Politique relative aux cookies

Dernière mise à jour : 9 mai 2026 · Version 1.0

Cette politique décrit les cookies et technologies de stockage similaires utilisés par Ovarli. Elle complète notre Politique de confidentialité.

1. Qu'est-ce qu'un cookie

Un cookie est un petit fichier texte déposé par un site web sur votre navigateur. Le terme « cookie » est employé ici dans son sens large, qui inclut également les technologies équivalentes telles que le localStorage et le sessionStorage du navigateur. Ces mécanismes permettent à un site de mémoriser des informations entre deux visites ou pendant la navigation.

2. Notre approche

Ovarli adopte une approche minimaliste : aucun cookie ni technologie de stockage n'est activé sans nécessité. Aujourd'hui, Ovarli n'utilise aucun outil tiers de mesure d'audience, de marketing ou de suivi publicitaire. La structure de notre bandeau de consentement (Essentiels / Mesure d'audience / Marketing) est mise en place de manière anticipée pour le jour où nous activerions de tels outils, afin de respecter votre choix dès le premier déploiement.

3. Cookies et stockage utilisés aujourd'hui

3.1 Strictement nécessaires (toujours actifs)

Ces éléments sont indispensables au fonctionnement du service. Ils ne peuvent pas être désactivés sans empêcher l'usage normal d'Ovarli. Ils sont fondés sur l'exécution du contrat (article 6 § 1 lettre b RGPD) et n'exigent pas de consentement préalable.

• ovarli_token (cookie HTTP httpOnly, durée 15 minutes) : jeton d'authentification de courte durée qui vous garde connecté pendant la session. Renouvelé automatiquement via le cookie de rafraîchissement ci-dessous.
• ovarli_refresh (cookie HTTP httpOnly, durée 7 jours, chemin /api/auth/refresh) : jeton de rafraîchissement qui permet de prolonger la session sans redemander vos identifiants. Stocké uniquement par le navigateur, jamais accessible au JavaScript de la page.
• ovarli_csrf (cookie HTTP, durée 15 minutes) : jeton de protection contre les requêtes inter-sites (CSRF). Le navigateur l'envoie automatiquement avec chaque requête modifiante et le serveur vérifie la correspondance.
• ovarli_totp_challenge (cookie HTTP httpOnly, durée 5 minutes, chemin /api/auth) : présent uniquement pendant la saisie d'un code 2FA. Identifie le défi en cours pour vérifier votre code à 6 chiffres.
• ovarli_locale (localStorage) : votre langue préférée (FR/EN/DE/IT), partagée entre la landing et l'application.
• ovarli_theme (localStorage) : votre choix de thème clair ou sombre.
• ovarli_cookie_consent (localStorage) : enregistre votre choix de consentement aux cookies pour ne pas vous redemander à chaque visite. Contient les catégories acceptées (Essentiels, Analytics, Marketing), un horodatage et un numéro de version. Si nous modifions notre politique, le numéro de version est incrémenté et votre consentement vous est redemandé.
• bgt_token (localStorage, en cours de retrait) : ancien jeton d'authentification stocké côté navigateur, conservé temporairement pour les sessions ouvertes avant le passage aux cookies httpOnly ci-dessus. Sera supprimé dans une prochaine version.
• Reverse proxy : aucun cookie HTTP n'est posé par notre reverse proxy. Les logs d'accès (adresse IP, user-agent, horodatage, code HTTP) sont conservés 30 jours côté serveur, distincts des cookies navigateur.

3.2 Mesure d'audience (non actif)

Aucun outil d'analytics (Google Analytics, Plausible, PostHog, Matomo, etc.) n'est installé à ce jour. Si nous en activons un dans le futur, son chargement sera strictement conditionné à votre consentement explicite via le bandeau cookies. Cette politique sera alors mise à jour pour détailler le fournisseur, les données collectées, la durée et la base juridique.

3.3 Marketing et publicité (non actif)

Aucun outil de marketing, retargeting ou suivi publicitaire (Meta Pixel, Google Ads, etc.) n'est installé à ce jour, et nous n'avons aucune intention immédiate d'en ajouter. Si cela devait évoluer, votre consentement explicite serait requis avant tout chargement.

3.4 Cookies tiers (limités)

• Google OAuth : si vous choisissez « Continuer avec Google », Google peut poser ses propres cookies sur le sous-domaine accounts.google.com au moment de l'authentification. Ces cookies ne sont pas accessibles à Ovarli et sont régis par la politique de confidentialité de Google.
• Stripe : si la facturation est activée à votre compte, Stripe peut poser ses cookies au moment du checkout. Ces cookies ne sont pas accessibles à Ovarli et sont régis par la politique de confidentialité de Stripe.
• Sentry : Sentry, utilisé pour le suivi des erreurs en production, n'utilise pas de cookies navigateur. Les événements d'erreur sont transmis directement par requête HTTP avec un payload anonymisé (voir Politique de confidentialité, section 5).

4. Comment gérer vos préférences

Vous pouvez consulter et modifier vos préférences à tout moment :

• Lors de votre première visite : un bandeau apparaît en bas de la page avec trois choix : Tout accepter, Tout refuser, Personnaliser. Personnaliser ouvre une fenêtre détaillée par catégorie.
• À tout moment depuis la landing : lien « Préférences cookies » dans le pied de page (section Légal).
• À tout moment depuis l'application : Profil → section « Vie privée » → bouton « Préférences cookies ».
• Via votre navigateur : vous pouvez à tout moment supprimer le localStorage du domaine ovarli.app via les outils de votre navigateur. Cela aura pour effet de vous déconnecter et de vous redemander votre consentement à la prochaine visite.

5. Conséquence d'un refus

Refuser les catégories non essentielles n'altère en rien votre expérience aujourd'hui, puisqu'aucun outil n'est activé dans ces catégories. Refuser les cookies strictement nécessaires (par suppression manuelle dans le navigateur) vous déconnectera et vous obligera à vous reconnecter, sans autre conséquence.

6. Modifications

Nous mettons à jour cette politique en cas d'évolution technique ou légale, notamment lorsque nous activons un nouvel outil. Le numéro de version et la date de dernière mise à jour sont indiqués en haut de cette page. Toute évolution substantielle déclenche une nouvelle demande de consentement via le bandeau.

7. Contact

Pour toute question, écrivez-nous à hello@ovarli.app.

Politique rédigée par l'équipe Ovarli sur la base de la nLPD, du RGPD et de la directive ePrivacy 2002/58/CE. Une révision juridique professionnelle est recommandée avant toute ouverture publique élargie. Pour signaler une imprécision, écrivez à hello@ovarli.app.