1. Introduction
GestureFlow PPT (« nous », « notre », « le service ») est une application web progressive (PWA) qui permet de contrôler des présentations Google Slides par reconnaissance gestuelle, sans contact, via la webcam de l'utilisateur.
La présente politique de confidentialité décrit, en termes clairs, quelles données nous traitons, pourquoi, sur quelle base légale, avec qui elles sont partagées, où elles sont stockées et combien de temps. Elle s'applique à toute personne accédant au service depuis n'importe quel appareil.
2. Responsable du traitement
GestureFlow PPT — Handy Christ TSOKA PEME / HESYD
Contact : handytsoka89@gmail.com
Site web : Page d'accueil GestureFlow PPT
3. Données que nous collectons
Nous appliquons le principe de minimisation : nous ne collectons que ce qui est strictement nécessaire au fonctionnement du service.
3.1 Données de compte (Google OAuth 2.0)
- Adresse email (identifiant unique de connexion)
- Nom et prénom tels qu'exposés par Google
- URL de l'image de profil Google (optionnelle)
- Identifiant Google unique (sub claim) à usage interne
3.2 Données d'usage
- Identifiants des présentations Google Slides ouvertes (pour reprise et historique)
- Statistiques de session anonymisées : nombre de gestes détectés par type, durée totale, nombre de slides parcourues
- Préférences de détection : sensibilité, main dominante, seuils de confiance, thème, langue
- Mappings de gestes personnalisés et raccourcis créés par l'utilisateur
3.3 Données techniques
- Adresse IP (pour la limitation de débit anti-abus uniquement, non journalisée long terme)
- User-Agent du navigateur (pour le diagnostic d'incidents)
- Logs d'erreurs anonymisés via Sentry (pile d'appels, version navigateur — sans contenu personnel)
4. Données que nous ne collectons jamais
- Aucune image, vidéo ou flux audio de votre webcam ou micro n'est transmis à nos serveurs
- Aucun contenu (texte, images, structure) de vos présentations Google Slides
- Aucune donnée de navigation hors de notre application
- Aucune information de paiement (le service est gratuit)
- Aucune donnée biométrique stockée — la détection est éphémère et locale
- Aucun fichier de votre Google Drive n'est lu ou stocké au-delà de la session active
5. Utilisation des API Google et conformité OAuth
GestureFlow PPT utilise les API Google pour permettre la connexion via votre compte Google et l'ouverture de présentations Google Slides. L'usage que nous faisons de ces API respecte la Google API Services User Data Policy, y compris les exigences Limited Use.
5.1 Scopes OAuth demandés
| Scope | Pourquoi |
|---|---|
| openid / email / profile | Authentification de base et identification du compte |
| drive.file | Accès limité aux fichiers Slides explicitement sélectionnés par l'utilisateur — jamais à l'ensemble du Drive |
| presentations.readonly | Lecture seule des slides pour générer les miniatures de navigation |
5.2 Engagement Limited Use
Les données obtenues via les API Google ne sont utilisées que pour fournir et améliorer les fonctionnalités visibles par l'utilisateur. Nous ne les utilisons pas pour entraîner des modèles d'IA généralistes, ne les vendons pas, et n'y permettons pas un accès humain en dehors des cas explicitement autorisés (consentement, conformité légale, sécurité).
6. Traitement local des gestes
La reconnaissance gestuelle s'exécute intégralement dans le navigateur de l'utilisateur grâce à MediaPipe WASM (WebAssembly). Le flux vidéo de la webcam :
- n'est jamais transmis à nos serveurs ni à un tiers ;
- n'est jamais enregistré sur disque ;
- est traité image par image puis immédiatement écarté ;
- ne génère qu'un résultat symbolique (type de geste + score de confiance) qui peut être enregistré sous forme de statistique anonymisée.
7. Finalités et base légale
| Finalité | Base légale (RGPD) |
|---|---|
| Fournir le service de contrôle gestuel | Exécution du contrat (art. 6.1.b) |
| Authentification et sécurité du compte | Intérêt légitime / exécution du contrat |
| Statistiques d'usage anonymisées | Intérêt légitime (art. 6.1.f) |
| Diagnostic d'incidents (Sentry) | Intérêt légitime |
| Limitation de débit anti-abus | Intérêt légitime |
9. Partage et sous-traitants
Nous ne vendons, ne louons et ne partageons jamais vos données à des fins publicitaires. Les seuls partenaires techniques (sous-traitants au sens RGPD) impliqués sont :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Google LLC | OAuth, Slides API, Drive (file scope) | UE / États-Unis |
| Vercel Inc. | Hébergement applicatif | UE / États-Unis |
| Neon (PostgreSQL) | Base de données | UE |
| Supabase | Stockage et auxiliaires applicatifs | UE |
| Sentry | Suivi d'erreurs anonymisé | UE |
10. Transferts internationaux
Lorsque des données transitent vers un pays hors de l'Espace économique européen (par exemple les serveurs Google aux États-Unis), nous nous appuyons sur les Clauses Contractuelles Types approuvées par la Commission européenne et, lorsque applicable, sur la certification EU-US Data Privacy Framework.
11. Durée de conservation
- Données de compte : conservées tant que votre compte est actif. Après suppression, elles sont effacées sous 30 jours, hors obligations légales (logs de sécurité 12 mois max).
- Statistiques de session : conservées 24 mois, puis anonymisées ou supprimées.
- Logs techniques (Sentry) : 90 jours.
- Cookie de session : 30 jours, glissants à chaque connexion.
12. Sécurité des données
- Chiffrement des communications via HTTPS / TLS 1.3
- Cookies de session signés, HttpOnly et SameSite
- Limitation de débit applicative pour prévenir les abus
- Protection CSRF et en-têtes de sécurité (CSP, X-Frame-Options, HSTS)
- Accès aux données personnelles restreint au strict nécessaire
- Audit régulier des dépendances et correctifs de sécurité
Aucun système n'étant infaillible, nous nous engageons à notifier toute violation de données à la CNIL et aux personnes concernées dans les délais prévus par le RGPD (72h).
13. Vos droits (RGPD)
Vous disposez à tout moment des droits suivants :
- Droit d'accès — obtenir une copie des données vous concernant
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement — supprimer votre compte et vos données associées (disponible dans Paramètres → Compte)
- Droit à la portabilité — récupérer vos données dans un format structuré (export JSON disponible dans l'application)
- Droit à la limitation du traitement
- Droit d'opposition au traitement basé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur
Pour exercer ces droits : contactez-nous à handytsoka89@gmail.com. Nous répondons sous 30 jours.
Vous pouvez également révoquer l'accès de GestureFlow PPT à votre compte Google à tout moment depuis myaccount.google.com/permissions.
14. Protection des mineurs
Le service n'est pas destiné aux personnes de moins de 16 ans (15 ans en France selon l'art. 8 de la loi Informatique et Libertés). Si nous apprenons qu'un mineur a créé un compte sans le consentement de ses représentants légaux, nous procéderons à sa suppression.
15. Modifications de la politique
Nous pouvons être amenés à mettre à jour cette politique pour refléter des évolutions légales ou techniques. La version en vigueur est toujours celle publiée sur cette page, avec sa date de dernière mise à jour. Les changements substantiels seront signalés par email ou via une bannière dans l'application.
16. Contact et réclamations
Pour toute question relative à vos données personnelles :
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr/plaintes.
Document complémentaire :