Politique de confidentialité de RumX : Comment nous protégeons vos données

Dernière mise à jour : 5 juin 2026

Cette politique de confidentialité explique comment nous traitons vos données personnelles lorsque vous utilisez le site web RumX (rumx.com), l'application mobile RumX et notre forum communautaire (community.rumx.com) — ensemble le « Service ». Elle vous informe également de vos droits au titre du Règlement général sur la protection des données de l'UE (RGPD) et de la loi allemande sur la protection des données dans les services numériques de télécommunication (TDDDG, droit allemand).

1. Responsable du traitement

Le responsable du traitement au sens de l'art. 4 (7) RGPD est :

Oliver Gerhardt
Böblinger Str. 24
70178 Stuttgart, Allemagne
E-mail : info@rumx.com
Téléphone : +49 711 39682888

2. Autorité de contrôle et votre droit de réclamation

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle en matière de protection des données (art. 77 RGPD). L'autorité compétente pour nous est :

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI)
Lautenschlagerstraße 20, 70173 Stuttgart, Allemagne
www.baden-wuerttemberg.datenschutz.de

Vous pouvez également vous adresser à l'autorité de contrôle de votre lieu de résidence. Si vous résidez en France, vous pouvez notamment vous adresser à la CNIL (Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris, www.cnil.fr).

3. Vos droits

Vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès (art. 15 RGPD) — demander une copie des données personnelles que nous détenons à votre sujet.
  • Droit de rectification (art. 16 RGPD) — faire corriger des données inexactes.
  • Droit à l'effacement (art. 17 RGPD) — faire supprimer vos données (« droit à l'oubli »).
  • Droit à la limitation du traitement (art. 18 RGPD).
  • Droit à la portabilité des données (art. 20 RGPD) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit de retirer votre consentement (art. 7 (3) RGPD) — retirer à tout moment un consentement avec effet pour l'avenir, par exemple via le lien « Préférences en matière de cookies » dans le pied de page du site web ou dans les réglages de votre appareil.

Droit d'opposition (art. 21 RGPD) : Lorsque nous traitons vos données personnelles sur la base de l'intérêt légitime (art. 6 (1) (f) RGPD), vous avez le droit de vous y opposer à tout moment pour des raisons tenant à votre situation particulière. Lorsque nous traitons vos données à des fins de prospection directe, vous pouvez vous y opposer à tout moment sans avoir à donner de motif.

Pour exercer l'un de ces droits, contactez-nous à info@rumx.com. Nous pouvons vous demander de confirmer votre identité avant de répondre.

Suppression du compte

Vous pouvez supprimer votre compte et toutes les données associées directement dans l'application : connectez-vous, ouvrez l'onglet profil (en bas à droite) et appuyez tout en bas sur « Supprimer le compte utilisateur ». Cette action est irréversible — toutes les données personnelles associées au compte sont définitivement supprimées. Pour toute assistance, contactez-nous à info@rumx.com.

4. Gestion du consentement (bandeau cookies)

Lors de votre première visite sur notre site web, un bandeau de consentement recueille votre consentement avant que des cookies non essentiels ou des technologies similaires ne soient utilisés. La base légale pour le stockage ou la lecture d'informations sur votre appareil est le § 25 (1) TDDDG (droit allemand) ; le traitement ultérieur des données personnelles repose sur votre consentement (art. 6 (1) (a) RGPD). Les technologies strictement nécessaires sont utilisées au titre du § 25 (2) TDDDG (droit allemand) sans consentement.

Nous utilisons les catégories de consentement suivantes :

  • Essentiel / Fonctionnel (désigné dans le bandeau par « Une expérience fluide ») — nécessaire au fonctionnement du Service (par exemple votre choix de consentement lui-même, le panier, la sélection de la langue et du pays). Toujours actif.
  • Analyse et personnalisation — statistiques d'utilisation et recommandations personnalisées (Google Analytics 4, Microsoft Clarity, personnalisation Recombee, Algolia Insights, mesure de conversion Google Ads). Chargé uniquement après votre consentement.
  • Marketing (désigné dans le bandeau par « Connecter & Découvrir ») — publicité et reciblage (Meta Pixel, Releva.nz, intégrations YouTube, widget de chat). Chargé uniquement après votre consentement.

Votre choix de consentement est conservé dans un cookie (« consent-settings ») pendant 180 jours. Vous pouvez le modifier ou le retirer à tout moment via le lien « Préférences en matière de cookies » dans le pied de page. « Tout accepter » et « Seulement essentiels » sont proposés de manière équivalente sur la première couche du bandeau.

5. Hébergement et journaux serveur

Netlify : Notre site web est hébergé par Netlify, Inc., 512 2nd Street, Suite 200, San Francisco, CA 94107, États-Unis. Lorsque vous visitez le site web, Netlify traite des données de connexion (adresse IP, date et heure, URL demandée, user agent du navigateur) dans des journaux serveur afin de fournir le site web de manière sûre et fiable. Base légale : intérêt légitime à l'exploitation sûre et performante du site web (art. 6 (1) (f) RGPD). Netlify est certifié au titre du cadre de protection des données UE—États-Unis (EU-U.S. Data Privacy Framework) ; nous avons en outre conclu un accord de sous-traitance incluant les clauses contractuelles types de l'UE. Les données de journalisation sont automatiquement supprimées après une courte durée (jusqu'à 30 jours).

Backend (Google Firebase / Google Cloud) : Le backend de notre application, les comptes utilisateurs, les images et les API fonctionnent sur Google Firebase et Google Cloud Platform (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande), principalement dans la région europe-west3 (Francfort) ; certaines fonctions s'exécutent aux États-Unis (us-central1). Base légale : exécution du contrat (art. 6 (1) (b) RGPD). Google LLC est certifié au titre du cadre de protection des données UE—États-Unis.

Forum communautaire (Discourse) : Notre forum sur community.rumx.com est une instance Discourse auto-hébergée que nous exploitons sur l'infrastructure de DigitalOcean LLC. Lorsque vous participez au forum, votre profil et vos publications y sont traités. Base légale : exécution du contrat (art. 6 (1) (b) RGPD).

6. Données que nous collectons

Données de compte et de profil

Lorsque vous créez un compte, nous traitons : adresse e-mail, nom d'utilisateur, prénom et nom (facultatifs), photo de profil (facultative) et votre mot de passe sous forme chiffrée. Base légale : exécution du contrat (art. 6 (1) (b) RGPD).

Connexion via les réseaux sociaux

Vous pouvez vous inscrire et vous connecter via des services de connexion tiers (par exemple Google, Apple, Facebook). Dans ce cas, nous recevons les données de profil que vous y autorisez (généralement nom, adresse e-mail). Base légale : exécution du contrat (art. 6 (1) (b) RGPD). La politique de confidentialité du fournisseur concerné s'applique à son propre traitement.

Contenu que vous publiez

Les notes, notes de dégustation, avis, photos, commentaires et publications de forum que vous publiez sont visibles par les autres utilisateurs avec votre nom d'utilisateur. Base légale : exécution du contrat (art. 6 (1) (b) RGPD).

Ville de résidence facultative

Vous pouvez, de manière facultative, sélectionner votre ville à partir d'une suggestion d'autocomplétion Google Places. Nous stockons l'identifiant Google Places, le nom d'affichage de la ville et le code pays ISO. Nous ne stockons pas de coordonnées GPS, d'adresses postales ni de précision inférieure à la ville rattachée à votre compte. Vous pouvez modifier ou supprimer la ville à tout moment dans les réglages de votre compte ; la suppression prend effet sur la Community Map dans un délai de 24 heures.

Profil de goût (Match Score)

Lorsque vous notez des rhums, nous calculons quatre valeurs numériques d'axes de goût (doux/sec, fruité/boisé, doux/intense, complexité) à partir de vos notes afin de vous proposer des recommandations personnalisées (le « Match Score »). Voir la section 9 pour plus de détails.

Données d'utilisation

Lorsque vous utilisez le Service, nous traitons automatiquement des données techniques telles que l'adresse IP, le type et la version du navigateur, le type d'appareil, le système d'exploitation, les pages consultées et les horodatages. Base légale : intérêt légitime à exploiter, sécuriser et améliorer le Service (art. 6 (1) (f) RGPD).

Autorisations de l'application

L'application mobile demande les autorisations suivantes uniquement avec votre consentement préalable (art. 6 (1) (a) RGPD), que vous pouvez révoquer à tout moment dans les réglages de votre appareil :

  • Appareil photo et photothèque — pour ajouter des photos à vos notes et à votre profil.
  • Contacts — uniquement si vous utilisez activement la fonction d'invitation d'amis.
  • Notifications push — voir la section 11.

L'application n'accède pas au GPS de votre appareil pour les fonctionnalités Community Map ou Match Score.

7. Achats via la marketplace RumX

RumX ne vend pas elle-même de boissons alcoolisées. Lorsque vous soumettez une demande de commande, le contrat de vente est conclu avec la boutique partenaire agréée identifiée avant le paiement. Pour traiter votre commande, nous partageons les données de commande nécessaires (nom, adresse de livraison, e-mail, articles commandés) avec cette boutique partenaire. Base légale : exécution du contrat (art. 6 (1) (b) RGPD).

Paiement (Mollie) : Les paiements sont traités par Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Pays-Bas, en tant que prestataire de services de paiement du vendeur concerné (Mollie Connect). Mollie traite vos données de paiement (par exemple coordonnées de carte, compte PayPal, coordonnées bancaires) sous sa propre responsabilité conformément à la réglementation des paiements. Nous ne stockons pas l'intégralité des identifiants de paiement. Selon le mode de paiement, Apple Pay (Apple Distribution International Ltd., Irlande) ou PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxembourg) interviennent. Base légale : exécution du contrat (art. 6 (1) (b) RGPD).

Vérification de l'âge : Étant donné que les boissons alcoolisées ne peuvent être vendues qu'à des personnes majeures, le service de livraison effectue un contrôle de l'âge lors de la remise pour le compte du vendeur. Base légale : obligation légale (art. 6 (1) (c) RGPD en combinaison avec le § 9 de la loi allemande sur la protection des mineurs (JuSchG, droit allemand)).

8. Services et outils du site web

Essentiels (aucun consentement requis)

  • Algolia Search (Algolia SAS, 55 Rue d'Amsterdam, 75008 Paris, France) — alimente la recherche du site. Vos requêtes de recherche sont transmises à Algolia afin de renvoyer des résultats. Base légale : intérêt légitime à fournir une recherche fonctionnelle (art. 6 (1) (f) RGPD).
  • Géolocalisation IPinfo (IPinfo Inc., États-Unis) — nous déterminons votre pays (au niveau du pays uniquement) à partir de votre adresse IP afin d'afficher les bonnes boutiques, les bons prix et la bonne devise. L'adresse IP n'est pas stockée par nous avec votre compte. Base légale : intérêt légitime à afficher des offres régionalement correctes (art. 6 (1) (f) RGPD).
  • Recombee (non personnalisé) — des recommandations de rhums de base, non personnalisées, sont récupérées auprès de Recombee s.r.o. (Prague, République tchèque ; centre de données dans l'UE) sans créer de profil utilisateur. Base légale : intérêt légitime (art. 6 (1) (f) RGPD).

Analyse et personnalisation (uniquement avec votre consentement, art. 6 (1) (a) RGPD ; § 25 (1) TDDDG, droit allemand)

  • Google Analytics 4 (Google Ireland Limited) — statistiques d'utilisation avec Google Consent Mode v2. Les adresses IP ne sont ni journalisées ni stockées par GA4. Les données peuvent être transférées à Google LLC (États-Unis, certifié DPF). Durée de conservation : jusqu'à 14 mois.
  • Mesure de conversion Google Ads (Google Ireland Limited) — mesure si les visites via les annonces Google donnent lieu à des commandes.
  • Microsoft Clarity (Microsoft Ireland Operations Ltd.) — relectures de session et cartes de chaleur pour améliorer l'ergonomie. Les données peuvent être transférées à Microsoft Corporation (États-Unis, certifié DPF).
  • Recombee (personnalisé) — avec votre consentement, vos interactions (rhums consultés et notés) sont utilisées pour calculer des recommandations personnalisées. Centre de données dans l'UE.
  • Algolia Insights — événements anonymes de clic et de conversion sur les résultats de recherche afin d'améliorer la qualité de la recherche.

Marketing (uniquement avec votre consentement, art. 6 (1) (a) RGPD ; § 25 (1) TDDDG, droit allemand)

  • Meta Pixel (Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, Irlande) — mesure la publicité sur Facebook/Instagram (par exemple événements ViewContent, AddToCart, Purchase) et permet le reciblage. Pour les données collectées via le pixel, Meta et nous sommes responsables conjoints du traitement (art. 26 RGPD) ; Meta met à disposition l'essentiel de cet accord à l'adresse facebook.com/legal/controller_addendum. Les données peuvent être transférées à Meta Platforms, Inc. (États-Unis, certifié DPF).
  • Releva.nz (Releva GmbH, Allemagne) — pixel de reciblage qui vous affiche nos annonces sur d'autres sites web. Traitement au sein de l'UE.
  • Intégrations YouTube (Google Ireland Limited) — les vidéos sont intégrées en mode de confidentialité renforcée (youtube-nocookie.com) et ne chargent des données depuis YouTube que lorsque vous lisez une vidéo et que vous avez consenti au marketing.
  • Chat OpenWidget (LiveChat Software S.A. / Text, Inc.) — widget de chat sur notre page assistant ; ne se charge qu'avec le consentement marketing.

9. Community Map et Match Score

Community Map

La Community Map vous permet de découvrir d'autres passionnés de rhum géographiquement proches de vous. Elle repose sur un strict principe d'anonymat k=5 : une ville ne devient visible sur la carte qu'une fois qu'au moins 5 utilisateurs ont sélectionné cette ville (ou des villes voisines formant un cluster). En dessous de ce seuil, la ville est entièrement supprimée côté serveur et n'est jamais transmise à un autre utilisateur.

  • Ce que nous stockons sur votre compte : l'identifiant Google Places de la ville que vous avez sélectionnée, le nom d'affichage de la ville et votre code pays (ISO 3166-1 alpha-2). Nous ne stockons pas de latitude/longitude par utilisateur, pas d'adresses postales, et nous n'accédons pas au GPS de votre appareil pour cette fonctionnalité.
  • Ce que voient les autres utilisateurs : des marqueurs de cluster agrégés contenant le nombre de membres du cluster, une coordonnée de centroïde pondéré (au niveau de la ville, jamais une adresse individuelle), le code pays et l'horodatage de l'activité la plus récente du cluster.
  • Classement du cluster : lorsqu'un autre utilisateur appuie sur un cluster, il voit une liste Top 50 de noms d'utilisateurs avec le nombre mensuel de dégustations de chacun. Aucune donnée de localisation plus précise que le centroïde du cluster n'est affichée.
  • Fréquence d'agrégation : la carte est recalculée chaque nuit. Toute modification de votre sélection de ville — y compris sa suppression — se propage dans un délai de 24 heures.
  • Base légale : votre consentement (art. 6 (1) (a) RGPD) pour le traitement de votre sélection de ville ; notre intérêt légitime (art. 6 (1) (f) RGPD) pour l'affichage de clusters agrégés et anonymisés, le seuil k=5 et le centroïde pondéré empêchant toute ré-identification.

Match Score

Le Match Score est une recommandation personnalisée calculée à partir de vos notes de rhums : un profil de goût composé de quatre axes numériques (doux/sec, fruité/boisé, doux/intense, complexité) et une valeur de correspondance par rhum.

  • Entrées : uniquement vos propres notes et les profils aromatiques des rhums que nous maintenons.
  • Sorties : une recommandation affichée dans l'application. Le Match Score n'influence ni les prix, ni les conditions contractuelles, ni l'accès au compte et ne produit pas d'effets juridiques ou significatifs de manière similaire au sens de l'art. 22 RGPD.
  • Stockage et suppression : le profil de goût dérivé est stocké dans le cadre de l'enregistrement de votre compte et supprimé automatiquement lorsque vous supprimez votre compte. Vous pouvez également en demander la suppression à tout moment à info@rumx.com.
  • Base légale : exécution du contrat (art. 6 (1) (b) RGPD).

10. Communication par e-mail

E-mails transactionnels (confirmations de commande, notifications de compte, avis de sécurité) sont envoyés via Mailgun (Mailgun Technologies, Inc., une société Sinch, États-Unis ; région d'envoi UE lorsque disponible, certifié DPF). Base légale : exécution du contrat (art. 6 (1) (b) RGPD).

Newsletters et e-mails produits sont envoyés via OneSignal (OneSignal, Inc., États-Unis, certifié DPF) uniquement si vous y avez souscrit. Vous pouvez vous désinscrire à tout moment via le lien présent dans chaque e-mail. Base légale : consentement (art. 6 (1) (a) RGPD).

11. Notifications push

Si vous activez les notifications push dans l'application ou le navigateur, nous les envoyons via OneSignal (OneSignal, Inc., États-Unis, certifié DPF). Vous pouvez désactiver les notifications push à tout moment dans les réglages de votre appareil ou de votre navigateur. Base légale : consentement (art. 6 (1) (a) RGPD).

12. Présence sur les réseaux sociaux

Nous exploitons des pages sur les réseaux sociaux, dont une page Facebook (facebook.com/rumxapp). Pour les statistiques que Facebook nous fournit (« Page Insights »), Meta Platforms Ireland Ltd. et nous sommes responsables conjoints du traitement (art. 26 RGPD) ; l'accord de responsabilité conjointe est disponible à l'adresse facebook.com/legal/terms/page_controller_addendum. Pour plus de détails sur le traitement par Meta, voir facebook.com/privacy/policy.

13. Transferts internationaux de données

Lorsque nous transférons des données personnelles vers les États-Unis, nous nous appuyons sur le cadre de protection des données UE—États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023, décision d'exécution (UE) 2023/1795) pour les destinataires certifiés (notamment Google, Microsoft, Meta, Netlify, OneSignal, Mailgun/Sinch). À titre de garantie supplémentaire, nous avons conclu les clauses contractuelles types de l'UE (art. 46 (2) (c) RGPD) avec nos sous-traitants. Pour les autres pays tiers, nous utilisons les clauses contractuelles types ou nous nous appuyons sur des décisions d'adéquation.

14. Durée de conservation

Nous conservons les données personnelles uniquement aussi longtemps que nécessaire à la finalité concernée :

  • Données de compte et contenu : jusqu'à ce que vous supprimiez votre compte (ou un contenu individuel).
  • Données de commande : conservées conformément aux obligations légales commerciales et fiscales (jusqu'à 10 ans, §§ 147 AO, 257 HGB, droit allemand).
  • Journaux serveur : jusqu'à 30 jours.
  • Preuves de consentement : cookie de consentement 180 jours ; preuve du consentement aussi longtemps que légalement requis.
  • Données d'analyse : voir les durées de conservation indiquées par outil à la section 8.

15. Sécurité des données

Nous utilisons des mesures techniques et organisationnelles appropriées (chiffrement TLS, contrôles d'accès, stockage chiffré des mots de passe) pour protéger vos données. Aucune méthode de transmission ou de stockage n'est sûre à 100 %, mais nous révisons et améliorons en permanence nos garanties.

16. Enfants et mineurs

Le Service traite de boissons alcoolisées et s'adresse exclusivement aux personnes âgées de 18 ans et plus. Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Lorsque le consentement constitue la base légale, le RGPD exige un âge minimum de 16 ans en Allemagne (15 ans en France) ; comme notre Service requiert que les utilisateurs aient 18 ans révolus, nous supprimons les comptes d'utilisateurs mineurs dès que nous en avons connaissance. Si vous pensez qu'un mineur nous a transmis des données personnelles, contactez-nous à info@rumx.com.

17. Absence de décision automatisée

Nous n'utilisons pas de prise de décision automatisée, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative similaire (art. 22 RGPD). Les recommandations telles que le Match Score sont de simples aides à la découverte.

18. Modifications de cette politique de confidentialité

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre, par exemple lorsque nous ajoutons de nouvelles fonctionnalités ou de nouveaux services. La version actuelle est toujours disponible sur cette page ; la date « Dernière mise à jour » en haut indique la dernière révision. En cas de modification substantielle, nous vous informerons via le Service ou par e-mail.

19. Contact

Si vous avez des questions sur cette politique de confidentialité ou sur la protection des données chez RumX, contactez-nous à info@rumx.com.