Dernière mise à jour : mars 2026. Cette politique s'applique au site This is my Flight (www.thisismyflight.com) et à l'ensemble de nos services, dans le respect des lois canadiennes (Loi 25 du Québec, PIPEDA, CASL), américaines (CCPA/CPRA, lois des États), européennes (RGPD) et des normes internationales en matière de protection des données.
1. Responsable du traitement
This is my Flight, exploité par Trente6 AI, est le responsable du traitement des données personnelles collectées via le site et les emails.
Responsable de la protection des données (DPO) : Francis Lévesque — privacy@trente6ai.com
Pour toute question relative à vos données personnelles, vous pouvez contacter le DPO à l'adresse ci-dessus, utiliser le lien « Contact » en bas de page, ou écrire en pied de nos emails.
2. Données collectées
Nous collectons uniquement les données nécessaires au service :
Prénom
Adresse courriel
Préférences (aéroports de départ, régions de destination, seuils de rabais, type de vol)
Langue choisie
Statut d'abonnement (gratuit ou Premium)
Nous ne vendons pas tes données. Nous ne les partageons pas avec des tiers à des fins marketing.
3. Finalités et bases légales
Envoi des alertes vols : exécution du contrat (inscription au service) et, selon la juridiction, consentement (CASL Canada, opt-in).
Gestion du compte et des préférences : exécution du contrat.
Communication (emails transactionnels et newsletters) : consentement et intérêt légitime (RGPD art. 6).
Conformément au RGPD (UE), à la Loi 25 (Québec), au PIPEDA (Canada), au CCPA et lois similaires (USA), nous ne traite tes données que pour ces finalités et avec une base légale appropriée.
4. Durée de conservation
Tes données sont conservées tant que ton compte est actif. Dès que tu demandes la suppression (lien « Supprimer mes données » en bas de chaque email ou page dédiée), nous supprimons ton compte et tes données dans un délai raisonnable (sous 30 jours). Données de facturation Premium : conservées selon les obligations légales (ex. 7 ans si applicable).
5. Tes droits (Canada, USA, UE, international)
Accès et rectification : tu peux consulter et modifier tes préférences via le lien « Mes préférences » envoyé par email ou en demandant un nouveau lien.
Droit à l'effacement : à tout moment, via le lien « Supprimer mes données » en pied d’email ou sur la page supprimer-donnees.html. Suppression définitive du compte et des données.
Portabilité : tu peux exporter tes données dans un format structuré (JSON) depuis ton compte (page « Mes préférences » → Exporter mes données) ou via l'API (/api/me/export). Conformément au RGPD article 20 et à la Loi 25 article 27.
Opposition / limitation : tu peux te désinscrire en supprimant ton compte ou en ne plus ouvrir les emails ; pour une limitation formelle, nous contacter.
Réclamation : au Québec (CA), tu peux déposer une plainte à la CAI ; dans l’UE, auprès de l’autorité de contrôle de ton pays.
6. Cookies et traceurs
Nous utilisons un minimum de cookies ou stockage local :
Préférence de langue : stockée en localStorage pour afficher le site dans ta langue (intérêt légitime).
Consentement cookies : enregistrement de ton choix via le bandeau pour ne pas réafficher la bannière (obligation légale Loi 25/RGPD).
Google Analytics (identifiant : G-EXD7YW19P0) : si tu acceptes les cookies optionnels via le bandeau, Google Analytics collecte des données anonymisées de navigation (pages visitées, durée, appareil). Ces données sont traitées par Google LLC (États-Unis). Google Analytics n’est chargé qu’après ton consentement explicite. Si tu refuses, aucun cookie analytique n’est déposé.
Nous n’utilisons pas de cookies publicitaires ni de cession de données à des régies publicitaires. Tu peux refuser les cookies non essentiels via le bandeau affiché lors de ta première visite, ou révoquer ton consentement à tout moment en supprimant les données localStorage de ton navigateur.
7. Sécurité et sous-traitants
Les données sont chiffrées au repos et en transit (TLS). Nous appliquons les recommandations OWASP Top 10 et effectuons des audits de sécurité réguliers.
Notification de brèche : En cas de violation de données susceptible d’entraîner un risque pour tes droits, nous informerons les autorités compétentes et les personnes concernées dans un délai de 72 heures, conformément au RGPD (art. 33-34), à la Loi 25 et au PIPEDA.
Les données sont hébergées et traitées via les sous-traitants suivants :
Amazon Web Services (AWS) — Hébergement de la base de données (DynamoDB) et du backend applicatif (Lightsail). Région : ca-central-1 (Montréal, Canada). Données hébergées au Canada conformément à la Loi 25. Certifications : SOC 2 Type II, ISO 27001, PIPEDA-compliant. Chiffrement au repos via KMS.
Telnyx — Envoi des alertes SMS pour mistake fares (plan Plus uniquement). Numéro émetteur Canadian local (+1 418). Siège : États-Unis (Chicago). Certifications : SOC 2 Type II, ISO 27001, PCI DSS. Un Data Processing Addendum (DPA) intégrant les clauses contractuelles types est en place. Données transmises : numéro de téléphone (E.164) et contenu du message uniquement. Telnyx respecte automatiquement les mots-clés STOP/UNSUBSCRIBE côté carrier (CASL/TCPA compliance). Politique données Telnyx.
Resend — Service d'envoi d'emails transactionnels et digest. Siège et infrastructure : États-Unis. Certifications SOC 2 Type II + ISO 27001. Un Data Processing Agreement (DPA) est en place (acceptation contractuelle automatique aux Terms Resend). Les emails contiennent uniquement : adresse email destinataire, prénom, contenu deals (préférences voyage). Pour les abonnés européens, transferts US encadrés par les clauses contractuelles types et le EU-U.S. Data Privacy Framework. Liste complète des sous-traitants de Resend (21) — préavis de 14 jours avant tout changement.
Paddle — Facturation et paiements Premium. Siège : Royaume-Uni. Conforme PCI-DSS. Paddle agit en tant que Merchant of Record ; les données de paiement (carte de crédit) sont traitées directement par Paddle et ne sont jamais stockées sur nos serveurs.
Travelpayouts/Aviasales — API moteur de recherche de vols pour la curation des deals. Aucune donnée personnelle d'abonné transmise (uniquement codes IATA d'aéroports).
Sentry — Monitoring d'erreurs serveur. Données IP/email automatiquement scrubées avant envoi (filtre beforeSend). Siège : États-Unis.
Anthropic (Claude) — Outils de développement IA, utilisés exclusivement pour le développement et la maintenance de la plateforme. Siège : États-Unis. Aucune donnée personnelle de client n’est transmise à ce service.
Nous choisissons des acteurs conformes aux normes reconnues (sécurité, confidentialité) et, pour l’UE, des garanties appropriées (clauses contractuelles types ou équivalent) lorsque les données sont traitées hors UE. Pour les transferts vers les États-Unis, nous nous appuyons sur le EU-U.S. Data Privacy Framework lorsqu’applicable. Tu peux retirer ton consentement à tout moment via le lien de désabonnement présent dans chaque email ou en supprimant ton compte (article 5).
8. Juridictions applicables
Cette politique est conçue pour respecter simultanément :
Loi 25 (Québec) — Consentement, droit à l'oubli, notification de brèche, responsable PII désigné (DPO ci-dessus).
PIPEDA (Canada) — Protection des renseignements personnels, consentement éclairé.
RGPD (Union européenne) — Consentement explicite, droit à la portabilité, minimisation des données, notification 72h.
CCPA / CPRA (Californie, USA) — Droit de suppression, droit de savoir, opt-out de la vente de données. Note : nous ne vendons pas de données personnelles.
CASL (Canada) — Consentement exprès pour communications commerciales, mécanisme de désabonnement.
En cas de conflit entre juridictions, la disposition la plus protectrice pour l'utilisateur s'applique.
9. Modifications
Toute modification importante de cette politique sera signalée (email ou avis sur le site). La date « Dernière mise à jour » en tête de page sera actualisée.