Politique de confidentialité & RGPD

1. Responsable du traitement

Bordure App est le responsable du traitement de vos données personnelles au sens du RGPD.

Responsable : Bordure App

Contact DPO : privacy@bordure.app

Hébergement données EU : Supabase — Frankfurt, Allemagne

2. Données collectées

Fournies volontairement

Prénom et photo de profil (optionnelle)
Sport(s) pratiqué(s)
Nom et numéro du contact d'urgence
Email ou numéro de téléphone (authentification)

Collectées automatiquement

Position GPS — toutes les 30s en session active, 2 min en stationnaire, 60s en arrière-plan, 10s lors d'une alerte
Horodatage des sessions (début, fin)
Type et statut des alertes SOS déclenchées
Langue, OS, fuseau horaire, UUID appareil, token FCM

NON collectées

Tracé détaillé des parcours (uniquement position courante)
Données de santé ou médicales
Données de paiement (gérées par Apple/Google)

Important : Les données GPS sont effacées ou anonymisées à la fin de chaque session. Bordure ne conserve pas d'historique de vos déplacements.

3. Finalités du traitement

Finalité	Données utilisées
Afficher les sportifs actifs sur la carte	Position GPS, sport, prénom
Envoyer des alertes SOS aux sportifs proches	Position GPS, type alerte, prénom, sport
Notifier le contact d'urgence par SMS	Position GPS, numéro contact urgence
Envoyer les notifications push	Token FCM
Prévenir les abus (fausses alertes)	Historique alertes, UUID
Améliorer le service (analytics agrégés)	Données anonymisées uniquement

4. Base légale des traitements

Exécution du contrat (Art. 6.1.b) — données nécessaires au fonctionnement du service (GPS, profil, alertes)
Consentement (Art. 6.1.a) — localisation en arrière-plan, notifications push, partage de position avec le contact d'urgence. Retirable à tout moment.
Intérêt légitime (Art. 6.1.f) — prévention des abus et sécurité de la plateforme

5. Durée de conservation

Données	Durée
Position GPS en session	Effacée à la fin de la session
Données de profil (compte actif)	Durée de vie du compte
Métadonnées des alertes	12 mois
Logs techniques	90 jours
Après suppression du compte	30 jours (délai légal), puis suppression définitive

6. Partage des données

Avec les autres utilisateurs

En session active, votre prénom, sport et position approximative sont visibles par les utilisateurs actifs dans votre rayon. Ces données ne sont pas communiquées hors des sessions actives.

Avec votre contact d'urgence

Votre contact reçoit un SMS avec votre position uniquement dans les cas prévus (absence de réponse après 10 min, fin de session sans confirmation).

Avec nos sous-traitants

Supabase — hébergement base de données (EU Frankfurt)
Firebase (Google) — notifications push
Mapbox — affichage cartographique (données anonymisées)
Twilio / OVH SMS — SMS d'urgence

Bordure ne vend jamais vos données à des tiers et ne partage aucune donnée individuelle avec des annonceurs.

7. Transferts hors UE

Firebase (Google) peut impliquer un transfert vers les États-Unis pour les notifications push. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne.

Toutes vos données de compte et de position sont hébergées sur des serveurs situés en Europe (Frankfurt, Allemagne).

8. Vos droits

🔍 Accès

Obtenir une copie de toutes vos données

✏️ Rectification

Corriger des données inexactes

🗑️ Effacement

Supprimer votre compte et données en 1 clic dans l'app

⏸️ Limitation

Suspendre temporairement le traitement

📦 Portabilité

Recevoir vos données en format lisible

✋ Opposition

Vous opposer à certains traitements

↩️ Retrait consentement

Retirer un consentement donné à tout moment

🏛️ Réclamation CNIL

Saisir la CNIL si vos droits ne sont pas respectés

Pour exercer vos droits : privacy@bordure.app

Ou dans l'app : Profil → Paramètres → Mes données

Délai de réponse : 30 jours maximum (RGPD Art. 12)

CNIL : cnil.fr/fr/plaintes

9. Sécurité

Communications chiffrées HTTPS / TLS 1.3
Authentification par tokens JWT (expiration automatique)
Row Level Security (RLS) — chaque utilisateur n'accède qu'à ses données
Rate limiting sur les endpoints sensibles
Accès serveur limité aux développeurs autorisés
Logs d'accès conservés 90 jours

En cas de violation de données à risque élevé, vous serez notifié dans les 72h (RGPD Art. 34).

10. Mineurs

Le service est destiné aux personnes de 16 ans et plus. En vous inscrivant, vous certifiez remplir cette condition. Pour signaler un mineur de moins de 16 ans : privacy@bordure.app

11. Modifications

En cas de modification substantielle, vous serez notifié par email ou notification dans l'app au moins 30 jours avant l'entrée en vigueur. La poursuite de l'utilisation vaut acceptation.

12. Contact DPO

DPO : À désigner dès 5 000 utilisateurs actifs

Email : privacy@bordure.app

Autorité de contrôle : CNIL — cnil.fr