Privacy Policy / Politique de confidentialité

    Effective date: 26 October 2025 / Date d’effet — French controls if conflict

    Version française – version applicable en cas de divergence

    Responsable & Sous‑traitant

    TJM TECH est responsable de traitement pour le site, le compte et la facturation, et sous‑traitant pour les PDF, les XML générés et les journaux (debug/erreurs) traités pour votre compte. Contact : privacy@exercisegenerator.com.

    Données traitées

    • Adresse e‑mail de compte et événements d’authentification (connexion sans mot de passe par e‑mail).
    • Données de facturation/abonnement via Stripe.
    • PDF téléversés, XML générés et journaux (peuvent contenir des données personnelles).
    • Mesure d’audience (Google Analytics sur le Site uniquement) après consentement.
    • Journaux d’accès serveur/application.
    • Préférences et communications marketing (preuves de consentement, statut de désabonnement et, le cas échéant, mesures d’engagement uniquement si vous avez consenti au suivi).

    Finalités & bases légales

    • Exécution du contrat (fourniture du Service et assistance).
    • Intérêts légitimes : sécurité, prévention de la fraude, amélioration du Service à partir de données agrégées/anonymisées, et prospection B2B de services similaires avec faculté d’opposition simple.
    • Obligations légales (facturation/comptabilité).
    • Consentement : e‑mails marketing pour les consommateurs, cookies/analytics, transferts internationaux si requis.
    • Soft opt‑in : lorsque la loi le permet, nous pouvons contacter nos clients payants existants au sujet de services similaires avec option de désinscription dans chaque e‑mail.

    Conservation

    • PDF/XML/journaux : ≤ 72 h (puis suppression). Sauvegardes ≤ 30 jours en rotation.
    • Compte : durée du compte + 12 mois.
    • Facturation/pièces comptables : 10 ans.
    • Support : 24 mois.
    • Journaux d’accès : 90 jours.
    • GA4 : 14 mois.

    Destinataires & sous‑traitants (catégories)

    • Hébergement (OVH – UE).
    • Messagerie/SMTP transactionnel (OVH – UE).
    • Plateforme d’e‑mail marketing (fournisseur à désigner ; peut être hors EEE avec CCT).
    • Analytics du Site uniquement (Google – responsable distinct).
    • Télémétrie de l’Application via la plateforme d’hébergement (Lovable).
    • Prestataires d’IA/OCR/parsing (certains hors EEE, incl. US/UK).

    Transferts internationaux

    Lorsque nous recourons à des prestataires hors EEE (p. ex. IA/OCR, parsing), certaines données (PDF bruts pour l’OCR ; extraits/textes pour le parsing) peuvent être traitées hors EEE. Nous utilisons les Clauses Contractuelles Types et réalisons des analyses d’impact transfert. Nous désactivons la rétention/formation côté prestataire lorsqu’option disponible. Votre consentement explicite est recueilli à l’inscription lorsque requis.

    Vos droits

    Droit d’accès, rectification, effacement, opposition, limitation, portabilité, et directives post‑mortem (France). Demandes : privacy@exercisegenerator.com. Vous pouvez saisir la CNIL.

    Sécurité

    Chiffrement en transit (TLS 1.2+) et au repos (type AES‑256 lorsque applicable), contrôles d’accès et principe du moindre privilège, boîte mail dédiée avec journalisation, gestion des vulnérabilités. Sur l’Application, les cookies/jetons d’authentification sont configurés avec Secure, HttpOnly et un SameSite approprié ; portée limitée au sous‑domaine concerné.

    Communications marketing

    Vous pouvez accepter de recevoir des actualités et offres. Chaque message comporte un lien de désabonnement. Un pixel de suivi d’ouverture peut être inclus uniquement si vous avez consenti au suivi marketing ; à défaut, nous enregistrons uniquement la distribution ou le rebond. Consentement retirable à tout moment.

    Enfants

    Le Service n’est pas destiné aux mineurs ; l’usage consommateur requiert 18+.

    Modifications

    Nous pouvons mettre à jour la présente Politique ; les changements matériels seront notifiés avec un préavis de 15 jours lorsque possible.

    English convenience translation — French controls

    Controller & Processor

    TJM TECH is the controller for website, account and billing data, and a processor for PDFs, generated XML and debug/error logs processed on your behalf. Contact: privacy@exercisegenerator.com.

    Data we process

    • Account email and authentication events (passwordless, email‑based sign‑in).
    • Billing/subscription data via Stripe.
    • Uploaded PDFs, generated XML and debug/error logs (may contain personal data).
    • Audience measurement (Google Analytics on the Website only) after consent.
    • Server/app access logs.
    • Marketing preferences and communications (opt‑in records, unsubscribe status and, if you consent to tracking, engagement metrics).

    Purposes & legal bases

    • Contract performance (provide the Service and support).
    • Legitimate interests: security, fraud prevention, service improvement using aggregated/anonymised data, and B2B direct marketing of our similar services with easy opt‑out.
    • Legal obligations (invoicing/accounting).
    • Consent: B2C/consumer marketing emails, cookies/analytics, international transfers where required.
    • Soft opt‑in: where permitted, we may email existing paying customers about similar services with an opt‑out in each email.

    Retention

    • PDFs/XML/logs: ≤ 72 hours (then deleted). Backups ≤ 30 days rolling.
    • Account data: life of account + 12 months.
    • Billing/invoices: 10 years.
    • Support: 24 months.
    • Access logs: 90 days.
    • GA4: 14 months.

    Recipients & subprocessors (categories)

    • Hosting (OVH — EU).
    • Transactional email/SMTP (OVH — EU).
    • Marketing email platform (provider to be designated; may be outside the EEA with SCCs).
    • Website analytics (Website only — Google, separate controller).
    • App‑level telemetry via the hosting platform (Lovable).
    • AI/OCR/parsing providers (some outside the EEA, incl. US/UK).

    International transfers

    Where we rely on providers outside the EEA (e.g., AI/OCR, parsing), certain content (raw PDFs for OCR; extracted text/snippets for parsing) may be processed outside the EEA. We use SCCs and perform transfer impact assessments. We disable provider data retention/training where available. Your explicit acknowledgement/consent is obtained at sign‑up where required.

    Your rights

    Access, rectification, erasure, objection, restriction, portability, and post‑mortem directives (France). Requests: privacy@exercisegenerator.com. You may lodge a complaint with the CNIL.

    Security

    Encryption in transit (TLS 1.2+) and at rest (e.g., AES‑256 where applicable), access controls and least‑privilege, dedicated mailbox with audit, vulnerability management. On the App, auth cookies/tokens use Secure, HttpOnly and appropriate SameSite; cookies are scoped to the relevant subdomain.

    Marketing communications

    You may opt in to receive product news and offers. Every message includes an unsubscribe link. A lightweight tracking pixel may be included only if you have consented to marketing tracking; otherwise we record delivery/bounce only. You can withdraw consent at any time.

    Children

    The Service is not for minors; consumer use requires 18+.

    Changes

    We may update this Policy; material changes will be notified with at least 15 days’ notice where feasible.