Se connecterCréer un compte

Politique de confidentialité

Dernière mise à jour : 7 mai 2026

Introduction

La présente politique explique comment Acitify collecte, utilise et protège tes données personnelles dans le respect du RGPD (Règlement UE 2016/679) et de la loi Informatique et Libertés.

Responsable du traitement

Le responsable du traitement est Amine HAFID (éditeur Phase 0, particulier). Le point de contact unique pour toute demande relative aux données personnelles est dpo@acitify.com. dpo@acitify.com

Délégué à la protection des données (DPO)

Amine HAFID assure la fonction de DPO pour Acitify en Phase 0. Toute demande (accès, effacement, rectification, opposition, portabilité, limitation) doit être adressée à dpo@acitify.com. Un accusé de réception est envoyé immédiatement et la demande est traitée dans un délai maximum d'un mois. dpo@acitify.com

Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service : identité (email, nom d'utilisateur, avatar), centres d'intérêt, géolocalisation approximative (ville), date de naissance (pour vérifier l'âge minimum 15 ans — ADR-0008), événements créés et interactions sociales, journaux techniques pour la sécurité.

Chaque traitement repose sur une base légale explicite :

  • Exécution du contrat (Art. 6.1.b RGPD) : création de compte, affichage de la carte, gestion des sorties et de la réputation.
  • Intérêt légitime (Art. 6.1.f RGPD) : sécurité de la plateforme (rate-limiting, anti-abus), modération automatisée, amélioration du service via mesures agrégées.
  • Consentement (Art. 6.1.a RGPD) : cookies analytiques (PostHog), télémétrie erreurs (Sentry), fallback cartographique Stadia Maps. Recueilli via la CMP Axeptio, révocable à tout moment.

Durées de conservation

  • Sessions d'authentification : 30 jours glissants maximum (rotation à chaque requête, invalidation en cascade en cas de réutilisation suspecte).
  • Ledger de réputation (XP, badges) : conservé de manière permanente tant que ton compte est actif, supprimé dans les 30 jours suivant la clôture.
  • Journaux techniques et d'audit : 30 jours de rétention (Better Stack), purgés automatiquement.
  • Audit log applicatif : conservé 12 mois pour détecter les abus et répondre aux autorités, puis anonymisé.

Tes droits (RGPD)

Tu disposes à tout moment des droits suivants, exerçables via les endpoints /api/dsr/* ou par email à dpo@acitify.com :

  • Droit d'accès et à la portabilité (Art. 15 et 20) : export de tes données au format JSON via /api/dsr/export./api/dsr/export
  • Droit à l'effacement (Art. 17) : suppression de ton compte via /api/dsr/delete. Tes données sont effacées sous 30 jours sauf obligation légale de conservation./api/dsr/delete
  • Droit de rectification (Art. 16) : correction d'une donnée inexacte via /api/dsr/rectify./api/dsr/rectify
  • Droit d'opposition (Art. 21) : opposition à un traitement fondé sur l'intérêt légitime via /api/dsr/object./api/dsr/object
  • Droit à la portabilité (Art. 20) : réception de tes données dans un format structuré via /api/dsr/portability. /api/dsr/portability
  • Droit à la limitation (Art. 18) : restriction temporaire du traitement via /api/dsr/restrict./api/dsr/restrict

Chaque demande est notifiée automatiquement et immédiatement au DPO (dpo@acitify.com). Traitement sous un mois maximum.

Transferts hors Union européenne

La quasi-totalité de tes données est traitée et stockée dans l'UE (Neon EU, Cloudflare EU, Upstash EU, PostHog EU). Deux transferts ponctuels hors UE sont encadrés par des Clauses Contractuelles Types (SCC, décision 2021/914) :

  • Stadia Maps (fallback cartographique, États-Unis) — activé uniquement si tu consens aux cookies analytiques et si les tiles Protomaps sont indisponibles. Données transférées : requêtes de tiles, pas de données personnelles directes.
  • OpenAI Moderation (modération texte, États-Unis) — texte des événements et signalements, zéro-rétention, transit uniquement.

Le détail complet des transferts et DPA est documenté dans docs/compliance/transfers.md.

Sécurité

Chiffrement TLS en transit, chiffrement au repos côté fournisseurs, MFA / Passkeys proposé dès l'inscription, rate-limiting multi-niveaux, modération automatisée systématique, audit log applicatif, Row-Level Security Postgres.

Réclamation auprès d'une autorité

Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de toute autre autorité de contrôle compétente dans ton pays de résidence.

Évolutions de la politique

Cette politique peut évoluer. Toute modification substantielle sera notifiée en session et la date de dernière mise à jour mise à jour ci-dessus.