Politique de Confidentialité de l'Application Beedr

Date de dernière mise à jour : 11 mars 2026

La présente Politique de Confidentialité décrit la manière dont les données personnelles des utilisateurs de l'application mobile Beedr (ci-après « l'Application ») sont collectées, utilisées, stockées et protégées.

L'Application est éditée par la société Devlab (ci-après « l'Éditeur ») pour le compte de Vetea Faguer (ci-après « le Responsable de traitement »).

Article 1 — Cadre juridique

Le traitement des données personnelles dans le cadre de l'Application est soumis :

• À la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi « Informatique et Libertés »), applicable en Polynésie française en vertu de l'article 72 de ladite loi
• Aux dispositions du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), applicable dès lors que les données sont traitées sur des serveurs situés dans l'Union européenne (Pays-Bas) et que l'Application peut être utilisée par des résidents de l'UE

La Polynésie française, en tant que collectivité d'outre-mer au sens de l'article 74 de la Constitution, est soumise à la loi Informatique et Libertés. La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle compétente.

Article 2 — Données personnelles collectées

2.1 — Données fournies directement par l'utilisateur

Selon le profil de l'utilisateur (Participant, Organisateur ou Administrateur), les données suivantes peuvent être collectées :

Participant :

• Adresse email
• Mot de passe (stocké sous forme de hachage cryptographique, jamais en clair)
• Prénom et nom
• Date de naissance
• Genre (masculin, féminin, autre)
• Numéro de téléphone (facultatif)
• Ville et pays de résidence
• Photo de profil (facultatif)

Organisateur :

• Adresse email
• Mot de passe (stocké sous forme de hachage cryptographique)
• Nom de l'organisation
• Type d'organisation (entreprise, association, institution, collectif, autre)
• Adresse complète (rue, ville, pays)
• Numéro de téléphone
• Description de l'organisation
• Photo de profil et photo de bannière (facultatif)
• Liens vers les réseaux sociaux (Facebook, Instagram, site web — facultatif)

Administrateur :

• Adresse email
• Mot de passe (stocké sous forme de hachage cryptographique)
• Nom (facultatif)

2.2 — Données collectées via l'authentification sociale

Lorsque l'utilisateur s'inscrit ou se connecte via un service tiers (Google, Apple, Facebook ou Microsoft), les données suivantes peuvent être transmises par le fournisseur d'identité :

• Adresse email
• Identifiant unique du fournisseur (ID utilisateur Google, Apple, Facebook ou Microsoft)
• Prénom et nom (si disponibles)

Aucun mot de passe du service tiers n'est collecté ni stocké par l'Application.

2.3 — Données collectées automatiquement

Données de géolocalisation :

• Coordonnées GPS (latitude et longitude) lorsque l'utilisateur autorise la géolocalisation
• Ville déterminée par géocodage inversé
• Ces données sont utilisées en temps réel pour l'affichage et le calcul de distances, et ne font pas l'objet d'un historique de déplacement

Données techniques :

• Jetons d'appareil (device tokens) pour l'envoi de notifications push, associés à la plateforme (iOS ou Android)
• Date de création et de dernière utilisation du jeton d'appareil

2.4 — Données générées par l'utilisation de l'Application

Interactions avec les événements :

• Type d'interaction (Favori, J'y vais, Pas intéressé)
• Partages d'événements
• Date de chaque interaction

Système de gamification :

• Solde de Beedr Coins
• Historique de complétion des défis (quotidiens et ponctuels)
• Nombre de participations aux concours

Avis et commentaires :

• Notes attribuées aux organisateurs (1 à 5 étoiles)
• Commentaires rédigés
• Date de création et de modification

Abonnements :

• Liste des organisateurs suivis
• Date de chaque abonnement

Notifications :

• Historique des notifications reçues (type, titre, message)
• Statut de lecture

Article 3 — Finalités du traitement

Finalité	Base légale	Données concernées
Création et gestion du compte utilisateur	Exécution du contrat (CGU)	Email, mot de passe, profil
Découverte d'événements à proximité	Consentement (géolocalisation)	Coordonnées GPS
Affichage des événements sur la carte	Consentement (géolocalisation)	Coordonnées GPS
Calcul de la distance aux événements	Consentement (géolocalisation)	Coordonnées GPS
Personnalisation de l'expérience	Intérêt légitime	Interactions, préférences
Gestion du système de gamification	Exécution du contrat	Solde Coins, défis complétés
Gestion des concours	Exécution du contrat	Participations, Coins dépensés
Envoi de notifications push	Consentement	Jetons d'appareil
Communication par email	Exécution du contrat	Adresse email
Publication et gestion d'événements	Exécution du contrat	Informations événement, profil organisateur
Modération des contenus et avis	Intérêt légitime	Avis, commentaires, contenus publiés
Statistiques et analyse de fréquentation	Intérêt légitime	Données agrégées et anonymisées
Sécurité et prévention des fraudes	Intérêt légitime	Données de connexion, comportement d'usage

Article 4 — Destinataires des données

4.1 — Accès interne

Les données personnelles sont accessibles :

• À l'équipe technique de Devlab, en qualité de sous-traitant, pour la maintenance et l'exploitation de l'Application
• À Vetea Faguer, en qualité de responsable de traitement, pour la gestion de la plateforme
• Aux administrateurs de l'Application, dans le cadre de leurs fonctions de modération et de supervision

4.2 — Données visibles par les autres utilisateurs

Participants :

• Prénom (visible des organisateurs dans la liste des participants à un événement)
• Photo de profil (si renseignée)
• Avis et notes publiés sur les organisateurs

Organisateurs :

• Nom de l'organisation, type, description, localisation
• Photos (profil et bannière)
• Liens vers les réseaux sociaux
• Statistiques publiques (note moyenne, nombre d'avis, nombre d'abonnés, nombre d'événements)
• Liste des événements publiés

4.3 — Sous-traitants et services tiers

Sous-traitant	Service	Données transmises	Localisation
Railway	Hébergement serveur et base de données	Toutes les données stockées	Pays-Bas (UE)
Amazon Web Services (AWS S3)	Stockage de fichiers (photos)	Photos de profil, photos d'événements	Pays-Bas (UE)
Resend	Envoi d'emails transactionnels	Adresse email, contenu de l'email	États-Unis
Expo	Envoi de notifications push	Jetons d'appareil, contenu de la notification	États-Unis
Google (OAuth)	Authentification sociale	Jeton d'authentification, email, identifiant	États-Unis
Apple (Sign in with Apple)	Authentification sociale	Jeton d'authentification, email, identifiant	États-Unis
Facebook / Meta (OAuth)	Authentification sociale	Jeton d'authentification, email, identifiant	États-Unis
Microsoft (OAuth)	Authentification sociale	Jeton d'authentification, email, identifiant	États-Unis

Chaque sous-traitant s'engage à traiter les données conformément aux réglementations en vigueur et aux instructions de l'Éditeur.

4.4 — Transferts hors de l'Union européenne

Les données hébergées aux Pays-Bas (UE) bénéficient du cadre de protection du RGPD. Certaines données sont toutefois transférées vers les États-Unis dans le cadre des services d'authentification sociale (Google, Apple, Facebook, Microsoft), d'envoi d'emails (Resend) et de notifications push (Expo).

Ces transferts sont encadrés par :

• Le Data Privacy Framework (DPF) UE-États-Unis pour les entreprises certifiées (Google, Apple, Meta, Microsoft)
• Les clauses contractuelles types de la Commission européenne pour les autres sous-traitants
• Les politiques de confidentialité des sous-traitants concernés

Article 5 — Durée de conservation des données

Type de données	Durée de conservation
Données du compte (profil, email)	Durée de l'inscription, supprimées à la clôture du compte
Mot de passe (hachage)	Durée de l'inscription, supprimé à la clôture du compte
Interactions avec les événements	Durée de l'inscription, supprimées à la clôture du compte
Avis et commentaires	Anonymisés après suppression du compte
Données de géolocalisation	Temps réel uniquement, non conservées
Jetons d'appareil (notifications)	Jusqu'à révocation ou détection d'invalidité
Beedr Coins et défis	Durée de l'inscription, supprimés à la clôture du compte
Participations aux concours	Durée de l'inscription, supprimées à la clôture du compte
Jetons de vérification / réinitialisation	Quelques heures (expiration automatique)
Logs applicatifs	Quelques jours (politique de rétention de l'hébergeur)

Aucune suppression automatique de compte pour inactivité n'est appliquée. Les données sont conservées tant que le compte est actif.

À la clôture du compte, les données sont supprimées ou anonymisées de manière irréversible, à l'exception des données dont la conservation est imposée par une obligation légale.

Article 6 — Sécurité des données

6.1 — Mesures techniques

• Chiffrement des mots de passe par algorithme bcrypt (hachage irréversible)
• Hachage SHA-256 des jetons de vérification et de réinitialisation stockés en base de données
• Communication chiffrée via HTTPS/TLS pour toutes les transmissions de données
• Limitation du débit des requêtes API (100 requêtes par minute)
• Contrôle d'accès basé sur les rôles (RBAC)
• Validation des jetons OAuth (vérification de l'audience/client ID)
• Stockage sécurisé du jeton d'authentification sur l'appareil mobile
• Jetons JWT avec expiration configurable
• Suppression automatique des jetons d'appareil invalides
• Hébergement au sein de l'Union européenne (Pays-Bas)

6.2 — Mesures organisationnelles

• Accès aux données de production restreint au personnel technique habilité de Devlab
• Séparation des environnements (développement, prévisualisation, production)
• Protection de l'interface d'administration par authentification

Article 7 — Droits des utilisateurs

Conformément à la loi Informatique et Libertés et au RGPD, l'utilisateur dispose des droits suivants :

7.1 — Droit d'accès

L'utilisateur peut demander la communication de l'ensemble des données personnelles le concernant détenues par l'Application.

7.2 — Droit de rectification

L'utilisateur peut demander la correction de données personnelles inexactes ou incomplètes. La modification du profil est également possible directement dans l'Application.

7.3 — Droit à l'effacement (« droit à l'oubli »)

L'utilisateur peut demander la suppression de ses données personnelles. La suppression du compte entraîne :

• La suppression de l'ensemble des données du profil
• La suppression des interactions, participations aux concours et solde de Beedr Coins
• L'anonymisation des avis publiés (le contenu est conservé sans lien avec l'identité de l'auteur)
• La suppression des jetons d'appareil et des notifications associées

Certaines données peuvent être conservées au-delà de la suppression du compte lorsque la loi l'exige (obligations légales, contentieux en cours, etc.).

7.4 — Droit d'opposition

L'utilisateur peut s'opposer au traitement de ses données personnelles pour des motifs légitimes, notamment :

• S'opposer à l'utilisation de ses données à des fins de statistiques
• Retirer son consentement à la géolocalisation via les paramètres de son appareil
• Désactiver les notifications push via les paramètres de son appareil

7.5 — Droit à la limitation du traitement

L'utilisateur peut demander la limitation du traitement de ses données dans les cas prévus par la réglementation.

7.6 — Droit à la portabilité

L'utilisateur peut demander à recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine.

7.7 — Exercice des droits

Pour exercer l'un de ces droits, l'utilisateur peut adresser sa demande :

L'Éditeur s'engage à répondre dans un délai de trente (30) jours. Un justificatif d'identité pourra être demandé.

7.8 — Réclamation auprès de l'autorité compétente

Article 8 — Cookies et traceurs

L'Application mobile n'utilise pas de cookies au sens des navigateurs web.

L'Application utilise les technologies de stockage local suivantes :

• AsyncStorage (React Native) : préférences de l'utilisateur et état de l'application
• Expo Secure Store : stockage sécurisé du jeton d'authentification

Ces stockages locaux sont strictement nécessaires au fonctionnement de l'Application et ne font l'objet d'aucun partage avec des tiers.

Aucun service d'analyse comportementale (analytics), de suivi publicitaire (tracking) ou de profilage publicitaire n'est intégré à l'Application.

Article 9 — Données des mineurs

L'Application est destinée aux personnes âgées d'au moins 13 ans. Aucune collecte intentionnelle de données de mineurs de moins de 13 ans n'est réalisée.

Pour les utilisateurs âgés de 13 à 16 ans, le consentement d'un représentant légal peut être requis conformément à la réglementation applicable.

Si l'Éditeur venait à avoir connaissance de la collecte de données d'un mineur de moins de 13 ans, les données concernées seraient supprimées dans les plus brefs délais.

Article 10 — Données de géolocalisation

10.1 — Collecte

Les données de géolocalisation ne sont collectées qu'avec le consentement explicite de l'utilisateur (autorisation de type « en cours d'utilisation » uniquement).

10.2 — Utilisation

• Afficher les événements à proximité de l'utilisateur
• Calculer la distance entre l'utilisateur et chaque événement
• Centrer la carte interactive sur la position de l'utilisateur

10.3 — Non-conservation

Les coordonnées GPS ne sont pas stockées en base de données. Elles sont utilisées en temps réel et ne sont pas conservées au-delà de la session.

10.4 — Valeur par défaut

En l'absence d'autorisation, l'Application utilise une position par défaut (Papeete, Tahiti).

10.5 — Révocation

L'utilisateur peut révoquer l'autorisation à tout moment via les paramètres de son appareil.

Article 11 — Notifications push

11.1 — Collecte des jetons

Lorsque l'utilisateur autorise les notifications push, un jeton d'appareil unique est enregistré et associé à son compte.

11.2 — Données transmises

Lors de l'envoi d'une notification, les données suivantes sont transmises au service Expo Push :

• Le jeton d'appareil du destinataire
• Le titre et le contenu de la notification
• Des données contextuelles (identifiant de l'événement, type de notification)

11.3 — Révocation

L'utilisateur peut désactiver les notifications à tout moment via les paramètres de son appareil. Les jetons invalides sont automatiquement supprimés.

Article 12 — Authentification sociale

12.1 — Données échangées

• Un jeton d'authentification temporaire (validé côté serveur puis supprimé)
• L'adresse email associée au compte du fournisseur
• L'identifiant unique du fournisseur

12.2 — Données non collectées

• Le mot de passe du compte social
• La liste d'amis ou de contacts
• Les publications, photos ou messages du réseau social
• Les données de navigation sur le réseau social

12.3 — Dissociation

L'utilisateur peut dissocier son compte social en ajoutant un mot de passe à son compte Beedr et en révoquant l'accès depuis les paramètres du fournisseur d'identité.

Article 13 — Modification de la Politique de Confidentialité

La présente Politique peut être modifiée à tout moment. En cas de modification substantielle, l'utilisateur sera informé par notification dans l'Application.

La version en vigueur est celle accessible dans l'Application et à l'adresse /legal/privacy.

Article 14 — Contact