HipHip

Politique de confidentialité

Dernière mise à jour : 28 mai 2026

Cette politique décrit comment HipHip (ci-après « le service ») collecte, utilise et protège vos données personnelles dans le cadre du Règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés.

Notre principe : nous collectons le strict minimum nécessaire au fonctionnement du service. Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

1. Responsable du traitement

Le responsable du traitement est l'éditeur de HipHip, qui exerce à titre personnel et non professionnel et a choisi de préserver son anonymat à l'égard du public, conformément à la LCEN (voir les mentions légales).

Pour toute question concernant vos données personnelles ou pour exercer vos droits, contactez : bisouslebo@gmail.com.

2. Données que nous collectons

Nous collectons uniquement les données suivantes :

Données de compte

  • adresse email (utilisée comme identifiant de connexion et pour vous contacter au sujet du service) ;
  • mot de passe, jamais stocké en clair : seule son empreinte cryptographique (hash bcrypt salé) est conservée ;
  • dates de création et de dernière mise à jour du compte.

Données d'usage du service

  • matières et cours que vous créez (nom, couleur, description, ordre) ;
  • sessions de révision planifiées (dates, méthode, durée, auto-évaluation, notes personnelles) ;
  • préférences d'affichage (vue par défaut, intervalles de la méthode des J) ;
  • image de fond de votre calendrier si vous en téléversez une, et ses paramètres d'affichage (position, échelle, opacité, rotation).

Données techniques minimales

  • journaux serveur (adresse IP, horodatage, requête HTTP) conservés temporairement pour assurer la sécurité du service et résoudre les incidents ;
  • en cas d'erreur applicative, un rapport technique est envoyé à notre outil de suivi d'erreurs auto-hébergé (voir section 8).

Ce que nous ne collectons pas : aucune donnée bancaire, aucune donnée de géolocalisation précise, aucune donnée biométrique, aucune donnée provenant de tiers ou de réseaux sociaux.

3. Finalités et bases légales du traitement

Chaque traitement repose sur une base légale précise au titre de l'article 6 du RGPD :

  • Fourniture du service (compte, données pédagogiques, préférences, image de fond) — base légale : exécution du contrat qui vous lie au service (art. 6.1.b). Sans ces données, le service ne peut pas fonctionner.
  • Sécurité du service et prévention des abus(journaux, limitation de débit, suivi d'erreurs) — base légale : intérêt légitimede l'éditeur à maintenir un service fiable et sécurisé (art. 6.1.f).
  • Mesure d'audience anonyme (statistiques agrégées sans cookies) — base légale : intérêt légitimeà comprendre l'utilisation globale du service afin de l'améliorer (art. 6.1.f).

4. Durée de conservation

  • Données du compte et données d'usage : conservées tant que votre compte est actif. Vous pouvez supprimer votre compte à tout moment depuis vos paramètres.
  • Après suppression du compte: effacement immédiat et définitif des données de la base de production. Elles peuvent néanmoins persister jusqu'à 7 jours dans les sauvegardes automatiques de l'hébergeur, avant d'être écrasées par les rotations de sauvegardes.
  • Journaux serveur: conservés en rotation automatique par le système (systemd-journald), selon un quota d'espace disque ; les entrées les plus anciennes sont écrasées au fil de l'eau, généralement après plusieurs semaines à plusieurs mois selon le volume.
  • Rapports d'erreurs techniques : conservés sur notre outil de suivi auto-hébergé selon un quota de stockage ; les rapports les plus anciens sont automatiquement purgés lorsque le quota est atteint.
  • Logs d'audit de suppression : un identifiant interne (sans email ni nom) est conservé pour des raisons de sécurité et de conformité, sans permettre de vous identifier directement.

5. Destinataires des données

Aucune donnée n'est partagée avec des tiers à des fins commerciales. Les seuls destinataires sont :

  • L'éditeur du service, pour la gestion technique et le support.
  • L'hébergeur OVH SAS, en sa qualité de sous-traitant technique (stockage des serveurs et sauvegardes).
  • Les autorités judiciaires ou administratives, exclusivement sur réquisition légale.

6. Localisation des données et transferts

Vos données sont hébergées sur un serveur OVH situé dans le centre de données de Francfort (Allemagne). L'Allemagne étant membre de l'Union européenne, vos données sont protégées par le RGPD et ne font l'objet d'aucun transfert hors de l'Union européenne.

7. Cookies et stockage local

Le service utilise uniquement des cookies et un stockage local strictement nécessairesà son fonctionnement. Aucune bannière de consentement n'est requise pour ces traceurs au titre de l'article 82 de la loi Informatique et Libertés.

  • Cookie de session : permet de vous maintenir connecté. Sa durée de vie est limitée à votre session et il est automatiquement supprimé lorsque vous vous déconnectez.
  • Cookie de protection CSRF : empêche certaines attaques de falsification de requête. Strictement technique.
  • Stockage local du navigateur: retient votre préférence de langue et quelques préférences d'affichage. Ces données restent sur votre appareil et ne nous sont jamais transmises.

Aucun cookie publicitaire, de profilage ou de tracking inter-sites n'est utilisé.

8. Outils tiers et sous-traitants

Tous les outils utilisés pour faire fonctionner HipHip sont auto-hébergés sur la même infrastructure OVH (Francfort, UE). Aucune donnée n'est envoyée à des prestataires externes.

  • Umami(mesure d'audience, auto-hébergé) : collecte des statistiques de visite anonymes (page vue, type de navigateur, pays). Umami n'utilise pas de cookieet ne permet pas d'identifier un visiteur individuel ou de le suivre dans le temps.
  • Bugsink(suivi d'erreurs, auto-hébergé) : enregistre les erreurs applicatives pour pouvoir les corriger. Un rapport d'erreur contient l'URL où l'erreur s'est produite, le type de navigateur (User-Agent), le message d'erreur et la trace d'exécution technique. Lorsque vous êtes connecté, votre identifiant interne (un code aléatoire, sans votre email ni votre nom) est joint pour permettre le diagnostic. Les rapports sont purgés régulièrement.

9. Sécurité des données

Nous mettons en œuvre des mesures techniques raisonnables pour protéger vos données :

  • chiffrement des communications entre votre navigateur et le serveur via HTTPS (TLS) ;
  • mots de passe stockés sous forme de hash bcrypt salé (jamais en clair, jamais réversible) ;
  • limitation du débit des requêtes pour prévenir les attaques par force brute et les abus ;
  • protection contre les attaques CSRF et XSS au niveau de l'application ;
  • accès aux serveurs restreint et journalisé.

Aucun système ne peut garantir une sécurité absolue. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous en serez informé dans un délai conforme aux exigences du RGPD.

10. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données :

  • Droit d'accès : obtenir une copie des données que nous détenons sur vous.
  • Droit de rectification : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement(« droit à l'oubli ») : demander la suppression de vos données.
  • Droit à la portabilité: recevoir vos données dans un format structuré et lisible par machine. Une fonction d'export est directement disponible dans vos paramètres.
  • Droit d'opposition: vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit à la limitation du traitement.
  • Droit de définir des directives relatives au sort de vos données après votre décès.

11. Comment exercer vos droits

Plusieurs droits peuvent être exercés directement depuis vos paramètres de compte (onglet « Compte ») :

  • exporterl'intégralité de vos données dans un fichier JSON structuré (droit à la portabilité) ;
  • réinitialiserle contenu de votre espace, c'est-à-dire effacer vos matières, cours et sessions sans supprimer votre compte ;
  • supprimer définitivementvotre compte et l'ensemble des données associées (droit à l'effacement).

Pour les autres droits (accès, rectification de votre email, modification du mot de passe, opposition, limitation, directives post-mortem) ou pour toute autre demande, écrivez à bisouslebo@gmail.com. Nous vous répondrons dans un délai d'un mois maximum, conformément au RGPD. Nous pourrons vous demander de justifier votre identité pour éviter toute usurpation.

12. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Site : www.cnil.fr.

13. Mineurs

L'accès à HipHip est réservé aux personnes âgées d'au moins 15 ans, conformément à l'article 7-1 de la loi Informatique et Libertés. En utilisant le service, vous attestez avoir atteint cet âge. Si vous avez moins de 15 ans, vous ne devez pas utiliser le service sans le consentement préalable de vos parents ou tuteurs légaux. Si nous apprenons qu'un compte appartient à une personne de moins de 15 ans sans consentement parental, il sera supprimé.

14. Modifications de cette politique

Cette politique peut évoluer pour refléter les changements du service ou des obligations légales. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle, vous serez informé par un message visible dans l'application ou par email.

Privacy Policy

Last updated: 28 May 2026

This policy describes how HipHip (hereafter "the service") collects, uses and protects your personal data under the General Data Protection Regulation (GDPR) and French data protection law.

Our guiding principle: we collect only the minimum data needed to run the service. No data is ever sold, rented or shared with third parties for commercial purposes.

1. Data controller

The data controller is the publisher of HipHip, who operates on a personal, non-professional basis and has chosen to remain anonymous to the public, in accordance with French law (see the legal notice).

For any question about your personal data or to exercise your rights, please contact: bisouslebo@gmail.com.

2. Data we collect

We only collect the following data:

Account data

  • email address (used as login identifier and to contact you about the service);
  • password — never stored in clear text: only its cryptographic fingerprint (salted bcrypt hash) is retained;
  • account creation and last update dates.

Service usage data

  • subjects and lessons you create (name, colour, description, order);
  • scheduled review sessions (dates, method, duration, self-assessment, personal notes);
  • display preferences (default view, J-method intervals);
  • your calendar background image if you upload one, along with its display parameters (position, scale, opacity, rotation).

Minimal technical data

  • server logs (IP address, timestamp, HTTP request) kept temporarily to ensure service security and troubleshoot incidents;
  • in the event of an application error, a technical report is sent to our self-hosted error tracking tool (see section 8).

What we do not collect: no banking data, no precise location data, no biometric data, no data from third parties or social networks.

3. Purposes and legal bases

Each processing operation relies on a specific legal basis under GDPR article 6:

  • Service provision (account, educational data, preferences, background image) — legal basis: performance of the contract between you and the service (art. 6.1.b). Without this data, the service cannot operate.
  • Service security and abuse prevention (logs, rate limiting, error tracking) — legal basis: legitimate interest of the publisher in maintaining a reliable and secure service (art. 6.1.f).
  • Anonymous audience measurement (cookieless aggregated statistics) — legal basis: legitimate interest in understanding overall service usage in order to improve it (art. 6.1.f).

4. Retention period

  • Account and usage data: kept as long as your account is active. You can delete your account at any time from your settings.
  • After account deletion: immediate and permanent erasure from the production database. Data may however persist for up to 7 days in the hosting provider's automatic backups, before being overwritten by backup rotations.
  • Server logs: kept through the system's automatic rotation (systemd-journald), based on a disk-space quota; the oldest entries are progressively overwritten, typically after several weeks to several months depending on volume.
  • Technical error reports: kept on our self-hosted tracking tool based on a storage quota; the oldest reports are automatically purged when the quota is reached.
  • Deletion audit logs: an internal identifier (with no email or name) is retained for security and compliance reasons, without allowing you to be directly identified.

5. Data recipients

No data is shared with third parties for commercial purposes. The only recipients are:

  • The publisher of the service, for technical management and support.
  • OVH SAS as the hosting provider, acting as a technical processor (server storage and backups).
  • Judicial or administrative authorities, solely upon legal request.

6. Data location and transfers

Your data is hosted on an OVH server located in the data centre of Frankfurt (Germany). Germany being a member of the European Union, your data is protected by the GDPR and is not subject to any transfer outside the European Union.

7. Cookies and local storage

The service only uses cookies and local storage that are strictly necessary for its operation. No consent banner is required for these trackers under article 82 of the French data protection law.

  • Session cookie: keeps you signed in. Its lifetime is limited to your session and it is automatically deleted when you sign out.
  • CSRF protection cookie: prevents certain request forgery attacks. Strictly technical.
  • Browser local storage: remembers your language and a few display preferences. This data stays on your device and is never sent to us.

No advertising, profiling or cross-site tracking cookies are used.

8. Third-party tools and processors

All tools used to operate HipHip are self-hosted on the same OVH infrastructure (Frankfurt, EU). No data is sent to external providers.

  • Umami (audience measurement, self-hosted): collects anonymous visit statistics (page views, browser type, country). Umami uses no cookie and does not allow identifying an individual visitor or tracking them over time.
  • Bugsink (error tracking, self-hosted): records application errors so we can fix them. An error report contains the URL where the error occurred, the browser type (User-Agent), the error message and the technical stack trace. When you are signed in, your internal identifier (a random code, with no email or name) is attached to help diagnosis. Reports are purged regularly.

9. Data security

We implement reasonable technical measures to protect your data:

  • encryption of communications between your browser and the server via HTTPS (TLS);
  • passwords stored as salted bcrypt hashes (never in clear text, never reversible);
  • rate limiting to prevent brute-force attacks and abuse;
  • application-level protection against CSRF and XSS attacks;
  • restricted and logged server access.

No system can guarantee absolute security. In the event of a data breach likely to result in a risk to your rights and freedoms, you will be informed within the timeframe required by the GDPR.

10. Your rights

Under the GDPR, you have the following rights over your data:

  • Right of access: obtain a copy of the data we hold about you.
  • Right to rectification: correct inaccurate or incomplete data.
  • Right to erasure("right to be forgotten"): request the deletion of your data.
  • Right to portability: receive your data in a structured, machine- readable format. An export feature is directly available in your settings.
  • Right to object to processing based on legitimate interest.
  • Right to restrict processing.
  • Right to issue directives regarding what happens to your data after your death.

11. How to exercise your rights

Several rights can be exercised directly from your account settings ("Account" tab):

  • export all of your data in a structured JSON file (right to portability);
  • reset the content of your space, i.e. erase your subjects, lessons and sessions without deleting your account;
  • permanently delete your account and all associated data (right to erasure).

For the other rights (access, rectification of your email, password change, objection, restriction, post-mortem directives) or for any other request, write to bisouslebo@gmail.com. We will respond within one month at the latest, in accordance with the GDPR. We may ask you to verify your identity to prevent impersonation.

12. Lodging a complaint with the CNIL

If, after contacting us, you believe that your rights are not respected, you have the right to lodge a complaint with the French data protection authority (CNIL):

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France.
Website: www.cnil.fr.

13. Minors

Access to HipHip is reserved for persons aged at least 15 years, in accordance with French data protection law. By using the service, you confirm that you have reached this age. If you are under 15, you must not use the service without the prior consent of your parents or legal guardians. If we become aware that an account belongs to a person under 15 without parental consent, it will be deleted.

14. Changes to this policy

This policy may evolve to reflect changes in the service or legal obligations. The date of the last update appears at the top of this page. In case of a substantial change, you will be informed by a notice visible in the application or by email.