Politique de confidentialité — HippieTV Desktop
1. Qui est responsable du traitement
JOLABS40 — SASU au capital de [À COMPLÉTER] €, immatriculée au RCS de [À COMPLÉTER] sous le numéro [À COMPLÉTER], dont le siège social est sis [À COMPLÉTER].
Contact : contact@jolabs40.net.
Pour toute question relative à vos données : même adresse.
2. Principe directeur
HippieTV Desktop est conçu pour fonctionner avec le minimum possible de données envoyées en ligne. La lecture IPTV en elle-même est une opération locale entre votre PC et votre fournisseur Xtream ; nous ne sommes pas dans cette boucle.
Le service en ligne (api.hippietv.app) sert exclusivement à :
- valider votre licence,
- détecter une fraude (réutilisation abusive d'un essai gratuit, partage massif d'un compte),
- pouvoir vous renvoyer un lien de connexion par email.
3. Ce qui reste strictement local sur votre PC
Les éléments suivants ne quittent jamais votre machine et ne sont jamais transmis à nos serveurs ni à un tiers :
- Identifiants de votre fournisseur Xtream (URL, nom d'utilisateur, mot de passe) — chiffrés dans le gestionnaire de secrets de votre système d'exploitation (Windows Credential Manager, macOS Keychain, libsecret sous Linux).
- Catalogue de chaînes, films, séries chargé depuis votre fournisseur.
- Guide des programmes (EPG) téléchargé.
- Historique de lecture, épisodes vus, favoris, catégories renommées, chaînes masquées, listes Direct personnalisées.
- Préférences d'interface (thème, langue, agencement de l'accueil).
- Enregistrements DVR (vidéos enregistrées localement).
- Captures d'écran, logs de diagnostic.
Aucune télémétrie d'usage (chaînes regardées, durée de visionnage, recherches effectuées) n'est collectée.
4. Ce que nous collectons et pourquoi
4.1 Lors de la création d'un compte ou de la connexion
| Donnée | Origine | Finalité | Base légale |
|---|---|---|---|
| Adresse email | Saisie par vous | Identifiant de compte ; envoi du lien magique de connexion ou du lien de réinitialisation de mot de passe | Exécution du contrat (CGU) |
| Mot de passe (haché bcrypt) | Saisi par vous, optionnel | Authentification par mot de passe (alternative au lien magique) | Exécution du contrat |
| Identifiant Google ou Apple (si connexion OAuth) | Fourni par Google/Apple après votre consentement | Authentification déléguée | Consentement |
4.2 Lors de l'utilisation normale
| Donnée | Origine | Finalité | Base légale |
|---|---|---|---|
Empreinte matérielle (device_fp) |
Hash SHA-256 d'un identifiant stable de votre PC (MachineGuid Windows / IOPlatformUUID macOS / machine-id Linux), combiné à un secret généré localement. L'identifiant brut ne quitte jamais votre PC. | Limiter le partage abusif de compte ; vous notifier si votre licence est activée sur une nouvelle machine | Intérêt légitime (lutte anti-fraude) |
Hash matériel (identity_fp) |
Idem | Détecter le clonage d'installation | Intérêt légitime |
| Adresse IP publique | Captée automatiquement par notre hébergeur (Cloudflare) lors de chaque requête | Sécurité (anti-DDoS, rate-limiting), logs d'incident | Intérêt légitime |
| Version de l'application | Envoyée à chaque heartbeat | Statistiques agrégées de versions installées ; refus de mises à jour sur versions trop anciennes | Intérêt légitime |
| Horodatage des sessions | Géré par le serveur | Expiration des sessions, révocation des appareils | Exécution du contrat |
4.3 Lors de l'essai gratuit PRO de 7 jours
Pour empêcher la création d'essais en cascade (10 emails = 10 essais), le serveur stocke en permanence :
- un hash de votre email (
email_hash) - un hash de votre identifiant matériel (
machine_uid_hash)
associés à un statut « essai consommé » (« tombstone »).
Ces hashs sont conservés indéfiniment au titre de l'intérêt légitime de prévention de la fraude. Vous pouvez toutefois demander leur suppression (voir section 8) en sachant que cela vous permettrait de recommencer un essai gratuit.
4.4 Données techniques
L'application ne place aucun cookie dans une éventuelle WebView interne (usage privé, non navigable). Le serveur n'utilise pas non plus de cookies de tracking.
5. Ce que nous NE collectons PAS
Pour être explicite :
- ❌ Vos identifiants Xtream (URL, login, mot de passe).
- ❌ Les chaînes que vous regardez.
- ❌ La durée pendant laquelle vous regardez quoi.
- ❌ Vos recherches dans l'application.
- ❌ Le contenu de vos favoris, listes, enregistrements DVR.
- ❌ Votre géolocalisation précise (l'adresse IP n'est pas convertie en coordonnées GPS ; elle sert uniquement à la sécurité et à la facturation par zone fiscale si applicable).
- ❌ Aucun rapport de crash n'est envoyé automatiquement. Si vous nous contactez pour un bug, vous choisissez quels logs partager.
6. À qui vos données sont transmises
| Destinataire | Rôle | Pays | Encadrement légal |
|---|---|---|---|
| Cloudflare, Inc. | Hébergement de l'API (Workers) et du stockage (R2) ; CDN ; protection DDoS | États-Unis (datacenters mondiaux, edge UE pour utilisateurs UE) | Clauses contractuelles types UE (SCC), conformité Data Privacy Framework |
| Resend, Inc. | Envoi des emails transactionnels (lien magique, réinitialisation de mot de passe) | États-Unis | SCC, conformité GDPR |
Aucune donnée n'est transmise à des fins commerciales ou publicitaires. Aucun courtier de données n'a accès aux informations.
7. Durée de conservation
| Donnée | Durée |
|---|---|
| Adresse email + mot de passe haché | Tant que votre compte existe. Suppression sous 30 jours après votre demande. |
| Sessions actives (JWT) | Maximum 30 jours, renouvelables ; révocables à tout moment via Réglages → Compte → Déconnecter tous les appareils. |
| Logs serveur (IP, requêtes) | 30 jours (rotation automatique Cloudflare) |
| Email envoyés (Resend) | 30 jours (rotation Resend) |
| Tombstones d'essai gratuit | Indéfiniment (voir section 4.3 — vous pouvez demander la suppression) |
8. Vos droits
Conformément au RGPD (UE) et aux législations équivalentes, vous disposez des droits suivants :
- Accès : obtenir une copie de toutes les données vous concernant que nous détenons.
- Rectification : corriger une donnée inexacte.
- Effacement (« droit à l'oubli ») : faire supprimer votre compte et toutes les données associées, y compris les tombstones d'essai.
- Limitation : geler le traitement de vos données.
- Opposition : vous opposer à un traitement fondé sur l'intérêt légitime (ex. : suppression du tombstone d'essai).
- Portabilité : recevoir vos données dans un format réutilisable.
- Plainte : auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
Pour exercer ces droits : écrivez à contact@jolabs40.net depuis
l'adresse email associée à votre compte. Nous répondons sous 30 jours.
Notez que la suppression du compte est définitive et entraîne la perte de votre licence active.
9. Sécurité
Mesures techniques en place :
- Communication chiffrée TLS 1.3 entre l'application et le serveur, avec vérification de l'autorité de certification embarquée (« TLS pinning »).
- Signature HMAC sur chaque requête sensible (
X-App-Sig) pour empêcher l'usurpation par un autre logiciel. - Mots de passe stockés avec bcrypt (coût élevé) — jamais en clair.
- JWT signés Ed25519, expiration courte, révocation côté serveur.
- Anti-tampering local : signature des fichiers d'état pour détecter une manipulation de votre compte par un logiciel tiers sur votre PC.
- Identifiants Xtream chiffrés dans le gestionnaire de secrets natif de l'OS.
Aucun système n'étant inviolable, en cas d'incident affectant vos données nous nous engageons à vous notifier sous 72 heures, conformément au RGPD.
10. Mineurs
HippieTV Desktop n'est pas destiné aux moins de 16 ans. Nous ne
collectons pas sciemment de données d'un mineur de moins de 16 ans. Si
vous estimez qu'un mineur de votre entourage a créé un compte, écrivez
à contact@jolabs40.net pour suppression immédiate.
11. Modifications de cette politique
En cas de modification substantielle, nous vous notifierons par email ou via l'application au moins 30 jours avant l'entrée en vigueur. Les modifications mineures (correction de formulation, mise à jour de références légales) peuvent intervenir sans préavis.
L'historique des versions est consultable sur le dépôt public du site hippietv.app.
12. Contact
- Email :
contact@jolabs40.net - Adresse postale : [À COMPLÉTER avec siège SASU]
Pour les utilisateurs résidant dans l'Union européenne, JOLABS40 est directement soumise au RGPD ; aucun représentant complémentaire dans l'UE n'est désigné.