Politique de confidentialité

Nous collectons les catégories de données suivantes lorsque vous utilisez SMSCode :

Données de compte

• Adresse e-mail (utilisée pour la connexion et les notifications).
• Mot de passe (stocké sous forme de hachage argon2 — nous ne stockons jamais les mots de passe en clair).

Données Google Sign-In

Si vous vous connectez via Google, nous accédons aux données suivantes de votre compte Google :

• Adresse e-mail — Utilisée comme identifiant de compte et pour les communications de service.
• Identifiant utilisateur Google — Utilisé pour associer votre compte Google à votre compte SMSCode.

Nous ne demandons que les autorisations minimales nécessaires à l'authentification (email et openid). Nous n'accédons pas à vos contacts Google, votre agenda, Google Drive ou tout autre service Google.

Données de transaction

• Historique des commandes (locations de numéros, service, pays, horodatages, statut).
• Historique des dépôts (montants, moyen de paiement, statut).
• Solde du compte et relevés de transactions.

Données de l'application mobile

• Jetons d'appareil Firebase Cloud Messaging (FCM) — Utilisés pour envoyer des notifications push concernant les mises à jour de commandes et l'activité du compte.
• Préférences de notifications push (activées/désactivées).
• Nom de l'appareil (facultatif, pour identifier les appareils dans votre compte).

Données d'utilisation

• Adresse IP et géolocalisation approximative.
• Informations sur l'appareil et le navigateur (user agent).
• Journaux serveur (horodatages des requêtes, endpoints consultés).

Données d'utilisation de l'API

• Journaux des requêtes API (endpoints, horodatages, codes de réponse).
• Compteurs de limites de débit (rate limit).

• Fourniture du service — Traitement des locations de numéros, gestion de votre solde et exécution des commandes.
• Authentification — Votre adresse e-mail et votre identifiant utilisateur Google (si vous utilisez Google Sign-In) sont utilisés exclusivement pour l'authentification et l'identification de votre compte. Nous n'utilisons pas les données utilisateur Google à des fins publicitaires, de profilage ou pour tout objectif sans rapport avec la fourniture du service SMSCode.
• Notifications push — Les jetons d'appareil FCM sont utilisés exclusivement pour envoyer des mises à jour de commandes, des confirmations de dépôts et des alertes de sécurité sur votre appareil mobile.
• Prévention de la fraude — Détection et prévention des abus, accès non autorisés et violations des conditions.
• Analyses — Compréhension des usages pour améliorer la fiabilité et les performances de la plateforme.
• Assistance — Réponse à vos demandes et résolution des problèmes liés à votre compte ou vos commandes.
• Communication — Envoi de notifications liées au service (mises à jour de commandes, alertes de sécurité). Nous n'envoyons pas d'e-mails marketing sans votre consentement.

• Les codes OTP sont éphémères — Le contenu des SMS reçus (codes OTP) vous est affiché en temps réel et n'est pas conservé à long terme après l'expiration ou l'achèvement de la commande.
• Les numéros sont temporaires — Les numéros loués sont temporaires et sont recyclés à la fin de la période de location. Nous n'associons pas les numéros loués à votre identité au-delà de la commande active.
• Aucune donnée d'appel — SMSCode traite uniquement la vérification par SMS ; nous ne traitons ni les appels vocaux ni les métadonnées d'appel.

• Les paiements sont traités par des prestataires tiers (Duitku, Heleket). Nous ne stockons pas vos données de carte bancaire, de compte bancaire ou d'instrument de paiement.
• Nous conservons les références de transaction (identifiants de la passerelle de paiement, montants, statut) à des fins de rapprochement et d'assistance.
• Les prestataires de paiement ont leurs propres politiques de confidentialité régissant le traitement de vos informations de paiement.

Nous ne partageons les données que lorsque cela est nécessaire à la fourniture du Service. Voici la liste complète des catégories de sous-traitants tiers auxquels nous avons recours ; les localisations opérationnelles détaillées et les garanties de transfert sont décrites à la Section 13 (Transfert international de données).

• Cloudflare, Inc. — réseau de diffusion de contenu, protection contre les attaques DDoS et réseau de sortie. Traite les adresses IP, les métadonnées des requêtes et le trafic TLS terminé en transit.
• Resend, Inc. — distribution d'e-mails transactionnels (vérification, réinitialisation de mot de passe, notifications de commande). Traite votre adresse e-mail et le contenu des messages.
• Fournisseurs SMS en amont — location de numéros virtuels et routage des SMS entrants. Nous envoyons des paramètres minimaux de commande (pays, service) pour exécuter les locations ; nous ne partageons pas votre identité ni vos données de compte avec les fournisseurs.
• Passerelles de paiement — les données de transaction sont partagées avec les processeurs de paiement pour finaliser les dépôts. Nous ne recevons ni ne conservons les détails complets des instruments de paiement.
• Firebase Cloud Messaging (Google) — les jetons d'appareil FCM sont envoyés au service Firebase de Google pour la diffusion des notifications push. Aucune autre donnée personnelle n'est partagée avec Firebase.
• Autorités publiques — Nous pouvons divulguer des données si la loi l'exige, sur ordonnance judiciaire ou pour protéger les droits, la propriété ou la sécurité de SMSCode, de nos utilisateurs ou du public.

Nous ne vendons pas vos données personnelles à des tiers. Nous ne partageons pas vos données personnelles avec des annonceurs. Nous ne participons à aucun courtier de données ni réseau publicitaire. Les données utilisateur Google obtenues via Google Sign-In ne sont jamais partagées avec un tiers et sont utilisées exclusivement pour l'authentification au sein de SMSCode.

• Historique des commandes — Conservé à des fins de rapprochement, d'assistance et d'audit.
• Contenu OTP/SMS — Purgé après l'expiration ou l'achèvement de la commande.
• Données de compte — Conservées tant que votre compte est actif.
• Journaux serveur — Conservés jusqu'à 90 jours à des fins de sécurité et de débogage.
• Jetons d'appareil FCM — Supprimés immédiatement lorsque vous désinscrivez un appareil ou supprimez votre compte.

Suppression de compte et purge des données

Vous pouvez supprimer votre compte à tout moment via les paramètres de compte sur le tableau de bord web ou l'application mobile. Lors de la suppression de votre compte :

• Votre compte est immédiatement marqué comme supprimé (statut « Supprimé »).
• Votre solde restant est perdu et enregistré comme transaction finale.
• Toutes les sessions actives (web et mobile) sont immédiatement révoquées.
• Les jetons d'appareil FCM et les abonnements push sont supprimés.
• Les tokens API et les configurations de webhooks sont supprimés.
• Un délai de carence de 30 jours s'applique pour la réinscription — vous ne pouvez pas créer de nouveau compte avec la même adresse e-mail pendant cette période.
• Après 30 jours, une tâche planifiée purge définitivement vos informations personnelles identifiables (PII) : votre adresse e-mail est remplacée par un identifiant non traçable, votre hachage de mot de passe est effacé, et votre identifiant Google est supprimé.
• L'historique des transactions et les enregistrements de commandes sont conservés sous forme anonymisée à des fins comptables et de conformité juridique.

• Nous utilisons un seul cookie de session httpOnly (__session) pour maintenir votre session authentifiée. Ce cookie est chiffré et ne peut pas être lu par les scripts côté client.
• Nous n'utilisons pas de cookies de suivi, de cookies publicitaires ni de cookies d'analyse tiers.
• Aucune bannière de cookies n'est nécessaire car nous utilisons uniquement des cookies strictement nécessaires à l'authentification.

Stockage des données

• Infrastructure — Toutes les données sont stockées sur des serveurs dédiés que nous exploitons. Nous n'utilisons pas d'hébergement cloud mutualisé pour les données utilisateur.
• Base de données — Les données utilisateur sont stockées dans PostgreSQL, avec un accès limité aux seuls services applicatifs.
• Chiffrement en transit — Tout le trafic entre vous et nos serveurs est chiffré via TLS (HTTPS).
• Chiffrement des sessions — Les cookies de session sont chiffrés avec AES-256-GCM.

Protection des données

• Hachage des mots de passe — Les mots de passe sont hachés avec argon2, un algorithme à forte consommation mémoire résistant aux attaques par force brute.
• Protection CSRF — Les endpoints modifiant l'état sont protégés contre les attaques cross-site request forgery.
• Limitation de débit — Les endpoints de l'API et d'authentification sont soumis à des limites de débit (rate limiting) pour prévenir les abus.
• Contrôle d'accès — Les services internes communiquent via des canaux authentifiés avec des clés secrètes. Les services de base de données et de cache sont isolés dans un réseau privé inaccessible depuis Internet.

Bien que nous mettions en œuvre des mesures de sécurité conformes aux standards de l'industrie, aucun système n'est sécurisé à 100 %. Si vous découvrez une vulnérabilité, veuillez la signaler à [email protected].

Vous avez le droit de :

• Accès — Demander une copie des données personnelles que nous détenons à votre sujet.
• Rectification — Demander la correction de données personnelles inexactes.
• Suppression — Supprimer votre compte et les données personnelles associées directement depuis les paramètres de votre compte (web ou application mobile). Les données personnelles sont purgées dans les 30 jours suivant la suppression. Vous pouvez également demander la suppression en nous contactant.
• Portabilité — Demander vos données dans un format portable.

Pour exercer vos droits d'accès, de rectification ou de portabilité, contactez-nous à [email protected]. Nous vous répondrons sous 30 jours.

Si vous résidez en Californie, la California Consumer Privacy Act (CCPA), telle que modifiée par la California Privacy Rights Act (CPRA), vous confère des droits spécifiques concernant vos informations personnelles, en plus des droits énoncés à la Section 9 (Vos droits).

Droit de savoir. Vous pouvez demander que nous divulguions les catégories et éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet, les sources de ces informations, les finalités de la collecte ou de la divulgation et les catégories de tiers avec lesquels nous les partageons. Les catégories que nous collectons sont détaillées à la Section 1 (Données collectées).

Droit à l'effacement. Vous pouvez demander que nous supprimions les informations personnelles que nous avons collectées à votre sujet, sous réserve de certaines exceptions légales (par exemple, pour mener à bien une transaction, détecter des incidents de sécurité ou respecter une obligation légale).

Droit de rectification. Vous pouvez demander que nous corrigions les informations personnelles inexactes que nous détenons à votre sujet.

Droit de refus de vente ou de partage. Nous ne vendons pas vos informations personnelles à des tiers et nous ne les partageons pas pour de la publicité comportementale inter-contextes. Il n'y a rien dont vous puissiez vous désinscrire, mais nous le déclarons explicitement pour que vous le sachiez.

Droit de limiter l'utilisation d'informations personnelles sensibles. Nous n'utilisons pas d'informations personnelles sensibles (au sens de la CPRA) à des fins autres que celles nécessaires à la fourniture du Service.

Droit à la non-discrimination. Nous ne vous discriminerons pas pour avoir exercé l'un de ces droits. Votre expérience du Service ne changera pas, et aucun frais, terme ou qualité de service ne sera affecté.

Comment exercer ces droits. Pour exercer un droit au titre de la CCPA, contactez-nous à l'adresse [email protected]. Nous vérifierons votre identité avant de répondre et répondrons dans un délai de 45 jours (prorogeable de 45 jours supplémentaires lorsque cela est raisonnablement nécessaire).

SMSCode n'utilise pas de services d'analyse web tiers, d'outils de suivi comportemental ni de technologies publicitaires. Plus précisément :

• Nous n'utilisons ni Google Analytics, ni Mixpanel, ni Amplitude, ni Hotjar, ni Segment, ni aucun service d'analyse similaire ;
• Nous n'intégrons ni pixels de suivi, ni balises marketing, ni scripts de reciblage sur aucune page ;
• Nous ne participons à aucun réseau publicitaire ni écosystème de publicité inter-sites ;
• Nous ne construisons pas de profils comportementaux d'utilisateurs individuels à des fins de marketing ou de recommandation.

Les seules données que nous collectons concernant votre utilisation du Service sont les données opérationnelles nécessaires à sa fourniture et à sa sécurisation : journaux de requêtes du serveur, compteurs de limitation de débit, historique de commandes et cookies de session. Ces éléments sont décrits en détail à la Section 1 (Données collectées), à la Section 7 (Cookies et sessions) et à la Section 8 (Mesures de sécurité). Les journaux du serveur sont conservés pendant une durée maximale de 90 jours à des fins de sécurité et de débogage, puis supprimés.

Si nous introduisons un jour des outils d'analyse, la présente Politique de Confidentialité sera mise à jour avant que la modification ne prenne effet, et vous serez informé conformément à la Section 14 (Modifications de la présente politique).

SMSCode n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Si vous pensez qu'un mineur de moins de 18 ans nous a fourni des données personnelles, veuillez nous contacter et nous les supprimerons rapidement.

Void Zero Ltd est basée au Royaume-Uni, et les données personnelles que vous fournissez sont traitées principalement au Royaume-Uni et dans l'Espace économique européen (EEE). Pour fournir le Service, nous utilisons des sous-traitants et des infrastructures tierces susceptibles de traiter vos données dans d'autres juridictions, y compris les États-Unis et d'autres pays en dehors du Royaume-Uni/EEE.

Mécanisme de transfert

Lorsque nous transférons des données personnelles du Royaume-Uni ou de l'EEE vers un pays n'ayant pas fait l'objet d'une décision d'adéquation de l'UK Information Commissioner's Office (ICO) ou de la Commission européenne, nous nous appuyons sur une ou plusieurs des garanties suivantes :

• le UK International Data Transfer Addendum (UK IDTA) intégré à nos contrats avec les sous-traitants ;
• les Clauses contractuelles types (SCCs) approuvées par la Commission européenne (décision 2021/914) pour les données de l'UE ;
• les décisions d'adéquation à l'égard de juridictions reconnues comme offrant un niveau de protection essentiellement équivalent (y compris le UK Data Bridge pour les destinataires américains éligibles au titre du Data Privacy Framework) ;
• d'autres garanties reconnues au titre de l'article 46 du UK GDPR ou de l'article 46 du EU GDPR.

Contrôles des transferts ultérieurs

Tous les sous-traitants qui reçoivent vos données personnelles sont liés par des contrats écrits leur imposant de : (a) traiter les données uniquement selon les instructions documentées de Void Zero Ltd ; (b) mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées ; (c) assurer la confidentialité du personnel ayant accès aux données ; (d) nous aider à satisfaire aux demandes de droits des personnes concernées ; et (e) supprimer ou restituer les données à la fin du contrat. Ces obligations suivent les exigences de l'article 28 du UK GDPR et de l'article 28 du EU GDPR.

Catégories actuelles de sous-traitants

Les sous-traitants susceptibles de traiter vos données en dehors du Royaume-Uni/EEE comprennent, sans s'y limiter :

• Cloudflare, Inc. (États-Unis) — diffusion de contenu, protection contre les attaques DDoS et réseau sortant ;
• Resend, Inc. (États-Unis) — distribution d'e-mails transactionnels ;
• des partenaires fournisseurs de SMS opérant à l'international — location de numéros virtuels et routage des SMS entrants (voir Section 3) ;
• des passerelles de paiement — traitement transactionnel des paiements pour les dépôts (voir Section 4).

Vos droits

Vous pouvez demander une copie des garanties de transfert applicables à vos données en nous contactant à l'adresse [email protected]. Nous répondrons dans un délai de 30 jours, comme décrit à la Section 9 (Vos droits) et à l'article 12 du GDPR.

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Les modifications substantielles seront communiquées par e-mail ou par un avis sur la plateforme. La date « Dernière mise à jour » en haut de page indique la révision la plus récente.

Pour toute question ou demande relative à la confidentialité, contactez-nous à [email protected].

Pour l'assistance générale, écrivez-nous à [email protected].