Politique de confidentialité

Dernière mise à jour : Mars 2026

PRÉAMBULE

La présente Politique de Confidentialité décrit de manière exhaustive et transparente la façon dont Darras Nicolas, auto-entrepreneur immatriculé sous le numéro SIRET 102 623 865 00015, en qualité de responsable de traitement, collecte, utilise, stocke, protège et supprime les données à caractère personnel des utilisateurs de l’application mobile Poliiish (ci-après « l’Application » ou « Poliiish »).

Cette Politique est établie en conformité avec : - Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données - RGPD) - La Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 - Les recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL)

En utilisant l’Application Poliiish, vous acceptez les pratiques décrites dans la présente Politique de Confidentialité. Si vous n’acceptez pas ces pratiques, veuillez ne pas utiliser l’Application.

Dernière mise à jour : Mars 2026

ARTICLE 1 – RESPONSABLE DE TRAITEMENT

1.1 Identité et coordonnées du responsable de traitement

Le responsable de traitement des données personnelles collectées via l’Application Poliiish est :

Identité : - Nom et prénom : Darras Nicolas - Forme juridique : Auto-entrepreneur / Micro-entreprise (Entreprise Individuelle) - Numéro SIRET : 102 623 865 00015 - Code NAF (APE) : 62.01Z - Programmation informatique - Siège social : 4969 Route de Strasbourg, 69140 Vancia - Email professionnel : contact@poliiish.fr

Régime de TVA : Franchise en base de TVA (article 293 B du Code Général des Impôts)

1.2 Contact pour les questions relatives à la protection des données

Pour toute question concernant le traitement de vos données personnelles, l’exercice de vos droits ou toute demande d’information relative à la présente Politique de Confidentialité, vous pouvez contacter :

Email dédié RGPD : privacy@poliiish.fr Objet du message : « Protection des données » ou « RGPD » Délai de réponse : Maximum 1 mois à compter de la réception de votre demande, conformément à l’article 12.3 du RGPD

1.3 Absence de Délégué à la Protection des Données (DPO)

Conformément à l’article 37 du RGPD, la désignation d’un Délégué à la Protection des Données (DPO) n’est pas obligatoire pour une micro-entreprise qui ne procède pas à un traitement à grande échelle de catégories particulières de données (données sensibles) et qui n’effectue pas de suivi régulier et systématique des personnes à grande échelle.

L’éditeur de l’Application Poliiish remplit lui-même le rôle de point de contact en matière de protection des données personnelles.

Note : Si l’activité de l’Application venait à croître significativement (plus de 100 000 utilisateurs actifs mensuels ou traitement de données sensibles), un DPO pourrait être désigné et ses coordonnées seraient communiquées dans une version actualisée de cette Politique.

ARTICLE 2 – DONNÉES PERSONNELLES COLLECTÉES

L’Application Poliiish collecte différentes catégories de données à caractère personnel, selon les fonctionnalités utilisées et les actions effectuées par l’Utilisateur.

Principe de minimisation : Conformément à l’article 5.1.c du RGPD, seules les données strictement nécessaires aux finalités poursuivies sont collectées. L’éditeur s’engage à ne pas collecter de données excessives ou non pertinentes.

2.1 Données d’identification et d’authentification

a) Données obligatoires lors de la création de compte

Lors de l’inscription sur l’Application, l’Utilisateur doit obligatoirement fournir les informations suivantes :

Adresse email : - Finalité : Authentification, récupération du mot de passe, communications importantes liées au Compte - Format : Adresse email valide (vérification par envoi d’un email de confirmation) - Stockage : Firebase Authentication + Document Firestore users/{userId}.email - Visibilité : Privée (jamais affichée publiquement) - Durée de conservation : Tant que le Compte existe, puis suppression définitive 30 jours après demande de suppression

Mot de passe : - Finalité : Sécurisation de l’accès au Compte - Format : Minimum 8 caractères - Stockage : Haché via algorithme bcrypt dans Firebase Authentication (le mot de passe en clair n’est JAMAIS stocké ni accessible, même par l’éditeur) - Visibilité : Strictement confidentiel - Modification : Possible à tout moment via la fonctionnalité « Modifier le mot de passe »

Pseudonyme (nom d’utilisateur) : - Finalité : Identification publique de l’Utilisateur dans ses Contributions Communautaires - Format : 3 à 20 caractères (lettres, chiffres, tirets, underscores) - Stockage : Firestore users/{userId}.pseudo + version en minuscules pour recherche (pseudo_lowercase) - Visibilité : Publique (affiché sur les Contributions : création de stations, photos, votes) - Unicité : Chaque pseudonyme doit être unique dans l’Application

Identifiant utilisateur unique (UID) : - Nature : Chaîne de caractères alphanumériques générée automatiquement par Firebase Authentication - Finalité : Identification technique interne de l’Utilisateur dans la base de données - Format : Exemple abc123def456... - Visibilité : Publique (présent dans les documents de Contributions pour permettre la traçabilité)

Date de création du compte : - Nature : Timestamp (horodatage) généré automatiquement - Format : ISO 8601 (ex : 2024-01-15T10:30:00Z) - Stockage : Firestore users/{userId}.createdAt - Finalité : Suivi de l’ancienneté du Compte, détection de comptes inactifs

b) Données optionnelles

Date de naissance : - Finalité : Vérification de l’âge minimum requis (16 ans), personnalisation éventuelle de contenus - Format : Date au format AAAA-MM-JJ - Stockage : Firestore users/{userId}.birthdate - Visibilité : Privée - Note : La donnée age (nombre d’années) est DÉPRÉCIÉE et remplacée par birthdate pour plus de précision

Photo de profil : - Finalité : Avatar personnel affiché publiquement sur le profil et les Contributions - Format : JPG, JPEG, PNG, HEIC - Taille maximale : 5 MB par image - Stockage : - URL publique stockée dans Firestore users/{userId}.photoUrl - Fichier image stocké dans Firebase Storage /profile_photos/{userId}/photo.jpg - Date de dernière mise à jour : users/{userId}/profile.photoUpdatedAt - Traitement automatique : - Redimensionnement : 800x800 pixels - Compression : Qualité 85% - Suppression des métadonnées EXIF (notamment GPS) pour protection vie privée - Modération IA : Google Cloud Vision API (Safe Search Detection) - Visibilité : Publique

2.2 Données de rôle et statut

Rôle utilisateur : - Valeurs possibles : user (utilisateur standard), moderator (modérateur), admin (administrateur) - Stockage : Firestore users/{userId}.role + Firebase Custom Claims (pour vérification côté serveur) - Finalité : Détermination des permissions (ex : accès à l’interface de modération) - Modification : Uniquement par un administrateur existant

Statut premium : - Type : Booléen (true / false) - Stockage : Firestore users/{userId}.isPremium - Finalité : Activation de fonctionnalités premium (templates WashCards premium, quotas de stockage étendus) - Note BETA : Fonctionnalité premium NON disponible en version BETA, tous les utilisateurs ont isPremium: false

Véhicule actif : - Type : Identifiant UUID du véhicule sélectionné par défaut - Stockage : Firestore users/{userId}.activeVehicleId - Finalité : Pré-sélection automatique du véhicule lors de l’enregistrement d’un événement de lavage

2.3 Données de réputation et gamification

L’Application intègre un système de gamification visant à encourager les Contributions de qualité. Les données suivantes sont collectées et calculées automatiquement :

Score de réputation : - Type : Nombre entier de 0 à 100 - Calcul : Basé sur le nombre de Contributions approuvées vs rejetées, votes concordants vs discordants, ancienneté - Stockage : Firestore users/{userId}/profile.reputationScore - Finalité : Détermination du niveau de confiance accordé à l’Utilisateur, pondération des votes sur équipements - Visibilité : Publique (affiché sur le profil)

Niveau de réputation : - Valeurs : newcomer (0-25), trusted (26-50), expert (51-75), master (76-100) - Stockage : Firestore users/{userId}/profile.reputationLevel - Finalité : Affichage d’un badge de niveau, influence sur le poids des votes

Statistiques de contributions : - Stockage : Firestore users/{userId}/profile.contributionStats - Données collectées : - totalApproved : Nombre de Contributions approuvées - totalRejected : Nombre de Contributions rejetées - approvalRate : Taux d’approbation (calculé : approved / (approved + rejected)) - lastContributionAt : Date de la dernière Contribution soumise

Badges et points : - Stockage : users/{userId}/badges/{badgeId} et users/{userId}/gamification_stats/stats - Types de badges : Photographer, Creator, Collaborative, Detail Expert, Social Expansion, Accounting Genius - Données par badge : - badgeId : Identifiant du badge - currentLevel : Niveau actuel (1 à 5) - currentProgress : Progression actuelle vers le niveau suivant - targetProgress : Objectif pour débloquer le niveau suivant - totalPoints : Points accumulés - unlockedLevels : Booléens indiquant les niveaux débloqués - lastLevelUnlockedAt : Date du dernier déverrouillage de niveau - Finalité : Encouragement de l’engagement, affichage sur le profil public

2.4 Données de géolocalisation

IMPORTANT : L’Application Poliiish collecte des données de géolocalisation uniquement avec le consentement explicite de l’Utilisateur, conformément à l’article 6.1.a du RGPD.

a) Position GPS actuelle (temps réel)

Nature : Coordonnées géographiques (latitude, longitude) en temps réel Finalité : - Affichage de la position de l’Utilisateur sur la carte interactive - Recherche et affichage des stations de lavage à proximité - Calcul de distance entre l’Utilisateur et chaque station

Consentement : - Demandé au niveau du système d’exploitation (iOS ou Android) - Permissions requises : - iOS : NSLocationWhenInUseUsageDescription + NSLocationAlwaysAndWhenInUseUsageDescription - Android : ACCESS_FINE_LOCATION + ACCESS_COARSE_LOCATION - Message affiché à l’Utilisateur : - iOS : « Cette application a besoin d’accéder à votre position pour afficher votre emplacement sur la carte. »

Stockage : - Position GPS NON stockée de manière permanente dans la base de données Firebase - Utilisation temporaire en mémoire pendant la session active - Cache local (Hive) sur le terminal mobile pour optimisation performances (données supprimées à la fermeture de l’Application)

Révocation du consentement : - Possible à tout moment via les paramètres du terminal mobile - Conséquence : Perte de fonctionnalités (affichage position, recherche à proximité, check-ins)

Base légale RGPD : Consentement (Article 6.1.a)

b) Signaux de présence (check-ins)

Nature : Indication manuelle par l’Utilisateur de sa présence dans une station spécifique Données collectées : - Identifiant de l’Utilisateur (userId) - Identifiant de la station (stationId) - Horodatage (timestamp) du signal de présence

Stockage : Firestore users/{userId}/presence_signals/{stationId} Durée de conservation : Maximum 24 heures, puis suppression automatique Finalité : Affichage sur la carte des avatars des Utilisateurs actuellement présents dans une station (fonctionnalité communautaire) Visibilité : Publique (avatars affichés à tous les Utilisateurs consultant la station) Base légale RGPD : Consentement (Article 6.1.a)

c) Geohash (indexation spatiale)

Nature : Chaîne de caractères représentant une zone géographique approximative Exemple : u09tvw0f Finalité : Optimisation des requêtes de recherche géographique dans Firestore (indexation spatiale pour performances) Stockage : Temporaire, associé aux stations recherchées Base légale RGPD : Intérêt légitime (Article 6.1.f) pour raisons techniques de performance

2.5 Données relatives aux véhicules (garage personnel)

L’Application permet aux Utilisateurs de créer un garage personnel virtuel pour enregistrer les caractéristiques de leurs véhicules.

Stockage : Firestore users/{userId}/vehicles/{vehicleId}

Données collectées par véhicule :

Donnée

Type

Obligatoire

Visibilité

ID véhicule

UUID

Auto-généré

Privée

Marque

Texte

Oui

Privée

Modèle

Texte

Oui

Privée

Année

Nombre

Oui

Privée

Photo du véhicule

URL

Non

Privée

Date de création

Timestamp

Auto

Privée

Traitement des photos de véhicules : - Redimensionnement automatique : 1200x900 pixels - Compression : Qualité 85% - Suppression EXIF (données GPS, appareil photo, etc.) - Modération IA : Google Cloud Vision API

Finalité : - Gestion du garage personnel - Sélection du véhicule lors de l’enregistrement d’événements de lavage - Création de WashCards personnalisées

Visibilité : Strictement privée (jamais partagée avec d’autres Utilisateurs)

Base légale RGPD : Exécution du contrat (Article 6.1.b)

2.6 Historique de lavages (wash events)

L’Application permet aux Utilisateurs d’enregistrer manuellement chaque session de lavage effectuée dans une station.

Stockage : Firestore users/{userId}/washEvents/{eventId}

Données collectées par événement :

Donnée

Type

Finalité

ID événement

UUID

event999...

Identification unique

ID station

UUID

station123...

Référence à la station

Nom station

Texte

Lavage Express

Affichage historique

Date et heure

Timestamp

2024-03-20T15:30:00Z

Chronologie

ID véhicule

UUID

veh456...

Lien avec véhicule lavé

Marque véhicule

Texte

Peugeot

Affichage rapide

Modèle véhicule

Texte

208

Affichage rapide

ID portefeuille

UUID

wallet789...

Suivi budgétaire

Jetons utilisés

Nombre

5

Décompte

Coût encouru

Décimal

2.50

Montant (€)

Finalité : - Historique personnel des lavages - Suivi budgétaire et analyse des dépenses - Statistiques personnelles (fréquence de lavage, coût moyen, stations préférées) - Déblocage du badge “Accounting Genius”

Visibilité : Strictement privée

Base légale RGPD : Exécution du contrat (Article 6.1.b)

Durée de conservation : 3 ans (recommandation pour données comptables personnelles), puis anonymisation ou suppression

2.7 Portefeuilles virtuels (wash wallets)

IMPORTANT : L’Application NE TRAITE AUCUN PAIEMENT RÉEL. Il ne s’agit que d’un système de suivi manuel de crédits prépayés (cartes de lavage, jetons achetés en station). Aucune donnée bancaire (numéro de carte de crédit, IBAN, RIB, coordonnées bancaires) n’est collectée, stockée ou traitée.

Stockage : Firestore users/{userId}/washWallets/{walletId}

Données collectées par portefeuille :

Donnée

Type

Notes

ID portefeuille

UUID

wallet789...

Auto-généré

Nom

Texte

Carte Éléphant Bleu

Choisi par utilisateur

Type

Enum

token ou card

Token = jetons, card = solde

Nombre de jetons

Nombre

20

Type token uniquement

Coût unitaire jeton

Décimal

0.50

Prix par jeton (€)

Solde carte

Décimal

15.00

Type card uniquement (€)

Finalité : Suivi manuel de dépenses de lavage automobile Visibilité : Strictement privée Base légale RGPD : Exécution du contrat (Article 6.1.b)

2.8 Stations favorites

Stockage : Firestore users/{userId}/favorites/{favoriteId}

Données collectées : - ID favori (UUID auto-généré) - ID station (référence) - Nom station - Adresse station - Date d’ajout - Photo station (optionnelle)

Finalité : Accès rapide aux stations préférées de l’Utilisateur Visibilité : Strictement privée Base légale RGPD : Exécution du contrat (Article 6.1.b)

2.9 Photos et médias uploadés

a) Types de photos

L’Application permet l’upload de trois types de photographies :

1. Photos de profil : - Visibilité : Publique - Quota : Comptabilisé dans quota global (10 MB gratuit) - Traitement : Redimensionnement 800x800px, compression 85%, suppression EXIF

2. Photos de véhicules : - Visibilité : Privée - Quota : Comptabilisé dans quota global - Traitement : Redimensionnement 1200x900px, compression 85%, suppression EXIF

3. Photos de stations de lavage : - Visibilité : Publique (Contribution Communautaire) - Quota : Comptabilisé dans quota global - Limite journalière gratuite : 10 photos/jour - Traitement : Redimensionnement 1200x900px, compression 85%, suppression EXIF

b) Métadonnées des photos

Stockage : Collection Firestore photos + Firebase Storage

Donnée

Type

Finalité

ID photo

UUID

photo555...

Identification

Type

Enum

profile, vehicle, station

Catégorisation

ID utilisateur

UUID

user123...

Propriétaire

ID entité

UUID

station123...

Profil/véhicule/station concerné

Chemin stockage

Texte

/station_photos/user123/photo555.jpg

Localisation Firebase Storage

Chemin miniature

Texte

/station_photos/user123/photo555_thumb.jpg

Thumbnail 200x200px

URL publique

URL

https://storage.googleapis.com/...

Téléchargement

Date upload

Timestamp

2024-03-15T09:00:00Z

Historique

Taille fichier

Nombre (octets)

2457600

Quota utilisateur

Compte pour badge

Booléen

true

Photos stations uniquement

Visible

Booléen

false

Masqué si modéré/flaggé

c) Quotas de stockage

Utilisateurs gratuits : 10 MB maximum Utilisateurs premium (non disponible en BETA) : 500 MB maximum

d) Modération automatisée par IA

Service utilisé : Google Cloud Vision API - Safe Search Detection

Analyse automatique pour détecter : - Contenu adulte explicite (nudité, actes sexuels) - Violence graphique - Contenu sexuellement suggestif

Seuils de blocage : - Adult / Violence : LIKELY ou VERY_LIKELY → photo masquée (isVisible: false) - Racy (suggestif) : VERY_LIKELY → photo masquée

Conséquence : Photos masquées automatiquement ne sont pas affichées publiquement et sont soumises à validation manuelle par modérateur humain.

Données partagées avec Google Vision API : - Image uploadée (fichier binaire) - Aucune donnée personnelle identifiante n’est transmise - Google Vision ne conserve pas les images analysées (tier gratuit)

Base légale RGPD : Obligation légale (Article 6.1.c) + Intérêt légitime (Article 6.1.f) pour prévention contenu illicite

e) Suppression EXIF (protection vie privée)

CRITIQUE : Toutes les photos uploadées font l’objet d’une suppression automatique des métadonnées EXIF.

Métadonnées EXIF supprimées : - Coordonnées GPS (latitude, longitude) - Appareil photo utilisé (marque, modèle) - Date et heure de prise de vue - Paramètres de prise de vue (ISO, ouverture, vitesse) - Logiciels de retouche utilisés - Auteur / Copyright

Paramètre : keepExif: false (bibliothèque Flutter Image Picker)

Finalité : Protection de la vie privée (empêcher l’extraction de données de localisation ou d’identification)

2.10 WashCards (cartes de partage personnalisées)

Stockage : Firestore users/{userId}/washCards/{cardId} + Firebase Storage (images générées)

Données collectées :

Donnée

Type

Finalité

ID carte

UUID

card777...

Auto-généré

ID utilisateur

UUID

user123...

Propriétaire

ID station

UUID

station123...

Station associée

Nom station

Texte

Lavage Express

Affichage

URL image générée

URL

https://storage.googleapis.com/...

Image composite finale

Phrase d’accroche

Texte

Ma voiture brille !

Citation utilisateur

ID background

Texte

bg_sunset

Thème de fond choisi

ID template

Texte

template_modern

Template graphique utilisé

Date création

Timestamp

2024-03-20T16:00:00Z

Historique

ID véhicule

UUID

veh456...

Véhicule associé

Templates : - Stockés sur Firebase Storage - Certains marqués isPremium: true (non disponible en BETA)

Analytics templates (données agrégées) : - downloadCount : Nombre de téléchargements - usageCount : Nombre d’utilisations - Événements : sélection, téléchargement, erreurs

Finalité : Création de contenus graphiques partageables sur réseaux sociaux Base légale RGPD : Exécution du contrat (Article 6.1.b)

2.11 Contributions communautaires

Stockage : Firestore users/{userId}/contributions/{contributionId} + collection publique user_contributions

Données collectées par contribution :

Donnée

Type

Finalité

ID contribution

UUID

contrib888...

Identification

ID utilisateur

UUID

user123...

Auteur

ID station

UUID

station123...

Station modifiée/créée

Nom station

Texte

Lavage Express

Affichage

Type contribution

Enum

creation, edit, photo

Nature

Champ modifié

Texte

operator

Pour type edit uniquement

Statut

Enum

approved, pending, rejected

État modération

Points gagnés

Nombre

10

Gamification

Timestamp

Timestamp

2024-03-18T10:30:00Z

Date soumission

Types de contributions trackées : - Création de nouvelle station - Édition d’informations (nom, adresse, opérateur, téléphone, horaires, tarifs, équipements) - Upload de photos de stations - Signalement d’erreurs

Système de modération : - Post-modération (contributions publiées immédiatement, vérifiées ensuite) - Modérateurs/admins approuvent ou rejettent - Historique public dans moderation_history - Notification utilisateur avec raison si rejeté

Visibilité : - Données privées stockées dans users/{userId}/contributions/ (historique personnel) - Données publiques dans user_contributions (affichage communauté, traçabilité)

Base légale RGPD : Exécution du contrat (Article 6.1.b) + Intérêt légitime (Article 6.1.f)

2.12 Contestations de contributions (disputes)

Stockage : Firestore contribution_disputes/{disputeId}

Données collectées :

Donnée

Type

Finalité

ID contestation

UUID

dispute123...

Identification

ID contribution

UUID

contrib888...

Contribution contestée

ID utilisateur

UUID

user123...

Auteur contestation

Raison

Texte

Information incorrecte...

Justification (min. 10 caractères)

Statut

Enum

pending, accepted, rejected

État traitement

Date soumission

Timestamp

2024-03-20T10:00:00Z

Horodatage

Date résolution

Timestamp

2024-03-22T14:00:00Z

Nullable

Résolu par

UUID

admin456...

ID admin/modérateur

Commentaire admin

Texte

Nullable

Règle métier : Seul l’auteur d’une contribution rejetée peut la contester

Visibilité : Données privées (propriétaire + admins uniquement)

Base légale RGPD : Exécution du contrat (Article 6.1.b) - recours utilisateur

2.13 Votes d’équipements (Equipment Ratings)

Système collaboratif permettant aux utilisateurs de voter sur la présence/absence d’équipements dans une station (aspirateur, haute pression, etc.).

Stockage : Firestore equipment_ratings/{equipmentId}

Données collectées (résultats agrégés) :

Donnée

Type

Finalité

ID équipement

Texte

equip_aspirateur_station123

stationId + type

Statut ancrage

Enum

present, absent, unknown

Consensus validé

Est verrouillé

Booléen

true

Consensus atteint

Nb votes positifs

Nombre

12

Votes pro-statut

Éditions en attente

Liste

Votes non agrégés

Dernier éditeur

UUID

user123...

ID dernier votant

Total éditions

Nombre

18

Compteur cumulatif

Historique statuts

Liste

Audit trail

Données des votes individuels (dans pending_edits) : - userId : Identifiant votant - status : Valeur votée - weight : Poids (selon réputation) - timestamp : Date vote

Visibilité : Résultats agrégés publics, votes individuels privés (userId non exposé publiquement)

Base légale RGPD : Exécution du contrat (Article 6.1.b) + Intérêt légitime (Article 6.1.f)

2.14 Notifications in-app

Stockage : Firestore users/{userId}/notifications/{notificationId} + cache local Hive

Données collectées :

Donnée

Type

Finalité

ID notification

UUID

notif999...

Auto-généré

Type

Enum

gamification, moderation, wallet

Catégorie

Catégorie détaillée

Enum

badgeUnlock, photoApproved, etc.

Sous-catégorie

Titre

Texte

Nouveau badge débloqué !

Titre

Corps

Texte

Vous avez débloqué le badge Photographe niveau 2

Message

Métadonnées

JSON

{badgeId: "photographer", badgeLevel: 2}

Contexte

Lu

Booléen

true / false

État lecture

Date création

Timestamp

2024-03-20T14:00:00Z

Horodatage

Date de clic

Timestamp

2024-03-20T14:05:00Z

Interaction

Date expiration

Timestamp

2024-04-20T14:00:00Z

Suppression auto (90j)

Métadonnées possibles : - Badge : badgeId, badgeName, badgeLevel - Contribution : contributionId, stationId, stationName - Photo : photoId - Portefeuille : walletId - Rejet : rejectionReason

Finalité : Communication d’événements importants à l’Utilisateur Durée conservation : Maximum 90 jours Base légale RGPD : Exécution du contrat (Article 6.1.b)

2.15 Préférences utilisateur

Stockage : Firestore users/{userId}/preferences

Préférences de notifications :

Préférence

Type

Défaut

Finalité

Notifications gamification

Booléen

true

Badges/niveaux

Notifications modération

Booléen

true

Modération contenu

Notifications portefeuille

Booléen

true

Événements budgétaires

Notifications déblocage badge

Booléen

true

Nouveaux badges

Notifications approbation photo

Booléen

true

Photos approuvées

Notifications approbation contribution

Booléen

true

Contributions approuvées/rejetées

Notifications lavages terminés

Booléen

true

Confirmations sessions lavage

Finalité : Personnalisation de l’expérience utilisateur Base légale RGPD : Exécution du contrat (Article 6.1.b)

ARTICLE 3 – FINALITÉS DU TRAITEMENT ET BASES LÉGALES

Conformément à l’article 5.1.b du RGPD, les données personnelles ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

3.1 Tableau récapitulatif finalités / bases légales

Finalité du traitement

Données concernées

Base légale RGPD

Gestion des comptes utilisateurs

Email, mot de passe, pseudonyme, date naissance, rôle

Exécution du contrat (Art. 6.1.b)

Authentification et sécurité

Email, mot de passe haché, UID, rôle, custom claims

Exécution du contrat (Art. 6.1.b)

Personnalisation du profil

Photo de profil, préférences, véhicules

Exécution du contrat (Art. 6.1.b)

Géolocalisation et découverte de stations

Position GPS temps réel, signaux de présence, geohash

CONSENTEMENT (Art. 6.1.a)

Contributions communautaires

Infos stations, éditions, photos stations, votes, pseudonyme public

Exécution du contrat (Art. 6.1.b) + Intérêt légitime (Art. 6.1.f)

Gamification et engagement

Badges, points, réputation, statistiques contributions

Intérêt légitime (Art. 6.1.f)

Historique personnel

Wash events, stations favorites

Exécution du contrat (Art. 6.1.b)

Gestion budgétaire

Portefeuilles, jetons, dépenses

Exécution du contrat (Art. 6.1.b)

Modération de contenu

Photos, contributions, analyse IA Google Vision

Obligation légale (Art. 6.1.c) + Intérêt légitime (Art. 6.1.f)

Notifications utilisateur

Préférences notifications, historique notifications

Exécution du contrat (Art. 6.1.b)

Amélioration du service

Analytics templates, logs d’utilisation (agrégés)

Intérêt légitime (Art. 6.1.f)

Support utilisateur

Email, pseudonyme, historique contributions

Exécution du contrat (Art. 6.1.b)

3.2 Détails des bases légales

a) Consentement (Article 6.1.a du RGPD)

Le consentement est requis uniquement pour le traitement des données de géolocalisation GPS.

Conditions du consentement : - Libre : L’Utilisateur peut refuser la géolocalisation sans conséquence sur l’accès aux autres fonctionnalités - Spécifique : Le consentement porte exclusivement sur la géolocalisation, pas sur d’autres traitements - Éclairé : L’Utilisateur est informé de la finalité (affichage position, recherche stations à proximité) et de la durée (temps réel, pas de stockage permanent) - Univoque : Le consentement se manifeste par l’activation explicite des permissions au niveau de l’OS (iOS/Android)

Révocation du consentement : Possible à tout moment via paramètres du terminal mobile (Réglages > Confidentialité > Localisation)

b) Exécution du contrat (Article 6.1.b du RGPD)

La majorité des traitements effectués par l’Application reposent sur cette base légale. Le « contrat » désigne les Conditions Générales d’Utilisation (CGU) acceptées par l’Utilisateur lors de la création de son Compte.

Justification : Ces traitements sont strictement nécessaires pour fournir les services demandés par l’Utilisateur (création de Compte, gestion garage, suivi lavages, contributions, gamification).

c) Obligation légale (Article 6.1.c du RGPD)

Modération de contenu : L’éditeur est soumis à des obligations légales de prévention de la diffusion de contenus illicites (apologie du terrorisme, pédopornographie, incitation à la haine, etc.) conformément à : - Loi n° 2004-575 du 21 juin 2004 pour la Confiance dans l’Économie Numérique (LCEN) - Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

La modération automatisée par IA (Google Vision API) et la modération humaine permettent de respecter ces obligations.

d) Intérêt légitime (Article 6.1.f du RGPD)

Définition : Le responsable de traitement peut fonder certains traitements sur son intérêt légitime, à condition que celui-ci ne porte pas atteinte aux droits et libertés fondamentaux des personnes concernées.

Intérêts légitimes poursuivis : - Gamification : Encourager l’engagement et la qualité des Contributions (intérêt de la communauté) - Amélioration du service : Analytics agrégées sur l’utilisation des templates WashCards (pas de données personnelles identifiantes) - Sécurité et prévention de la fraude : Détection de comportements abusifs (spam, vandalisme) - Modération collaborative : Système de votes communautaires pour auto-correction de la base de données

Test de proportionnalité : L’éditeur a effectué un test de mise en balance entre ses intérêts légitimes et les droits des Utilisateurs, concluant que les traitements fondés sur l’intérêt légitime sont proportionnés et n’entraînent pas d’atteinte disproportionnée à la vie privée.

ARTICLE 4 – DESTINATAIRES DES DONNÉES

Les données personnelles collectées peuvent être transmises à des tiers dans le cadre du fonctionnement de l’Application.

4.1 Services d’infrastructure : Firebase / Google Cloud

Fournisseur : Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis

Services utilisés :

a) Firebase Authentication

b) Cloud Firestore (base de données NoSQL)

c) Firebase Storage

d) Cloud Functions for Firebase

Localisation des données : Les données sont hébergées en région europe-west9 (Paris, France), sur le territoire de l’Union Européenne. Google LLC est basé aux États-Unis mais a signé les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (Décision d’exécution UE 2021/914). Documentation : https://firebase.google.com/support/privacy

4.2 Cartographie : Mapbox

Fournisseur : Mapbox Inc., 740 15th Street NW, 5th Floor, Washington, District of Columbia 20005, États-Unis

Services utilisés : - Mapbox Maps SDK : Affichage de cartes interactives - Mapbox API : Tiles de carte, géocodage

Données traitées : - Coordonnées GPS des stations (données publiques) - Position utilisateur temporaire (pour centrage carte, non stockée par Mapbox)

Transfert hors UE : Oui (États-Unis) Conformité RGPD : Mapbox a mis en place des mécanismes de conformité RGPD (CCT) Politique de confidentialité : https://www.mapbox.com/legal/privacy

4.3 Données géographiques : OpenStreetMap (Overpass API)

Fournisseur : OpenStreetMap Foundation (OSMF), organisation à but non lucratif

Services utilisés : - Overpass API : Récupération de données de stations depuis OSM

Données traitées : - Coordonnées géographiques des zones de recherche (geohash) - Données publiques de stations (nom, adresse, coordonnées)

Transfert de données : - Requêtes API avec coordonnées de zones - Cache des zones synchronisées dans Firestore (osm_zone_cache)

Finalité : Enrichissement automatique de la base de données de stations

Base légale : Intérêt légitime (Article 6.1.f) - amélioration du service avec données publiques

Note : OSM est une base de données collaborative ouverte. Aucune donnée utilisateur personnelle n’est partagée.

4.4 Modération d’images : Google Cloud Vision API

Fournisseur : Google LLC (même que Firebase)

Service : Cloud Vision API - Safe Search Detection

Finalité : Détecter automatiquement le contenu inapproprié dans les photos uploadées

Données traitées : - Images uploadées (fichier binaire) - Analyse pour : contenu adulte, violence, contenu suggestif

Processus : 1. Utilisateur upload photo 2. Photo envoyée à Cloud Vision API (backend Cloud Functions) 3. Analyse Safe Search retourne scores de sécurité 4. Si contenu inapproprié détecté → photo marquée isVisible: false 5. Photo non affichée publiquement, modération manuelle requise

Quotas : Tier gratuit jusqu’à 1000 images/mois

Transfert hors UE : Oui (même que Google Cloud)

Données conservées par Google : Selon politique Google Cloud, pas de stockage permanent des images analysées en tier gratuit

Base légale : Obligation légale (Article 6.1.c) + Intérêt légitime (Article 6.1.f)

4.5 Stockage local (appareil utilisateur)

Hive Database (package Flutter) : - Finalité : Cache local pour fonctionnement hors ligne - Données : Stations récemment consultées, notifications, métadonnées - Localisation : Répertoire application_support de l’appareil - Chiffrement : Hive supporte AES-256 (non activé par défaut) - Suppression : Désinstallation app ou action “Vider le cache”

SharedPreferences (Android) / UserDefaults (iOS) : - Finalité : Stockage clé-valeur simple - Données : Queue uploads, paramètres simples - Localisation : Stockage système OS

Flutter Cache Manager : - Finalité : Cache d’images réseau - Localisation : Cache temporaire appareil - Suppression : Automatique (LRU) ou manuelle

Base légale : Intérêt légitime (Article 6.1.f) - nécessaire au fonctionnement

4.6 Services NON utilisés en version BETA

Pour information, les services suivants ne sont PAS utilisés en version BETA :

❌ Analytics tiers (Google Analytics, Mixpanel, Amplitude) ❌ Paiement (Stripe, PayPal, IAP) ❌ Email transactionnel (SendGrid, Mailgun) ❌ Crash reporting (Crashlytics, Sentry) ❌ Notifications push (Firebase Cloud Messaging) ❌ Réseaux sociaux (login Facebook, Google, Apple) ❌ Publicité (AdMob, Facebook Ads)

Si ces services sont intégrés ultérieurement, la présente Politique sera mise à jour et les Utilisateurs en seront informés au moins 30 jours à l’avance.

ARTICLE 5 – TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE

5.1 Principe général

Le RGPD encadre strictement les transferts de données personnelles en dehors de l’Espace Économique Européen (EEE = UE + Islande, Norvège, Liechtenstein).

Article 44 du RGPD : Un transfert ne peut avoir lieu que si le responsable de traitement respecte les conditions prévues par le RGPD.

5.2 Transferts identifiés

Service

Pays destinataire

Entreprise

Garanties RGPD

Firebase / Google Cloud

États-Unis (serveurs possiblement en Europe selon config)

Google LLC

Clauses Contractuelles Types (CCT) UE

Mapbox

États-Unis

Mapbox Inc.

Clauses Contractuelles Types (CCT)

Google Cloud Vision API

États-Unis

Google LLC

Clauses Contractuelles Types (CCT) UE

5.3 Mécanisme de transfert : Clauses Contractuelles Types (CCT)

Nature : Clauses contractuelles standardisées approuvées par la Commission Européenne (Décision d’exécution UE 2021/914 du 4 juin 2021) garantissant un niveau de protection adéquat des données transférées hors UE.

Google Cloud / Firebase : - Google a signé les CCT UE pour tous ses services cloud - Documentation : https://cloud.google.com/terms/eu-model-contract-clause

Mapbox : - Mapbox a mis en place des CCT conformes RGPD - Documentation : https://www.mapbox.com/legal/privacy

5.4 Mesures complémentaires

Conformément aux recommandations du Comité Européen de la Protection des Données (CEPD) suite à l’arrêt Schrems II (CJUE, 16 juillet 2020), l’éditeur met en œuvre les mesures complémentaires suivantes :

a) Localisation des données : - Firestore : europe-west9 (Paris, France) - Firebase Storage : europe-west9 (Paris, France) - Cloud Functions : Région Europe

b) Chiffrement renforcé : - Chiffrement en transit (HTTPS/TLS 1.2+) - Chiffrement au repos (AES-256) automatique par Google Cloud

c) Minimisation des données : - Seules les données strictement nécessaires sont collectées - Suppression automatique données obsolètes (notifications >90j, signaux présence >24h)

5.5 Information des Utilisateurs

IMPORTANT : En utilisant l’Application Poliiish, vous acceptez que certaines de vos données personnelles puissent être transférées et traitées aux États-Unis par nos prestataires techniques (Google LLC, Mapbox Inc.), dans le respect des garanties offertes par les Clauses Contractuelles Types approuvées par la Commission Européenne.

Si vous ne souhaitez pas que vos données soient transférées hors UE, vous ne devez pas utiliser l’Application.

ARTICLE 6 – DURÉE DE CONSERVATION DES DONNÉES

Conformément à l’article 5.1.e du RGPD (principe de limitation de la conservation), les données personnelles ne sont conservées que pendant la durée strictement nécessaire aux finalités poursuivies.

6.1 Comptes actifs

Durée : Tant que le Compte existe (pas de limite de durée si le Compte est utilisé régulièrement)

Données conservées : - Toutes les données listées à l’Article 2

6.2 Comptes inactifs

Définition : Compte sans aucune connexion pendant 3 ans consécutifs

Procédure : 1. Envoi d’un email de notification 30 jours avant suppression 2. Si pas de connexion dans les 30 jours → suppression automatique du Compte 3. Suppression conforme à la procédure décrite à l’Article 6.3

Finalité : Respect du principe de minimisation RGPD

6.3 Conservation après suppression de compte – DISTINCTION CRITIQUE

Délai de grâce : 30 jours à compter de la demande de suppression (possibilité d’annulation)

Après expiration du délai de grâce :

a) DONNÉES SUPPRIMÉES DÉFINITIVEMENT

Les données suivantes sont SUPPRIMÉES de manière irrévocable :

Données personnelles privées : - Photos profil et véhicules (fichiers Firebase Storage) - Garage personnel (marque, modèle, année véhicules) - Historique lavages (wash events) - Portefeuilles virtuels (wallets) - Stations favorites - Notifications - Préférences - Compte Firebase Authentication (email, mot de passe) - Document utilisateur principal (users/{userId}) - Toutes sous-collections privées - Photos en modération de type profile ou vehicle - Signaux de présence (presence_signals)

b) DONNÉES ANONYMISÉES ET CONSERVÉES

Les données suivantes sont CONSERVÉES mais ANONYMISÉES :

Contributions communautaires : - Informations stations (adresse, équipements, horaires, tarifs) : - Données conservées intégralement - userPseudo → remplacé par "Utilisateur supprimé" - Raison : Préserver intégrité base collaborative

JUSTIFICATION RGPD – Base légale de la conservation :

Cette conservation après suppression de compte est fondée sur :

Article 17.3.e du RGPD : Exception au droit à l’effacement pour « l’exercice du droit à la liberté d’expression et d’information ». - Les Contributions enrichissent un bien commun informationnel accessible au public - Leur suppression porterait atteinte à la liberté d’information des autres Utilisateurs

Article 6.1.f du RGPD : Intérêt légitime du responsable de traitement. - Préservation de l’intégrité de la base de données collaborative - La suppression massive de Contributions détruirait la valeur informative de l’Application

Mesures de protection : - Anonymisation systématique : Pseudonyme remplacé, identification impossible - Absence de données sensibles : Contributions portent sur informations géographiques/commerciales publiques - Caractère factuel : Pas de données sur la vie privée de l’Utilisateur

6.4 Durées spécifiques par type de données

Type de données

Durée de conservation

Justification

Compte utilisateur actif

Illimitée (tant que compte existe)

Nécessaire au service

Compte inactif

3 ans sans connexion → suppression

Minimisation RGPD

Photos uploadées

Tant que compte existe (ou conservation anonymisée pour photos stations)

Contenu utilisateur

Historique lavages

3 ans

Données comptables personnelles

Logs de modération

1 an

Justification décisions, audit

Notifications

90 jours maximum

Puis suppression automatique (expiresAt)

Contributions approuvées

Conservation indéfinie (anonymisée si compte supprimé)

Données publiques communautaires

Position GPS temps réel

Session uniquement (pas de stockage permanent)

Minimisation

Signaux de présence (check-ins)

24 heures

Affichage temps réel uniquement

Cache local (Hive)

Jusqu’à désinstallation ou vidage cache

Performance

ARTICLE 7 – SÉCURITÉ DES DONNÉES

L’éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD.

7.1 Mesures techniques

a) Chiffrement

Chiffrement en transit : - Tous les échanges entre l’Application mobile et les serveurs Firebase utilisent le protocole HTTPS/TLS 1.2+ - Certificats SSL/TLS valides et à jour

Chiffrement au repos : - Chiffrement automatique par Google Cloud / Firebase des données stockées (AES-256) - Bases de données Firestore chiffrées - Fichiers Firebase Storage chiffrés

Mots de passe : - Hachage bcrypt par Firebase Authentication (algorithme adaptatif avec salage) - Mots de passe JAMAIS stockés en clair, même temporairement - Impossibilité pour l’éditeur de récupérer un mot de passe oublié (procédure de réinitialisation par email uniquement)

b) Contrôle d’accès (Firestore Security Rules)

Règles implémentées : - Utilisateurs peuvent lire/écrire uniquement leurs données privées (request.auth.uid == userId) - Profils publics (pseudo, photo) lisibles par tous - Contributions et stations lisibles par tous - Modération et opérations sensibles réservées aux Cloud Functions (vérification côté serveur) - Rôles admin/modérateur vérifiés via Firebase Custom Claims

Exemple de règle :

match /users/{userId} {   allow read: if request.auth != null;   allow write: if request.auth.uid == userId;     match /vehicles/{vehicleId} {     allow read, write: if request.auth.uid == userId;   } }

c) Firebase Storage Rules

d) Protection vie privée images

Suppression EXIF automatique : - Métadonnées GPS supprimées de toutes les photos uploadées - Paramètre : keepExif: false (bibliothèque Flutter Image Picker)

Modération IA : - Google Cloud Vision API (Safe Search Detection) - Détection automatique contenu inapproprié - Photos problématiques masquées automatiquement

7.2 Mesures organisationnelles

a) Accès base de données

b) Logs et surveillance

c) Sauvegarde et résilience

d) Sensibilisation et formation

e) Gestion des incidents

Procédure de notification de violation de données (Article 33 RGPD) : - En cas de violation de données (fuite, accès non autorisé, perte), l’éditeur s’engage à : 1. Notifier la CNIL dans les 72 heures si la violation présente un risque pour les droits et libertés des personnes 2. Notifier les Utilisateurs concernés si la violation présente un risque élevé 3. Documenter la violation dans un registre interne

7.3 Failles potentielles et mesures correctives

⚠️ Points d’attention identifiés :

1. Absence de rate limiting : - Risque : Abus (uploads massifs, spam, attaques par déni de service) - Solution à implémenter : Rate limiting via Cloud Functions ou Firebase App Check

2. Validation côté client : - Risque : Contournement des validations par modification du code client - Solution : Vérifier que validations existent aussi dans Firestore Rules + Cloud Functions

3. Quotas non appliqués strictement : - Risque : Dépassement limite 10 photos/jour pour comptes gratuits - Solution à implémenter : Compteur dans Firestore + Cloud Function trigger

4. Absence de monitoring avancé : - Risque : Détection tardive d’incidents de sécurité - Solution recommandée : Activer Firebase Crashlytics + monitoring Cloud Functions

ARTICLE 8 – VOS DROITS (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez de droits sur vos données personnelles.

8.1 Droit d’accès (Article 15 RGPD)

Définition : Vous avez le droit d’obtenir confirmation que des données vous concernant sont ou ne sont pas traitées, et d’accéder à ces données.

Comment exercer ce droit : - Envoyer une demande par email à privacy@poliiish.fr avec pour objet « Droit d’accès » - Préciser : votre adresse email de Compte + votre pseudonyme - Joindre une pièce d’identité (vérification identité du demandeur)

Réponse de l’éditeur : - Délai : Maximum 1 mois à compter de la réception de la demande (prorogeable de 2 mois si demande complexe) - Format : Export JSON structuré contenant toutes vos données personnelles

Contenu de l’export :

{   "user_profile": {...},   "vehicles": [...],   "wash_events": [...],   "favorites": [...],   "contributions": [...],   "photos": [...],   "badges": [...],   "notifications": [...] }

8.2 Droit de rectification (Article 16 RGPD)

Définition : Vous avez le droit d’obtenir la rectification de données inexactes ou incomplètes vous concernant.

Comment exercer ce droit : - Via l’Application (recommandé) : Menu Paramètres > Profil > Modifier les informations - Par email : Demande à privacy@poliiish.fr en précisant les données à corriger

Données modifiables directement dans l’Application : - Pseudonyme (sous réserve de disponibilité) - Date de naissance - Photo de profil - Véhicules (marque, modèle, année, photo) - Préférences notifications

Données nécessitant une demande par email : - Adresse email (nécessite ré-authentification Firebase)

Délai de réponse : Immédiat (édition dans l’Application) ou 1 mois maximum (demande par email)

8.3 Droit à l’effacement / “droit à l’oubli” (Article 17 RGPD)

Définition : Vous avez le droit d’obtenir l’effacement de vos données personnelles dans certains cas.

Comment exercer ce droit :

Option 1 : Via l’Application (recommandé) ✅ IMPLÉMENTÉ 1. Menu Paramètres > Général > « Supprimer mon compte » 2. Lire avertissement détaillé (3 étapes) 3. Re-authentification avec mot de passe (sécurité) 4. Confirmation délai de grâce 30 jours 5. Possibilité d’annuler pendant 30 jours 6. Suppression définitive automatique après 30 jours (Cloud Function processAccountDeletions exécutée quotidiennement à 2h UTC)

Option 2 : Par email - Email à privacy@poliiish.fr avec pour objet « Suppression de compte » - Préciser : email de Compte + pseudonyme + pièce d’identité

Délai de grâce : 30 jours (annulation possible)

Données SUPPRIMÉES : Voir Article 6.3.a

Données ANONYMISÉES ET CONSERVÉES : Voir Article 6.3.b + justification RGPD

Exception au droit à l’effacement : Les Contributions Communautaires sont conservées de manière anonymisée conformément à l’Article 17.3.e du RGPD (liberté d’expression et d’information).

8.4 Droit à la limitation du traitement (Article 18 RGPD)

Définition : Vous avez le droit d’obtenir la limitation (gel temporaire) du traitement de vos données dans certains cas : - Vous contestez l’exactitude de vos données (pendant vérification) - Le traitement est illicite mais vous préférez une limitation à un effacement - Vous vous opposez au traitement (pendant vérification de l’opposition)

Comment exercer ce droit : - Email à privacy@poliiish.fr avec pour objet « Limitation du traitement » - Préciser la raison de la demande

Conséquence : - Compte « gelé » temporairement - Données conservées mais non utilisées - Pas de suppression définitive

Délai de réponse : 1 mois maximum

8.5 Droit à la portabilité (Article 20 RGPD)

Définition : Vous avez le droit de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

Comment exercer ce droit : - Email à privacy@poliiish.fr avec pour objet « Portabilité des données »

Format fourni : Export JSON structuré (même que droit d’accès)

Périmètre : Uniquement les données que vous avez fournies (pas les données calculées comme le score de réputation)

Délai de réponse : 1 mois maximum

8.6 Droit d’opposition (Article 21 RGPD)

Définition : Vous avez le droit de vous opposer à certains traitements fondés sur l’intérêt légitime.

Traitements concernés : - Gamification (badges, points, réputation) → Vous pouvez demander désactivation - Analytics internes (usage templates) → Vous pouvez vous opposer

Comment exercer ce droit : - Email à privacy@poliiish.fr avec pour objet « Opposition au traitement » - Préciser le traitement concerné

Conséquence : Arrêt du traitement concerné (mais possibilité de continuer à utiliser l’Application)

Délai de réponse : 1 mois maximum

8.7 Droit de retrait du consentement (Article 7.3 RGPD)

Définition : Lorsqu’un traitement est fondé sur votre consentement, vous avez le droit de retirer ce consentement à tout moment.

Traitement concerné : Géolocalisation GPS

Comment exercer ce droit : - iOS : Réglages > Confidentialité et sécurité > Service de localisation > Poliiish > Désactiver - Android : Paramètres > Applications > Poliiish > Autorisations > Localisation > Désactiver

Conséquence : - Perte de fonctionnalités (affichage position, recherche à proximité, check-ins) - Autres fonctionnalités restent accessibles

Délai : Immédiat

8.8 Modalités d’exercice des droits

Contact : privacy@poliiish.fr

Informations à fournir : - Nom, prénom - Adresse email du Compte - Pseudonyme - Nature de la demande (accès, rectification, effacement, etc.) - Pièce d’identité (vérification identité) pour demandes sensibles (accès, effacement)

Gratuité : L’exercice de vos droits est GRATUIT en principe. Toutefois, en cas de demandes manifestement infondées ou excessives (répétées de manière abusive), l’éditeur peut exiger le paiement de frais raisonnables ou refuser de donner suite.

Délai de réponse : Maximum 1 mois à compter de la réception de la demande, prorogeable de 2 mois supplémentaires si nécessaire (complexité, nombre de demandes). Vous serez informé de cette prorogation dans le délai d’1 mois.

8.9 Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles par l’Application Poliiish ne respecte pas la réglementation en vigueur, vous avez le droit d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) :

Commission Nationale de l’Informatique et des Libertés (CNIL) - Site web : https://www.cnil.fr - Formulaire de plainte en ligne : https://www.cnil.fr/fr/plaintes - Adresse postale : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 - Téléphone : 01 53 73 22 22

Recommandation : Avant de saisir la CNIL, nous vous encourageons à nous contacter directement à privacy@poliiish.fr afin de trouver une solution amiable.

ARTICLE 9 – COOKIES ET TECHNOLOGIES DE TRAÇAGE

9.1 Application mobile native – Pas de cookies web

L’Application Poliiish est une application mobile native (iOS et Android), et non un site web accessible via navigateur.

Par conséquent, elle n’utilise PAS de cookies au sens de la Directive ePrivacy (cookies HTTP stockés par un navigateur web).

9.2 Technologies de stockage local utilisées

L’Application utilise des technologies de stockage local intégrées au système d’exploitation mobile :

Hive Database : - Finalité : Cache local pour fonctionnement hors ligne partiel - Données : Stations consultées, métadonnées, préférences - Chiffrement : Supporté (AES-256, non activé par défaut)

SharedPreferences (Android) / UserDefaults (iOS) : - Finalité : Stockage clé-valeur simple - Données : Queue uploads, paramètres

Flutter Cache Manager : - Finalité : Cache d’images réseau - Suppression : Automatique (LRU) ou manuelle

9.3 Exemption de consentement

Ces technologies sont strictement nécessaires au fonctionnement de l’Application et relèvent de l’exemption prévue par l’article 82 de la Loi Informatique et Libertés.

Aucun consentement spécifique n’est requis.

9.4 Absence d’analytics tiers et de publicité

L’Application Poliiish en version BETA n’utilise PAS : - ❌ Services d’analytics tiers (Google Analytics, Mixpanel, Amplitude, etc.) - ❌ Publicité ciblée ou tracking publicitaire - ❌ Cookies de mesure d’audience - ❌ Cookies de réseaux sociaux (Facebook Pixel, etc.)

Note : Si de tels services sont intégrés dans une version future de l’Application, un mécanisme de consentement conforme au RGPD et à la Directive ePrivacy sera mis en place (bannière de consentement au premier lancement avec choix granulaire).

ARTICLE 10 – MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

10.1 Droit de modification

L’éditeur se réserve le droit de modifier à tout moment la présente Politique de Confidentialité, notamment pour : - S’adapter aux évolutions législatives ou réglementaires (RGPD, loi nationale) - Refléter des changements dans les pratiques de traitement des données (nouveaux services tiers, nouvelles fonctionnalités) - Améliorer la clarté et la transparence

10.2 Notification des modifications

En cas de modification substantielle (par exemple : ajout d’un nouveau destinataire de données, changement de finalité, introduction de cookies analytics), l’éditeur s’engage à informer les Utilisateurs par : - Notification in-app au prochain lancement - Email envoyé à l’adresse associée au Compte - Bannière d’information dans l’Application

Délai de notification : Au moins 30 jours avant l’entrée en vigueur des nouvelles dispositions.

10.3 Acceptation des modifications

L’utilisation continue de l’Application après l’entrée en vigueur de la nouvelle Politique vaut acceptation des modifications.

Si vous n’acceptez pas les nouvelles dispositions, vous pouvez supprimer votre Compte conformément à l’Article 8.3.

10.4 Archivage des versions

Les versions antérieures de la Politique de Confidentialité sont archivées et peuvent être consultées sur demande à privacy@poliiish.fr.

ARTICLE 11 – DISPOSITIONS FINALES

11.1 Droit applicable

La présente Politique de Confidentialité est régie par le droit français et interprétée conformément au RGPD et à la Loi Informatique et Libertés.

11.2 Langue

Cette Politique est rédigée en français. En cas de traduction, seule la version française fait foi.

11.3 Contact et assistance

Pour toute question relative à la présente Politique ou au traitement de vos données personnelles :

Email RGPD : privacy@poliiish.fr Délai de réponse : Maximum 1 mois

Dernière mise à jour : Mars 2026 Version : 2.0 BETA

Vous êtes invité à conserver une copie de la présente Politique de Confidentialité pour vos archives personnelles.

En cas de doute sur vos droits ou sur le traitement de vos données, n’hésitez pas à nous contacter à privacy@poliiish.fr.

FIN DE LA POLITIQUE DE CONFIDENTIALITÉ