Politique de Confidentialité

Le responsable du traitement des données personnelles collectées via l'application EZPadel est :

• —Identité : Patrice Narozny
• —Statut : Micro-entrepreneur
• —Adresse : 450 route de la porte planche, 27210 Saint-Pierre-du-Val
• —Email : devqwiet@outlook.fr

Nous collectons uniquement les données nécessaires au fonctionnement du service :

• —Compte : email, nom, photo de profil — pour la création et la gestion du compte.
• —Authentification : token OAuth (Google ou Apple uniquement) — aucun mot de passe n'est stocké par EZPadel.
• —Jeu : niveau de jeu, historique de parties, disponibilités — pour la mise en relation entre joueurs.
• —Localisation : coordonnées GPS, uniquement si vous l'autorisez explicitement — pour la recherche de terrains proches. La localisation n'est pas conservée.
• —Messagerie : contenu des messages échangés entre joueurs — pour permettre la communication dans l'application.
• —Notifications : token Firebase Cloud Messaging (FCM) — pour l'envoi de notifications push, uniquement avec votre consentement.

Nous ne collectons aucune donnée dite sensible au sens du RGPD (données de santé, opinions politiques, appartenance syndicale, etc.).

3.1 Exécution du contrat (art. 6.1.b RGPD) — Les traitements suivants sont nécessaires à l'exécution du service auquel vous avez souscrit : gestion de votre compte et authentification, mise en relation avec d'autres joueurs, fonctionnalité de messagerie, amélioration technique du service.

3.2 Consentement (art. 6.1.a RGPD) — Les traitements suivants ne sont réalisés qu'avec votre consentement explicite, recueilli lors de l'utilisation de l'application : accès à votre localisation GPS et envoi de notifications push. Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre appareil ou de l'application, sans que cela n'affecte la licéité des traitements antérieurs.

3.3 Profilage — L'application utilise vos données de jeu (niveau, disponibilités, historique) pour vous suggérer des partenaires de padel compatibles. Cette fonctionnalité constitue un traitement de profilage au sens de l'article 4(4) du RGPD. Ce profilage repose sur la base légale de l'exécution du contrat et ne génère pas de décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD.

• —Données de compte (email, nom, photo) : durée d'activité du compte, puis suppression dans les 30 jours suivant la résiliation.
• —Données de jeu (niveau, historique) : durée d'activité du compte, puis suppression dans les 30 jours suivant la résiliation.
• —Messages entre joueurs : durée d'activité du compte, puis suppression dans les 30 jours suivant la résiliation.
• —Token FCM (notifications) : jusqu'au retrait de votre consentement ou à la suppression du compte.
• —Token d'authentification (Google/Apple) : durée de la session active uniquement, non conservé de façon permanente.
• —Données de localisation GPS : non conservées — traitées en temps réel uniquement.
• —Journaux techniques (logs) : 90 jours glissants.

Vos données personnelles ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent être transmises aux sous-traitants techniques suivants, dans le strict cadre de la fourniture du service :

• —Supabase — hébergement de la base de données — Union européenne — encadré par un DPA conforme RGPD.
• —Firebase (Google LLC) — notifications push — États-Unis — encadré par le EU-US Data Privacy Framework et les clauses contractuelles types.
• —Google LLC — authentification Google — États-Unis — encadré par le EU-US Data Privacy Framework et les clauses contractuelles types.
• —Apple Inc. — authentification Apple — États-Unis — encadré par les clauses contractuelles types approuvées par la Commission européenne.

Des accords de traitement des données (Data Processing Agreements) sont conclus avec chacun de ces sous-traitants conformément à l'article 28 du RGPD.

Certains de nos sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés comme suit :

• —Firebase et Google LLC sont certifiés dans le cadre du EU-US Data Privacy Framework (DPF), décision d'adéquation de la Commission européenne du 10 juillet 2023.
• —Apple Inc. : les transferts sont encadrés par des clauses contractuelles types (SCC) approuvées par la Commission européenne.
• —Supabase : vos données sont hébergées de préférence dans un datacenter situé dans l'Union européenne. Si un transfert hors UE devait intervenir, il serait encadré par des clauses contractuelles types.

Conformément au RGPD, vous disposez des droits suivants :

• —Droit d'accès : obtenir confirmation du traitement de vos données et en recevoir une copie.
• —Droit de rectification : faire corriger des données inexactes ou incomplètes.
• —Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• —Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
• —Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
• —Droit à la limitation : demander la suspension temporaire d'un traitement.
• —Retrait du consentement : retirer votre consentement à tout moment pour les traitements qui en dépendent (localisation, notifications).

Pour exercer l'un de ces droits, adressez votre demande par email à devqwiet@outlook.fr. Nous nous engageons à vous répondre dans un délai d'un mois à compter de la réception de votre demande.

Conformément à l'article 77 du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation.

• —Commission Nationale de l'Informatique et des Libertés (CNIL)
• —3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• —Téléphone : 01 53 73 22 22
• —www.cnil.fr

L'application EZPadel n'utilise pas de cookies de traçage. Elle utilise le stockage sécurisé natif de votre appareil (flutter_secure_storage, qui s'appuie sur le Keychain iOS et le Keystore Android) pour stocker votre jeton de session. Ce mécanisme est strictement nécessaire au fonctionnement du service et ne requiert pas votre consentement.

Ces données de session sont automatiquement supprimées lors de la déconnexion ou de la suppression de l'application.

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• —Chiffrement des communications via HTTPS/TLS.
• —Authentification sécurisée via Google et Apple.
• —Stockage des identifiants de session dans des zones sécurisées de l'appareil.
• —Accès restreint aux données aux seules personnes habilitées.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, l'éditeur notifiera la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et vous en informera dans les meilleurs délais si le risque est élevé.

Pour toute question relative à vos données personnelles ou pour exercer vos droits :

• —Patrice Narozny
• —devqwiet@outlook.fr

La présente politique peut être mise à jour pour refléter les évolutions du service ou de la législation. Toute modification substantielle sera notifiée par email au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en tête du document.