Qui nous sommes
Rat List (« nous », « l’app ») est éditée par Edouard Baillot, auto-entrepreneur enregistré en France. Contact : hello@ratlist.app.
Ce que nous collectons
- Adresse email — pour te connecter. Nous ne voyons jamais ton mot de passe, puisqu’il n’y en a pas : on t’envoie un lien de connexion à usage unique.
- Prénom affiché et pseudo court optionnel — tu choisis les deux à l’inscription. Ils sont visibles par les membres des cercles d’amis que tu as rejoints.
- Le contenu que tu crées — envies de ta wishlist, photos téléversées, appartenances aux cercles, participation au père Noël secret. Tout cela vit dans notre base, rattaché à ton compte.
- Journaux techniques — adresse IP et User-Agent pour la couche anti-abus du fournisseur d’authentification, conservés sur une courte fenêtre glissante.
- Descriptions du chercheur de cadeaux — si tu utilises le gift-finder IA, ce que tu nous dis de la personne à qui tu veux offrir : prénom, lien, âge, genre, centres d’intérêt, occasion, budget. Ce sont des données sur un tiers, saisies par toi — détails dans la section dédiée plus bas.
- Rapports d’erreur via Sentry — quand quelque chose plante, nous recevons la stack trace et l’URL où tu étais. Pas de valeurs de formulaires, pas de titres d’envies, pas de noms.
- Statistiques d’usage anonymes via Umami — pages vues et événements de fonctionnalités (« une envie a été ajoutée »), sans cookies et sans rien qui t’identifie. Nous voyons des comptes, pas des personnes.
Nous ne diffusons pas de publicité. Notre seule mesure d’audience est sans cookies et agrégée (Umami, plus bas). Nous ne vendons ni ne partageons tes données avec des annonceurs.
Pourquoi nous les collectons
Pour fournir le service auquel tu t’es inscrit(e) (art. 6(1)(b) RGPD — exécution du contrat) :
- ton email t’authentifie
- ton prénom et ton contenu sont montrés aux membres de tes cercles
- la description saisie dans le gift-finder sert à générer les suggestions que tu demandes — et à rien d’autre de notre côté
- les rapports d’erreur nous aident à corriger les bugs
Les statistiques agrégées reposent sur l’intérêt légitime (art. 6(1)(f) RGPD) — elles nous disent quelles fonctionnalités comptent, et rien n’y permet de t’identifier.
Avec qui nous les partageons
Nous utilisons un petit nombre de sous-traitants qui stockent ou transmettent tes données pour notre compte :
- Supabase (base de données, authentification, stockage de fichiers) — région Francfort, UE
- Vercel (hébergement du frontend) — sert l’app statique à ton navigateur
- Resend (envoi d’emails) — expédie les liens de connexion
- Sentry (suivi des erreurs) — rapports de plantage anonymisés
- Umami (statistiques d’usage) — analytics open-source que nous hébergeons nous-mêmes sur notre propre serveur en France (UE) ; sans cookies, agrégé uniquement, aucun service d’analytics tiers ne reçoit tes données
- DeepSeek (le modèle d’IA derrière le chercheur de cadeaux, et un recours qui pré-remplit un article à partir d’un lien produit) — ne reçoit des données que lorsque tu lances une recherche ou colles un lien que notre propre parseur n’arrive pas à lire entièrement ; traitement en Chine — on en parle honnêtement dans la section suivante
À cette exception près (DeepSeek — section suivante), aucun d’eux n’est autorisé à utiliser tes données pour son propre compte. Nous ne partageons jamais le contenu de ta wishlist avec des marques, des régies ou des réseaux d’affiliation.
Le chercheur de cadeaux IA
Le gift-finder demande à un modèle d’IA de choisir des idées dans notre propre catalogue, sélectionné à la main. Rien ne quitte nos serveurs tant que tu n’appuies pas sur le bouton. Quand tu le fais, nous envoyons la description que tu as saisie — prénom, lien, âge, genre, centres d’intérêt, occasion et budget de la personne à qui tu veux offrir — plus la langue de ton interface, pour que la réponse arrive dans celle-ci. Si tu as relié cette personne à un ami sur l’app, quelques catégories, marques et titres d’envies de sa wishlist partagée partent aussi comme indices. Base légale : art. 6(1)(b) RGPD — c’est précisément le service que tu demandes à cet instant.
Le modèle est exploité par DeepSeek, une société d’IA chinoise. Pour être transparents sur ce que cela implique : DeepSeek traite et stocke les données sur des serveurs en République populaire de Chine, et ses conditions publiées l’autorisent à utiliser les entrées pour améliorer ses services et entraîner ses modèles. Nous n’avons pas d’accord de sous-traitance séparé avec DeepSeek qui l’interdirait.
Ce que nous faisons pour réduire l’empreinte : la requête part de notre serveur, donc DeepSeek ne reçoit jamais ton adresse IP, ton email ni aucun identifiant de compte — uniquement le texte de la description. Nous n’avons aucune coordonnée de la personne à qui tu offres, donc rien de tel n’est envoyé. Et tes plans cadeaux ne sont visibles que par toi — la personne concernée ne les voit jamais. Notre conseil : décris la personne par un prénom ou un surnom plutôt que par un nom complet ; les suggestions seront tout aussi bonnes. Si tu préfères que rien ne parte chez un fournisseur d’IA, n’utilise simplement pas le gift-finder — tout le reste fonctionne sans lui.
Le même modèle aide à un autre endroit. Quand tu colles un lien produit et que notre propre parseur n’arrive pas à en remplir tous les champs, nous envoyons les métadonnées publiques de l’en-tête de cette page — ses balises de titre, de description, de prix, d’image et de marque — à DeepSeek pour qu’il complète l’article à ta place. Ce sont les informations produit publiées par la page, rien sur toi : comme pour le gift-finder, la requête part de notre serveur, donc DeepSeek ne reçoit jamais ton IP, ton email ni aucun identifiant de compte. Cela n’arrive que pour la minorité de liens que notre parseur n’arrive pas à lire entièrement, et tu peux toujours saisir les détails à la main.
Combien de temps nous les gardons
Tant que ton compte existe. Quand tu supprimes ton compte depuis les réglages, tout ce qui t’appartient (envies, photos, appartenances aux cercles, données père Noël) est effacé sous 24 heures. Les sauvegardes expirent sous 30 jours.
Tes droits
Au titre du RGPD, tu peux nous demander à tout moment de :
- accéder à tes données — bouton Exporter mes données dans les réglages
- les rectifier — modifie ton profil dans les réglages
- les supprimer — le bouton Supprimer le compte dans les réglages le fait en un clic
- les porter ailleurs — l’export est un fichier JSON portable
- limiter ou t’opposer à un traitement précis — écris à hello@ratlist.app
Tu peux déposer une réclamation auprès de ton autorité de protection des données. En France, c’est la CNIL.
Cookies
Nous utilisons un seul cookie interne qui porte ta session — sans lui, tu devrais te reconnecter à chaque rechargement de page. Il est essentiel au service et ne requiert pas de consentement.
Pas de cookies de suivi, pas de cookies publicitaires, pas de cookies tiers. Umami, notre mesure d’audience, fonctionne entièrement sans cookies.
Mineurs
Rat List ne s’adresse pas aux enfants de moins de 13 ans. En te connectant, tu confirmes avoir au moins 13 ans.
Évolutions
Si nous modifions cette politique d’une façon qui te concerne réellement, nous t’enverrons un email avant l’entrée en vigueur.
Contact
Des questions ? Des doutes ? hello@ratlist.app.