Confidentialite
Ce qu'on sait de toi et pourquoi.
Pas de jargon juridique. Francais clair. Ce qu'on collecte, pourquoi, ce qu'on ne fait jamais - plus un tableau cookies qui te sert vraiment.
Derniere mise a jour : mai 2026
Ce qu'on collecte
Ton e-mail - uniquement si tu t'abonnes.
Pour la coach-mail quotidienne. On le garde jusqu'a ta desinscription. On ne le partage ni ne le vend. Jamais.
Ton pays (toujours) et lat/lon (souvent).
Le pays vient d'une base DB-IP locale sur notre serveur - pas de requete externe, ton IP ne va a aucun tiers. Determine le Celsius ou Fahrenheit et le tri par pays sur /villes. Lat/lon (niveau ville) alimentent la meteo pour que la phrase du coach colle a ce qu'il fait dehors. Les deux derivent de ton IP de visite et ne sont pas conserves longtemps.
Ta position precise - uniquement si tu l'autorises.
Quand tu cliques sur /villes sur 'Utiliser la localisation precise', le navigateur demande la permission. Si tu acceptes, on utilise les coordonnees exactes de ton appareil pour la meteo et pour verifier si on couvre ta ville. Sinon on retombe sur l'estimation IP ci-dessus.
Ton adresse IP - brievement, hachee.
On calcule un hash SHA-256 (16 premiers caracteres) pour limiter les soumissions community, custom-roasts et suggestions de villes. L'IP brute n'est jamais stockee - seulement le hash, et seulement le temps necessaire.
Ce que tu tapes - pour les custom-roasts et lignes community.
Les excuses libres partent chez OpenAI pour moderation et generation. Les contributions community et suggestions de villes restent dans notre base jusqu'a ta demande de suppression ou rejet par un admin.
Anonymous pageviews and clicks — our own counter.
We run our own first-party audience-measurement: pageviews, which excuses are picked, which destinations are shared to, run-commits, subscribes. Stored in our database with route + event-type + country (from local mmdb) + device class + referrer host. No cookie set, no visitor identifier, no PII, no fingerprinting. Falls outside cookie-consent rules per CNIL / DSK / ICO guidance for consent-free first-party analytics. We use it to answer product questions (what works, what gets shared) — not to profile.
Evenements de course anonymes.
Quand tu cliques Yes et t'engages a courir, on enregistre l'instant (horodatage, langue, excuse choisie, ville + temperature + code meteo, hash IP). Alimente le compteur en bas de page et le ticker d'activite. Aucun nom, aucun e-mail associe. Detaille 90 jours, ensuite anonymise.
Un petit set de cookies + localStorage - voir le tableau.
Langue, theme, unites, ton choix cookies et (uniquement avec consentement) Google Tag Manager. Liste complete plus bas.
Qui d'autre voit
Brevo (mail transactionnel).
A l'envoi du daily, Brevo voit ton e-mail et le mail rendu. Serveurs UE, sous-traitant UE.
OpenAI (custom-roasts + moderation + traductions admin).
Quand tu tapes une excuse libre, le texte part chez OpenAI. Pour les traductions IA admin, le texte source part aussi. OpenAI ne conserve pas les requetes API pour l'entrainement, selon leur politique actuelle.
Open-Meteo (meteo + geocodage).
Pour la meteo on envoie lat/lon. Pour la suggestion de ville on geocode le nom tape. Pas de compte, pas de cookie. Serveur en Allemagne.
OpenStreetMap Nominatim (geocodage inverse, opt-in seulement).
Si tu cliques sur /villes sur 'Utiliser la localisation precise' et acceptes la permission navigateur, on envoie lat/lon a Nominatim de l'OSM Foundation pour en faire un nom de ville (ex. 'Lyon'). Service gratuit. Jamais appele sans clic explicite + permission accordee.
Mapbox (images de carte).
Les cartes statiques des pages de ville sont recuperees cote serveur chez Mapbox. Mapbox voit notre IP serveur, pas la tienne. Aucun script de tracking ne se charge dans ton navigateur depuis Mapbox.
Strava (segments de course).
L'API publique de segments de Strava alimente les marqueurs sur /city/[nom]. Notre serveur interroge avec les coordonnees de la ville. Strava voit notre IP serveur et la requete bounding-box, pas ton IP ou ton identite.
Meta (Facebook + Instagram, sortant uniquement).
Quand on poste automatiquement le roast quotidien sur notre page FB et notre compte IG, notre serveur appelle l'API Meta Graph. Aucune donnee visiteur n'est envoyee - uniquement notre texte et notre image carree. Meta ne sait pas qui tu es.
Google Tag Manager + GA4 (analytics, optionnel).
Ne se charge qu'avec ton accord. Pour compter visites et clics et appuyer les decisions produit. Pas de pixels publicitaires.
Notre hebergement (Vultr via Cleavr).
Serveur sur instance Vultr en UE. Logs standard (IP, user agent, URL demandee, horodatage) conserves 7 jours par l'hebergeur pour abuse + uptime.
Quels cookies exactement
On garde cette liste complete et a jour. Si on ajoute quelque chose, la date en haut de cette page change et (si tu as accepte l'analytics) GTM voit un nouveau champ consent_version.
Strictement necessaires
| Nom | Portee | Duree | But |
|---|---|---|---|
| i18n_redirected | Cookie, 1ere partie | 1 an | Memorise ta preference linguistique (en, nl, de, fr, es, it, pt). |
| nobs:theme | localStorage | Jusqu'a effacement | Memorise ton choix clair / sombre / auto. |
| nobs:units | Cookie, 1ere partie | 1 an | Memorise ta preference Celsius/km vs Fahrenheit/miles (ou 'auto'). |
| nobs:consent | localStorage | Jusqu'a effacement ou changement | Stocke ton choix cookies et la version pour ne pas redemander. |
| nobs:pending-run | localStorage | 6 heures, auto-purge | Memorise une course engagee mais pas validee, pour afficher 'toujours en route ?' au retour. |
Statistiques (uniquement avec consentement)
| Nom | Portee | Duree | But |
|---|---|---|---|
| _ga | Cookie, tiers (Google) | 2 ans | ID client Google Analytics. Comptage de visiteurs uniques. |
| _ga_XXXXXXXXXX | Cookie, tiers (Google) | 2 ans | Etat de session Google Analytics 4. |
Combien de temps on garde
E-mail : jusqu'a desinscription (un clic dans chaque daily mail). Evenements de course : 90 jours detailles, puis anonymises (ville + temp vides, ne reste que slug + horodatage pour les stats). Contributions community + suggestions de villes : jusqu'a ta demande de suppression ou rejet. Hashs de rate-limit : 1 heure, glissant. Logs serveur chez Vultr : 7 jours.
Tes droits
Tu peux nous demander de : - Te montrer tout ce qui est lie a ton e-mail ou nom soumis. - Le supprimer. - Te le fournir dans un format portable (on envoie du JSON). - Corriger ou mettre a jour ce qui est faux. - T'opposer au traitement. Reponds a un daily ou ecris a l'adresse plus bas. On essaie de repondre sous 7 jours. Si tu es en UE/EEE/UK et pas satisfait, tu peux saisir ton autorite nationale.
Ce qu'on ne fait jamais
On ne vend pas tes donnees. On ne les partage pas avec des reseaux pub. On ne te profile pas entre sites. On n'utilise pas de dark patterns pour te retenir abonne - chaque mail a un lien desinscription et une page confirmation en un clic, sans compte. On ne fait pas de fingerprinting. Pas de pixel-tracking. Aucun script tiers charge sauf Google Tag Manager, et uniquement avec ton accord.
Enfants
nobs.run s'adresse aux 16 ans et plus. On ne collecte pas sciemment de donnees d'utilisateurs plus jeunes. Si tu penses que c'est arrive - contacte-nous, on supprime.
Transferts internationaux
OpenAI traite les appels API aux Etats-Unis. On s'appuie sur le Data Privacy Framework UE-US pour ce transfert. Brevo et Open-Meteo traitent en UE. Mapbox utilise des serveurs US ; les transferts sont serveur-a-serveur (ton IP n'en fait pas partie). Strava est US ; pareil - serveur-a-serveur, pas ton IP.
Modifications de cette page
Quand on change quelque chose de substantiel, on met a jour la date en haut et (si tu es abonne) on le mentionne dans un daily. L'historique complet vit sur git : github.com/elixermedia/nobsrun.