Politique de confidentialité
Dernière mise à jour : 2026-05-08
1. Deux types de données
2. Données de compte
Ce que nous stockons et pourquoi :
- Adresse e-mail - identifie votre compte, utilisée pour la vérification, la réinitialisation de mot de passe et les notifications de quota.
- Mot de passe - stocké sous forme de hash Argon2id, jamais en clair.
- Niveau - détermine vos limites de formulaires et de soumissions.
- Endpoints d'abonnement push - uniquement si vous activez les notifications push web. Ils proviennent du service push de votre navigateur (Google FCM, Mozilla, Apple) et nous permettent d'envoyer des notifications quand un formulaire reçoit une soumission.
Vous pouvez supprimer votre compte à tout moment. Cela retire votre dossier de compte, vos formulaires et toutes les données de soumission.
3. Données de soumission
Quand un visiteur soumet un de vos formulaires, nous stockons :
- le payload JSON soumis (les champs que vous avez demandés) ;
- l'adresse IP de la requête ;
- l'en-tête User-Agent ;
- l'en-tête Origin ;
- un horodatage.
Les données de soumission ne sont visibles que par vous, le titulaire du compte. Nous ne les regardons pas, ne les vendons pas, ne les profilons pas et ne les partageons pas avec des tiers en dehors des sous-traitants listés ci-dessous. Vous décidez de la conservation en supprimant les soumissions dans votre tableau de bord. Si vous supprimez le formulaire, toutes ses soumissions sont retirées avec lui.
Propriétaires de formulaires : vous êtes responsable d'informer les visiteurs de ce que vous collectez et pourquoi. Un lien vers votre propre notice de confidentialité sur la page hébergeant le formulaire est l'approche habituelle.
4. Cookies
Formhook pose un seul cookie : next-auth.session-token. Il est HTTP-only, sécurisé, SameSite=Lax, et vit 30 jours. Il sert uniquement à vous garder connecté au tableau de bord. Selon la loi ePrivacy UE/UK, c'est un cookie strictement nécessaire qui ne requiert pas de bandeau de consentement.
Nous exécutons des analytics de visite first-party, sans cookie, sur nos pages marketing publiques : nous enregistrons le chemin de la page, le site référent, le pays (depuis l'en-tête Cloudflare CF-IPCountry), la famille de navigateur et d'OS, et un identifiant anonyme à rotation quotidienne dérivé de votre IP et User-Agent. Nous ne stockons pas votre adresse IP, ne posons aucun cookie de tracking, et ne partageons pas ces données avec des tiers. Nous n'exécutons pas de pixels de tracking ni de scripts publicitaires tiers.
5. Notifications push
Le push web est sur opt-in. Quand vous l'activez, votre navigateur génère un jeton d'abonnement ; nous stockons l'endpoint et les clés de chiffrement nécessaires pour livrer les notifications. Par défaut, les corps de notification sont opaques (« Nouvelle soumission pour [nom du formulaire] ») - aucun contenu de soumission ne transite par le service push. Vous pouvez choisir d'inclure un court aperçu dans le corps de la notification depuis le tableau de bord.
La déconnexion, la réinitialisation de mot de passe ou la désactivation des notifications retirent vos abonnements push de notre base.
6. Sous-traitants
| Sous-traitant | Rôle | Emplacement | Données partagées |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement, base de données, sauvegardes | Allemagne (UE) | Toutes les données de compte et de soumission au repos |
| Cloudflare, Inc. | DNS, TLS, CDN, Turnstile | Edge mondial (en transit uniquement) | IP, en-têtes de requête ; jetons Turnstile pour les formulaires activés |
| Resend (Resend, Inc.) | E-mail transactionnel | Région d'envoi UE | Adresse e-mail + corps d'e-mail pour vérification, réinitialisation de mot de passe, alertes de quota |
| Google FCM / Mozilla autopush / Apple APNs | Livraison push web | Variable selon le navigateur | Jeton d'endpoint + payload de notification chiffré (quand le push est activé) |
7. Conservation des données
- E-mail de compte, hash de mot de passe, niveau - conservés tant que votre compte est actif ; retirés lors de la suppression du compte.
- Soumissions - conservées jusqu'à ce que vous supprimiez la soumission, le formulaire ou votre compte entier. Pas de purge automatique aujourd'hui.
- Jetons de vérification d'e-mail - TTL 24 heures, supprimés à l'usage ou à l'expiration. Jetons de réinitialisation de mot de passe - TTL 10 minutes, supprimés à l'usage ou à l'expiration.
- Abonnements push - supprimés à la déconnexion, au changement de mot de passe, ou quand le service push signale que l'endpoint est parti (HTTP 404 / 410).
- Sauvegardes - dump Postgres nocturne chiffré, conservé 14 jours sur l'hôte. Les sauvegardes expirent automatiquement. La suppression de votre compte retire les données de la base live immédiatement ; elles disparaissent des snapshots de sauvegarde historiques dans la fenêtre de 14 jours.