Politique de confidentialité

v3 — Dernière mise à jour : 2026-06-20

Idem te met en relation avec une autre personne par SMS, sans app et sans swipe. Pour ça, j'ai besoin de quelques informations sur toi. Cette page explique en clair ce qui est collecté, à quoi ça sert, qui d'autre y a accès, combien de temps c'est conservé, et comment tu peux exercer tes droits à tout moment.

Cette politique respecte le Règlement Général sur la Protection des Données (RGPD) et la loi française "Informatique et Libertés".

Qui est responsable de tes données ?

Le responsable de traitement est Idem. Idem n'est pas (encore) constitué en société. Le point de contact unique pour toute question relative à tes données est :

Tu peux écrire à cette adresse pour toute question relative à tes données ou pour exercer tes droits (voir plus bas).

À quoi sert le traitement de tes données ?

Tes données sont utilisées pour, dans l'ordre :

  • L'onboarding par SMS : un agent conversationnel automatique collecte les informations nécessaires (prénom, école, email étudiant, date de naissance, niveau d'études, préférences de rencontre).
  • La vérification de ton statut étudiant : ton email étudiant me prouve que tu appartiens bien à une école ouverte sur Idem.
  • Le matchmaking : un algorithme te propose une rencontre avec une autre personne sur Idem, sur la base des informations que tu as fournies.
  • La coordination de la rencontre : si tu acceptes et l'autre personne aussi, Idem propose un créneau et un lieu en SMS, puis transmet de manière asynchrone les confirmations entre les deux côtés.
  • L'amélioration de l'algorithme : tes feedbacks post-rencontre (note sur 5 + un mot, anonyme côté autre personne) servent à calibrer les futures propositions.

Sur quelle base légale je traite tes données ?

  • Exécution du contrat (art. 6.1.b RGPD) — pour l'essentiel : créer ton compte, collecter les champs d'onboarding, te proposer des matchs, coordonner les rencontres. C'est l'objet du service que tu as accepté en utilisant Idem.
  • Consentement explicite (art. 6.1.a et 9 RGPD) — pour deux choses spécifiques : tes photos de profil, et le test de personnalité à choix fermés. Tu peux retirer ton consentement à tout moment, ce qui entraîne la suppression des données concernées.
  • Intérêt légitime étroit (art. 6.1.f RGPD) — pour la sécurité du service : prévenir les fraudes, les abus, le harcèlement. Cela couvre par exemple le blocage automatique d'un numéro qui envoie un volume anormal de messages.

Quelles données sont collectées ?

  • Identifiants : ton numéro de téléphone, ton email étudiant, ton prénom, ta date de naissance.
  • Profil : ton école, ton niveau d'études, ton genre, tes préférences de rencontre, tes photos (3-5, dont au moins 1 portrait clair).
  • Communications : l'historique de tes conversations SMS avec l'agent Idem, et les feedbacks post-rencontre.
  • Données techniques : adresse IP au moment de la consultation des pages web, user agent du navigateur, logs techniques liés au bon fonctionnement du service.

Je ne collecte ni ton nom de famille, ni des données particulièrement sensibles au sens RGPD (santé, religion, orientation politique). Ton orientation sexuelle est en revanche déduite implicitement de tes préférences de rencontre — c'est traité avec un soin particulier et reste accessible uniquement à l'algorithme de matching.

À qui tes données peuvent être transmises ?

Idem s'appuie sur des sous-traitants techniques pour fonctionner. À la date de publication de cette politique (v3, 2026-06-20) :

  • Twilio Inc. (États-Unis) — fournisseur de la passerelle SMS qui envoie et reçoit tes messages.
  • OpenAI L.L.C. (États-Unis) — fournisseur du modèle de langage qui anime l'agent conversationnel Idem.
  • Resend (États-Unis) — fournisseur d'envoi d'emails transactionnels (lien de connexion magique envoyé sur ton email étudiant).
  • Amazon Web Services (AWS S3, région Paris eu-west-3) (Union Européenne) — stockage de tes photos de profil et des sauvegardes chiffrées de la base de données.
  • Railway Corp. (États-Unis, hébergement physique en Union Européenne — Amsterdam) — fournisseur d'infrastructure qui héberge la base de données, le serveur web et le worker, et qui capture les journaux applicatifs. Ces journaux ne contiennent pas de données personnelles en clair : numéros masqués (4 derniers chiffres), emails hachés, contenu des messages jamais journalisé.
  • OVH SAS (France) — registrar du nom de domaine et fournisseur de l'alias email privacy@join-idem.date.
  • Google (Google Analytics) (États-Unis) — mesure d'audience du site web (pages vues, sources de trafic). Cet outil dépose des cookies sur ton navigateur.

Aucune de tes données n'est revendue à un tiers. Idem ne fait pas de publicité ciblée et ne partage rien avec des annonceurs.

Cette liste sera mise à jour à chaque introduction d'un nouveau sous-traitant, sous la forme d'une nouvelle version de cette page.

Transferts hors Union Européenne

Twilio, OpenAI, Resend, Railway et Google sont des sociétés américaines. Tes données (ou, pour les journaux techniques captés par Railway, des données sans information personnelle en clair) transitent et sont potentiellement traitées en dehors de l'Union Européenne pour les besoins de ces services spécifiques (envoi/réception de SMS, génération des réponses de l'agent conversationnel, envoi des emails de connexion, hébergement). Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne, qui imposent à ces fournisseurs un niveau de protection équivalent au RGPD. Tes photos et les sauvegardes de la base sont hébergées en Union Européenne (AWS Paris, eu-west-3).

Combien de temps tes données sont conservées ?

  • Compte actif : tant que tu utilises Idem (pas de durée maximale prédéfinie).
  • Après une désinscription (que tu m'auras demandée par SMS ou par email) : tes données sont conservées 30 jours en grace period — au cas où tu changes d'avis — puis supprimées définitivement de la base de production.
  • Logs techniques (IP, user agent, traces d'erreur) : 12 mois maximum, puis supprimés.
  • Sauvegardes : tes données peuvent persister dans des backups chiffrés jusqu'à 35 jours après la suppression de production. Au-delà, les backups sont eux-mêmes supprimés.

Quels droits tu peux exercer ?

Tu as à tout moment, sur tes données, les droits suivants :

  • Droit d'accès : obtenir une copie de toutes les données te concernant.
  • Droit de rectification : me demander de corriger une information inexacte.
  • Droit à l'effacement (droit à l'oubli) : me demander de supprimer tes données.
  • Droit d'opposition : t'opposer à un traitement spécifique.
  • Droit à la portabilité : récupérer tes données dans un format lisible (JSON ou CSV).
  • Droit à la limitation : me demander de geler le traitement de tes données le temps d'une vérification.
  • Droit de retrait du consentement : retirer ton consentement pour les traitements qui en dépendent (photos, test de personnalité), sans remettre en cause la licéité du traitement passé.

Comment exercer tes droits ?

Deux canaux possibles :

  • Par SMS à l'agent Idem, en langage naturel. Par exemple : "je veux mes données", "supprime-moi", "je retire mon consentement pour les photos". L'agent comprend l'intent et déclenche le traitement.
  • Par email à privacy@join-idem.date. Je réponds dans le délai légal d'un mois (souvent beaucoup plus vite).

Recours auprès de la CNIL

Si tu n'es pas satisfait de ma réponse, ou si tu estimes que tes droits ne sont pas respectés, tu peux saisir la CNIL (Commission Nationale de l'Informatique et des Libertés), l'autorité de contrôle française :

https://www.cnil.fr

Profilage et décisions automatisées

Idem utilise un algorithme pour te proposer une autre personne potentiellement compatible. Cet algorithme est purement suggestif : tu reçois la proposition par SMS, tu acceptes ou tu refuses librement. Aucune décision produisant des effets juridiques ou t'affectant de manière significative n'est prise automatiquement à ton sujet (au sens de l'article 22 du RGPD).

Cookies et mesure d'audience

Pour comprendre comment le site www.join-idem.date est utilisé (pages vues, sources de trafic), Idem utilise Google Analytics. Cet outil dépose des cookies sur ton navigateur. Tu peux t'y opposer via les réglages de ton navigateur ou un bloqueur de traceurs.

La mesure d'audience sert uniquement à améliorer le site. Aucune donnée de navigation n'est revendue, et elle n'est jamais utilisée pour de la publicité ciblée. Si cette politique évolue, cette page sera mise à jour avec une nouvelle version.

Modifications de cette politique

Cette politique peut être amenée à évoluer, notamment lorsqu'un nouveau sous-traitant est introduit ou qu'une finalité de traitement change. À chaque modification, le numéro de version (v1.0, v1.1, v2.0...) et la date de mise à jour sont bumpés en haut de page. À partir de l'ouverture de la bêta, tu seras notifié par SMS si une modification matérielle te concerne.