs.
L'éditeur du Site s'engage à respecter la vie privée des utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi Informatique et Libertés).
En utilisant le Service, vous acceptez les pratiques décrites dans la présente politique.
2. Responsable du traitement
- Identité : Planning Poker Online
- E-mail de contact : contact[at]planning-poker.online
3. Données collectées
Le Service a été conçu selon le principe de minimisation des données (article 5.1.c du RGPD). Aucune création de compte n'est requise. Les données collectées se limitent au strict nécessaire pour le fonctionnement du service.
3.1. Données fournies volontairement par l'utilisateur
| Donnée | Finalité | Obligatoire |
|---|---|---|
| Pseudonyme (nom d'affichage) | Identification des participants dans la session | Oui |
| Nom de la session | Organisation et identification de la session | Oui |
| Titres et descriptions des stories | Organisation du contenu à estimer | Titre oui, description non |
| Votes (valeurs d'estimation) | Fonctionnement du processus d'estimation | Oui (pour les votants) |
3.2. Données collectées automatiquement
- Identifiant technique anonyme permettant l'authentification et l'association des votes
- Jeton de session permettant la reconnexion en cas d'interruption
- Horodatages liés à l'activité dans la session (création, votes)
- Statut de connexion (en ligne / absent), non persisté, temps réel uniquement
3.3. Données NON collectées
Le Service ne collecte aucune des données suivantes :
- Adresse e-mail
- Mot de passe
- Nom réel ou identité civile
- Adresse IP
- Données de géolocalisation
- Données de navigation ou de comportement
- Données biométriques
- Données de paiement (le service est gratuit)
4. Base juridique des traitements
Conformément à l'article 6 du RGPD, les traitements de données sont fondés sur :
| Traitement | Base juridique | Article RGPD |
|---|---|---|
| Gestion des sessions de vote | Exécution du service (intérêt légitime) | Art. 6.1.f |
| Authentification anonyme | Intérêt légitime (sécurité du service) | Art. 6.1.f |
| Stockage local (préférences) | Intérêt légitime (fonctionnement technique) | Art. 6.1.f |
| Mesure d'audience (Mixpanel) | Consentement de l'utilisateur (via Axeptio) | Art. 6.1.a |
5. Finalités du traitement
Les données sont traitées exclusivement pour :
- Permettre la création et la gestion de sessions de Planning Poker
- Identifier les participants au sein d'une session (via leur pseudonyme)
- Enregistrer et afficher les votes en temps réel
- Calculer les statistiques d'estimation (moyenne, médiane, consensus)
- Permettre l'export des résultats par l'organisateur de la session
- Maintenir la communication en temps réel entre les participants
- Sauvegarder les préférences d'affichage de l'utilisateur (thème clair/sombre)
- Mesurer l'audience et l'usage du service (sous consentement, via Mixpanel)
Aucune donnée n'est utilisée à des fins commerciales, publicitaires ou de profilage. Les données d'analyse d'audience sont collectées de manière anonyme et uniquement à des fins d'amélioration du service.
6. Destinataires et sous-traitants
Les données sont accessibles uniquement aux catégories de destinataires suivantes :
| Destinataire | Rôle | Localisation | Garanties |
|---|---|---|---|
| OVHcloud | Hébergement web (fichiers statiques uniquement) | France (UE) | RGPD, certifications ISO 27001, HDS |
| Supabase, Inc. | Services d'infrastructure | France (UE) | DPA, SOC 2 Type II, infrastructure UE |
| Amazon Web Services (AWS) | Infrastructure cloud | France (UE) | RGPD, ISO 27001 |
| Mixpanel, Inc. | Analyse d'audience (sous consentement) | Union européenne | DPA, SOC 2 Type II, infrastructure UE |
| Axeptio | Gestion du consentement cookies | France (UE) | RGPD |
Aucun transfert de données hors de l'Union européenne n'est effectué. Les données sont hébergées en France ou au sein de l'UE, y compris les données d'analyse d'audience (Mixpanel, endpoint européen).
Les données ne sont jamais vendues, louées ou communiquées à des tiers à des fins commerciales.
7. Durée de conservation des données
| Donnée | Durée de conservation | Justification |
|---|---|---|
| Données de session (nom, stories, votes) | Jusqu'à suppression par le Scrum Master ou purge automatique | Nécessaire pour la consultation de l'historique |
| Pseudonymes des participants | Durée de vie de la session | Identification dans la session |
| Données de session du navigateur | Durée de la session navigateur | Fonctionnement technique |
| Préférence de thème | Indéfiniment (stockage local du navigateur) | Confort utilisateur |
| Historique local des sessions | Jusqu'à suppression manuelle par l'utilisateur | Accès rapide aux sessions passées |
L'utilisateur peut à tout moment effacer les données stockées localement via les paramètres de son navigateur (Données de site).
8. Sécurité des données
Conformément à l'article 32 du RGPD, l'éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
- Chiffrement des communications et des données stockées
- Contrôle d'accès strict aux données, limité au périmètre de chaque session
- Protection contre les abus et les accès non autorisés
- Validation et assainissement de toutes les entrées utilisateur
- Aucun mot de passe collecté ni stocké
Ces mesures sont régulièrement évaluées et adaptées en fonction de l'évolution des risques.
9. Cookies et stockage local
Le site utilise des mécanismes de stockage local (localStorage du navigateur) à des fins strictement nécessaires au fonctionnement du service :
- Maintien de la session utilisateur
- Sauvegarde des préférences d'affichage
- Historique local des sessions consultées
Ces données sont stockées uniquement dans votre navigateur et ne sont pas transmises à des tiers. Elles sont classées « strictement nécessaires » au sens de l'article 82 de la loi Informatique et Libertés et de la délibération CNIL n° 2020-091 du 17 septembre 2020. Elles ne nécessitent pas le consentement préalable de l'utilisateur.
Le site utilise également un cookie d'analyse d'audience (Mixpanel) qui n'est déposé qu'après recueil de votre consentement explicite via la plateforme Axeptio. Vous pouvez modifier vos choix à tout moment en cliquant sur le widget Axeptio.
Vous pouvez à tout moment effacer les données de stockage local en vidant le stockage de votre navigateur (paramètres du navigateur > Données de site).
10. Droits des utilisateurs
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
Droit d'accès (art. 15 RGPD)
Obtenir la confirmation que des données vous concernant sont ou ne sont pas traitées, et accéder à ces données.
Droit de rectification (art. 16 RGPD)
Obtenir la rectification de données inexactes vous concernant.
Droit à l'effacement (art. 17 RGPD)
Obtenir l'effacement de vos données dans les conditions prévues par le RGPD. Note : l'organisateur de la session peut la supprimer depuis l'application.
Droit à la limitation du traitement (art. 18 RGPD)
Obtenir la limitation du traitement de vos données dans certaines circonstances.
Droit à la portabilité (art. 20 RGPD)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine. Les fonctions d'export de l'application répondent à ce droit.
Droit d'opposition (art. 21 RGPD)
Vous opposer au traitement de vos données pour des motifs légitimes.
Pour exercer ces droits, contactez l'éditeur à l'adresse e-mail indiquée dans la section « Responsable du traitement » ci-dessus, en précisant votre demande et en fournissant tout élément permettant de vous identifier (par exemple, le pseudonyme utilisé lors d'une session).
Important : étant donné la nature anonyme du service, l'identification de l'utilisateur peut être difficile. Conformément à l'article 11 du RGPD, si le responsable du traitement n'est pas en mesure d'identifier la personne concernée, les articles 15 à 20 ne s'appliquent pas, sauf si la personne concernée fournit des informations supplémentaires permettant son identification.
11. Droit de réclamation
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77 du RGPD).
Autorité de contrôle compétente :
- Commission Nationale de l'Informatique et des Libertés (CNIL)
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- Site web : cnil.fr
12. Protection des mineurs
Le Service ne s'adresse pas spécifiquement aux mineurs de moins de 16 ans. Toutefois, compte tenu de la nature anonyme du service et de l'absence de collecte de données personnelles identifiantes, aucun traitement spécifique relatif aux mineurs n'est mis en œuvre au sens de l'article 8 du RGPD.
Si un parent ou tuteur légal estime que des données relatives à un mineur ont été collectées, il peut contacter l'éditeur pour en demander la suppression.
13. Transferts internationaux de données
L'ensemble des données traitées par le Service sont hébergées au sein de l'Union européenne :
- Site web : hébergé en France (OVHcloud)
- Services d'infrastructure : hébergés en France (Supabase / AWS)
Aucun transfert de données personnelles vers un pays tiers (hors UE/EEE) n'est effectué. En cas de modification de cette politique, les utilisateurs en seront informés et les garanties appropriées (clauses contractuelles types, décision d'adéquation) seront mises en place conformément aux articles 44 à 49 du RGPD.
14. Analyse d'audience et publicité
Le site n'utilise aucun outil d'analyse d'audience.
Le site n'affiche aucune publicité et ne partage aucune donnée avec des régies publicitaires ou des réseaux sociaux.
Aucune technologie de suivi ou de traçage n'est présente sur le site.
15. Notification de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, l'éditeur s'engage à :
- Notifier la CNIL dans un délai de 72 heures suivant la prise de connaissance de la violation
- Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés
- Documenter toute violation dans un registre interne
16. Modifications de la politique
L'éditeur se réserve le droit de modifier la présente politique de confidentialité à tout moment. Toute modification sera publiée sur cette page avec une date de mise à jour actualisée.
En cas de modification substantielle affectant les droits des utilisateurs, un avis visible sera affiché sur le site pendant une durée raisonnable.
L'utilisation continue du Service après publication des modifications vaut acceptation de la politique de confidentialité mise à jour.
17. Contact
Pour toute question relative à la présente politique de confidentialité ou pour exercer vos droits, vous pouvez contacter l'éditeur aux coordonnées indiquées dans la section « 2. Responsable du traitement » ci-dessus.
18. Textes de référence
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
- Loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés)
- Loi n° 2004-575 du 21 juin 2004 (LCEN, Loi pour la Confiance dans l'Économie Numérique)
- Directive 2002/58/CE du 12 juillet 2002 (directive « ePrivacy »)
- Délibération CNIL n° 2020-091 du 17 septembre 2020 (lignes directrices cookies et traceurs)