Retour LEXU.

Politique de confidentialité

Dernière mise à jour : mai 2026

Lexu (« nous », « notre ») prend la protection de tes données personnelles très au sérieux. Cette politique explique, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi française « Informatique et Libertés », quelles données nous collectons, à quelles fins, sur quelles bases légales, avec qui nous les partageons, combien de temps nous les conservons et quels sont tes droits.

1. Identité du responsable de traitement

Le responsable de traitement est Alexis Le Pin, éditeur de l'application Lexu, joignable à l'adresse alexis@lexu.fr. Pour toute question relative à la protection de tes données, écris-nous à alexis@lexu.fr avec l'objet « RGPD ».

2. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service :

  • Compte : adresse email, mot de passe (haché, jamais stocké en clair), méthode d'authentification (email, Apple, Google).
  • Profil : nom d'affichage, nom d'utilisateur (@), avatar, bio, préférences (genres préférés, objectifs de lecture).
  • Bibliothèque : livres ajoutés, progression (pages lues), statut (en cours, terminé, à lire, abandonné), notes, citations, ressentis.
  • Activités de lecture : sessions (durée, pages lues, date), historique des activités partagées.
  • Réseau social : abonnements (followers / following), likes, commentaires, partages.
  • Messagerie : contenu et métadonnées des conversations entre utilisateurs (chiffrement en transit, stockage côté serveur).
  • Abonnement Premium : statut d'abonnement (actif / expiré), identifiant produit, date de renouvellement. Aucune donnée bancaire n'est stockée par Lexu — les paiements sont gérés exclusivement par Apple (App Store) et Google (Play Store).
  • Données techniques : identifiant d'appareil (anonymisé), version d'OS, version de l'app, langue, fuseau horaire, adresse IP (collectée temporairement pour la sécurité et la prévention des abus).
  • Notifications push : jeton d'appareil (Apple Push / Firebase) si tu actives les notifications.

Nous ne collectons aucune donnée sensible (santé, opinions politiques, religieuses, syndicales, orientation sexuelle, etc.). Nous ne pratiquons pas de profilage publicitaire.

3. Bases légales et finalités

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale claire :

  • Exécution du contrat (art. 6.1.b) : création de compte, fonctionnement de la bibliothèque, statistiques de lecture, messagerie, abonnement Premium, support utilisateur.
  • Intérêt légitime (art. 6.1.f) : sécurité du service, prévention de la fraude, amélioration de l'app via analyses agrégées et anonymisées.
  • Consentement (art. 6.1.a) : notifications push, analytics, partages publics. Tu peux retirer ton consentement à tout moment via les réglages de l'app ou de ton appareil.
  • Obligation légale (art. 6.1.c) : conservation des journaux de connexion (loi n° 2004-575 du 21 juin 2004) et facturation.

4. Sous-traitants et destinataires

Tes données peuvent être traitées par les sous-traitants suivants, encadrés par des contrats conformes au RGPD :

  • Supabase (Singapour / UE) — hébergement de la base de données et du stockage de fichiers (avatars, couvertures personnalisées).
  • Apple Inc. (États-Unis) — App Store, paiements in-app, notifications push iOS, Sign in with Apple.
  • Google LLC (États-Unis) — Play Store et paiements pour Android, Sign in with Google.
  • RevenueCat (États-Unis) — gestion technique des abonnements et webhooks de facturation.
  • OneSignal (États-Unis) — délivrance des notifications push.
  • Resend (États-Unis) — envoi des emails transactionnels (confirmation, support).
  • Netlify (États-Unis) — hébergement du site lexu.fr.

Nous ne vendons jamais tes données. Nous ne les partageons avec des tiers que pour fournir le service ou si la loi nous y oblige.

5. Transferts hors Union européenne

Certains de nos sous-traitants (Apple, Google, RevenueCat, OneSignal, Resend, Netlify) sont basés aux États-Unis. Ces transferts sont encadrés par :

  • les clauses contractuelles types de la Commission européenne ;
  • la certification des prestataires américains au Data Privacy Framework (DPF) UE-US lorsque applicable ;
  • des mesures complémentaires (chiffrement en transit et au repos, contrôle d'accès strict).

6. Durée de conservation

  • Données du compte : conservées tant que ton compte est actif. Supprimées dans un délai de 30 jours après ta demande de suppression de compte.
  • Activités et messages : conservés tant que ton compte est actif, supprimés à la fermeture du compte.
  • Journaux de connexion : conservés 12 mois (obligation légale).
  • Données de facturation : conservées 10 ans (obligation comptable, art. L. 123-22 du Code de commerce).
  • Comptes inactifs : après 3 ans d'inactivité totale, nous t'envoyons un email d'avertissement avant suppression automatique.

7. Tes droits

Conformément au RGPD, tu disposes des droits suivants sur tes données :

  • Droit d'accès (art. 15) — obtenir une copie de tes données.
  • Droit de rectification (art. 16) — corriger une donnée inexacte.
  • Droit à l'effacement (art. 17) — supprimer tes données.
  • Droit à la limitation (art. 18) — geler temporairement un traitement.
  • Droit à la portabilité (art. 20) — récupérer tes données dans un format structuré.
  • Droit d'opposition (art. 21) — t'opposer à un traitement fondé sur l'intérêt légitime.
  • Droit de retirer ton consentement à tout moment (art. 7).
  • Directives post-mortem — définir le sort de tes données après ton décès.

Pour exercer ces droits, écris-nous à alexis@lexu.fr. Nous répondons sous 30 jours maximum (prolongeable de 60 jours en cas de demande complexe). Une preuve d'identité peut t'être demandée.

Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris).

8. Suppression de compte

Tu peux supprimer ton compte directement depuis l'app (Profil → Réglages → Aide & support → Supprimer mon compte) ou en nous contactant. La suppression est irréversible et entraîne la perte de toutes tes données (bibliothèque, activités, ressentis, messages). Les données nécessaires aux obligations légales (facturation, journaux) sont conservées pendant la durée légale puis supprimées.

9. Cookies et identifiants techniques

L'application mobile et le site lexu.fr utilisent :

  • Cookies strictement nécessaires (session, authentification, préférences) — ne nécessitent pas ton consentement.
  • Identifiants d'appareil anonymisés — pour la sécurité et la limitation des abus (anti-spam, anti-fraude).

Lexu n'utilise pas de publicité ciblée, pas de pixel de tracking tiers, pas d'analytics intrusif. Sur le site vitrine, des outils d'analyse strictement agrégés et anonymisés peuvent être utilisés.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : chiffrement TLS 1.2+ en transit, chiffrement AES-256 au repos pour les fichiers sensibles, hachage des mots de passe (bcrypt/argon2), politiques d'accès strictes (Row Level Security Supabase), audits réguliers, journaux d'accès. En cas de violation susceptible d'engendrer un risque pour tes droits, nous notifierons la CNIL sous 72 h et toi-même dans les meilleurs délais.

11. Mineurs

Lexu est destiné à un public de 13 ans et plus. Nous ne collectons pas sciemment de données concernant des enfants de moins de 13 ans. Si tu penses qu'un enfant nous a transmis des données, contacte-nous : nous procéderons à la suppression immédiate.

12. Modifications

Nous pouvons mettre à jour cette politique. La date de dernière mise à jour figure en tête de page. En cas de changement substantiel, nous t'informerons par email ou via une notification dans l'app au moins 15 jours avant l'entrée en vigueur des nouvelles dispositions.

13. Contact

Pour toute question relative à cette politique ou à tes données :

alexis@lexu.fr  ·  Formulaire de contact