Politique de confidentialité

La protection de vos données personnelles est une priorité pour LOKAL. Cette politique a pour but de vous informer sur la manière dont nous collectons, utilisons et protégeons vos données dans le cadre de l'utilisation du site lokal-app.fr et de l'application mobile LOKAL (iOS et Android).

Dernière mise à jour : 13/05/2026

1. Qui est responsable du traitement ?

Le site lokal-app.fr et l'application mobile LOKAL sont exploités par Maxime Blanchet (SAS LOKAL en cours d'immatriculation, qui reprendra les engagements à compter de son immatriculation), domicilié au 11 rue du Trièves, 38320 Eybens. Contact : maxime.blanchet@lokal-app.fr.

La présente politique couvre à la fois le site web lokal-app.fr et l'application mobile LOKAL (iOS et Android), distribuée sur l'App Store d'Apple et sur le Google Play Store.

2. Quelles données collectons-nous ?

Nous limitons la collecte au strict nécessaire. Selon vos interactions avec le site web ou l'application mobile, nous pouvons traiter :

  • Données d'identification et de contact : nom, prénom, email, téléphone (uniquement si vous nous écrivez, soumettez un formulaire ou créez un compte dans l'application).
  • Contenu de vos messages (si vous utilisez un formulaire ou nous écrivez par email).
  • Données techniques de sécurité : journaux (logs) serveur générés par l'hébergeur (adresse IP, date/heure, URL consultée, user-agent).
  • Données liées à l'application mobile : voir section 9 pour le détail (compte, profil, géolocalisation approximative, photos, notifications push, télémétrie technique d'erreurs).

Aucun cookie ni traceur non essentiel n'est déposé par le site web. Aucun outil d'analytics publicitaire ni de tracking comportemental n'est intégré à l'application mobile.

3. Pourquoi utilisons-nous vos données ? (bases légales)

  • Répondre à vos demandes / contact : intérêt légitime à vous répondre (art. 6-1-f RGPD).
  • Création et gestion de votre compte LOKAL (citoyen, commerçant, ville, admin) : exécution du contrat (art. 6-1-b RGPD).
  • Fonctionnalités optionnelles de l'application (géolocalisation, photos, notifications push) : consentement (art. 6-1-a RGPD), que vous pouvez retirer à tout moment dans les réglages système de votre appareil.
  • Sécurité, prévention des abus et continuité de service (logs techniques, détection d'erreurs) : intérêt légitime (art. 6-1-f RGPD).
  • Obligations légales le cas échéant (conservation de preuves, lutte contre la fraude).

4. Combien de temps les conservons-nous ?

  • Compte utilisateur LOKAL : tant que le compte est actif, puis 3 ans après la dernière connexion à des fins de preuve, puis effacement ou anonymisation.
  • Publications et photos en ligne : tant que la publication est visible ; suppression sous 30 jours après son retrait par l'utilisateur ou la modération.
  • Messages de contact / emails : jusqu'à 3 ans après le dernier échange.
  • Logs techniques : durée strictement nécessaire à la sécurité et au diagnostic (quelques semaines à quelques mois selon paramétrage).
  • Télémétrie d'erreurs (Sentry) : 90 jours.
  • Code OTP temporaire : 10 minutes, puis invalidé automatiquement.
  • Le cas échéant (factures, preuves légales) : durées légales applicables.

5. Qui peut y accéder ? (destinataires et sous-traitants)

Le responsable de traitement et ses prestataires strictement nécessaires, agissant selon nos instructions et sous des garanties RGPD appropriées (DPA et, le cas échéant, Clauses Contractuelles Types). Liste exhaustive :

  • Vercel Inc. (USA) — hébergement du site lokal-app.fr et traitement des logs. DPA Vercel.
  • Resend Inc. (USA) — envoi des emails transactionnels (codes OTP, notifications de service). DPA Resend.
  • Cloudflare Inc. (USA, bucket en région Union européenne) — stockage des photos et médias publiés via Cloudflare R2 (bucket lokal-media) et, le cas échéant, services DNS/CDN. DPA Cloudflare.
  • Functional Software Inc. (Sentry) (USA, région UE configurable) — collecte et analyse des erreurs techniques de l'application. DPA Sentry.
  • Expo Inc. (USA) — relai technique des notifications push vers APNs et FCM. Politique de confidentialité Expo.
  • Apple Inc. (USA) — Apple Push Notification Service (APNs) pour la livraison des notifications sur iOS, distribution de l'app sur l'App Store. Politique de confidentialité Apple.
  • Google LLC (USA) — Firebase Cloud Messaging (FCM) pour la livraison des notifications sur Android, Google Maps Platform pour l'affichage cartographique, distribution de l'app sur Google Play Store. Politique de confidentialité Google.
  • Hébergeur de l'API mobile : VPS personnel localisé dans l'Union européenne (datacenter France ou Allemagne).

6. Où sont traitées les données ? (transferts hors UE)

Nous privilégions l'hébergement et le traitement dans l'Union européenne. Les photos et médias publiés via l'application sont stockés sur Cloudflare R2 dans un bucket région Union européenne. L'API mobile est hébergée sur un VPS situé en France ou Allemagne.

Certains sous-traitants sont établis aux États-Unis (Vercel, Resend, Cloudflare Inc. en tant qu'entité, Sentry, Expo, Google, Apple). Les transferts vers ces destinataires sont encadrés par :

  • les Clauses Contractuelles Types (SCC) de la Commission européenne ;
  • l'adhésion, le cas échéant, au EU-US Data Privacy Framework ;
  • des mesures techniques complémentaires (chiffrement en transit, minimisation des données transmises).

Vous pouvez nous contacter à rgpd@lokal-app.fr pour obtenir copie des garanties applicables.

7. Vos droits RGPD

Vous disposez des droits : accès, rectification, effacement, opposition, limitation, portabilité, et de donner des directives post-mortem.

Vous pouvez également retirer votre consentement à tout moment pour les traitements qui en dépendent (géolocalisation, accès aux photos, notifications push) directement dans les réglages système iOS ou Android, sans que cela n'affecte la licéité du traitement effectué avant ce retrait.

Pour exercer vos droits : rgpd@lokal-app.fr (joindre une preuve d'identité si nécessaire). Nous nous engageons à répondre dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe.

Notification de violation de données : en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures (art. 33 RGPD) et à vous informer sans délai indu en cas de risque élevé (art. 34 RGPD).

Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

8. Cookies et traceurs

Le site lokal-app.fr n'utilise aucun cookie ni traceur non essentiel. Aucun suivi publicitaire, aucun outil d'analytics déposant un cookie.

Seuls des logs techniques peuvent être générés par l'hébergeur pour la sécurité et le bon fonctionnement du site. Ils ne servent à aucun profilage.

9. Application mobile LOKAL

L'application mobile LOKAL est distribuée sur l'App Store (Apple Inc.) et sur le Google Play Store (Google LLC). Elle est conçue pour minimiser la collecte de données. Les traitements spécifiques à l'application sont détaillés ci-dessous.

9.1 Compte utilisateur — authentification par OTP

  • Données : adresse email, code OTP temporaire (6 chiffres, valable 10 minutes).
  • Finalité : créer et authentifier un compte (citoyen, commerçant, ville ou administrateur).
  • Base légale : exécution du contrat (art. 6-1-b RGPD).
  • Conservation : tant que le compte est actif, puis 3 ans après la dernière connexion.
  • Sous-traitant : Resend Inc. (USA) pour l'envoi du mail OTP, sous SCC et DPA ( resend.com/dpa).
  • Sécurité côté appareil : après authentification, un jeton JWT est stocké de façon sécurisée sur l'appareil (Keychain sur iOS, EncryptedSharedPreferences sur Android) via la bibliothèque expo-secure-store.

9.2 Profil utilisateur

  • Données : nom, prénom, type de compte (citoyen, commerçant, ville, admin).
  • Pour les commerçants : nom commercial, adresse de la boutique, téléphone, horaires d'ouverture, description, photos d'équipe (uniquement avec le consentement explicite de chaque membre apparaissant sur les photos).
  • Finalité : afficher les boutiques sur la carte, permettre aux citoyens de suivre leurs commerces favoris, gérer la fiche commerçant.
  • Base légale : exécution du contrat (art. 6-1-b RGPD).
  • Conservation : tant que le compte est actif.

9.3 Géolocalisation (précision approximative)

  • Données : coordonnées GPS approximatives (latitude / longitude) lorsque vous utilisez l'écran « Explorer la carte ».
  • Finalité : afficher les boutiques et points d'intérêt à proximité, recommander la ville active.
  • Base légale : consentement (art. 6-1-a RGPD). Vous pouvez révoquer ce consentement à tout moment dans les réglages système iOS ou Android.
  • Précision et fréquence : localisation « lorsque l'application est utilisée » uniquement, jamais en arrière-plan.
  • Conservation : les coordonnées ne sont pas stockées côté serveur ; elles sont utilisées uniquement en mémoire côté appareil.

9.4 Photos et médias

  • Données : photos prises avec la caméra (publications, photo de profil boutique, photos d'équipe, scanner de QR-code) ou sélectionnées dans la galerie.
  • Finalité : publication de contenu sur le profil de la boutique, identification visuelle, lecture de QR-codes pour les transactions cashback.
  • Base légale : consentement (art. 6-1-a RGPD).
  • Stockage : Cloudflare R2 (bucket lokal-media, région Union européenne) via URLs signées. Sous-traitant : Cloudflare Inc., DPA en place ( cloudflare.com/cloudflare-customer-dpa).
  • Conservation : tant que la publication est en ligne ; suppression effective sous 30 jours après retrait.

9.5 Notifications push

  • Données : jeton APNs (Apple) ou FCM (Google) de l'appareil.
  • Finalité : envoyer des notifications transactionnelles (validation OTP, nouvelle publication d'une boutique suivie, statut d'une demande) et des notifications de votre ville (événements, actualités).
  • Base légale : consentement (art. 6-1-a RGPD), révocable à tout moment dans les réglages système ; exécution du contrat (art. 6-1-b RGPD) pour les notifications strictement transactionnelles.
  • Sous-traitants : Apple Push Notification Service (Apple Inc.), Firebase Cloud Messaging (Google LLC), et Expo Inc. en tant que relai technique ( expo.dev/privacy).
  • Conservation : le jeton est rotaté à chaque réinstallation de l'application et supprimé à la désinstallation.

9.6 Cartographie et points d'intérêt

  • Données : requêtes de tuiles de carte associées à vos coordonnées géographiques (lors de l'affichage d'une carte).
  • Sous-traitant : Google Maps Platform (Google LLC, USA) — affichage des cartes et des marqueurs, soumis aux conditions Google Maps API et SCC ( policies.google.com/privacy).
  • Fallback iOS : l'application peut utiliser Apple Maps comme fournisseur par défaut sur iOS.
  • Sources de points d'intérêt externes : données ouvertes municipales (Mairie d'Arras notamment pour les événements), publiées sous licence Etalab 2.0.

9.7 Télémétrie technique et monitoring d'erreurs

  • Données : logs d'erreurs anonymisés (stack traces, version de l'app, modèle d'appareil et version d'OS, identifiant device anonyme — jamais l'IDFA Apple ni l'AAID Google).
  • Finalité : détecter et corriger les bugs de l'application.
  • Base légale : intérêt légitime (art. 6-1-f RGPD) — assurer la sécurité et la qualité de service.
  • Sous-traitant : Sentry (Functional Software Inc.), configurable en région Union européenne ( sentry.io/legal/dpa).
  • Conservation : 90 jours.
  • Important : aucun tracking publicitaire, aucun analytics comportemental, pas de Google Analytics, pas de Firebase Analytics.

9.8 Données techniques serveur (API mobile)

  • Données : adresse IP, user-agent, horodatage des appels API.
  • Finalité : sécurité, prévention de la fraude, limitation du débit (60 requêtes / minute / IP).
  • Base légale : intérêt légitime (sécurité, art. 6-1-f RGPD).
  • Conservation : quelques semaines (logs rotatés automatiquement).
  • Hébergement : VPS dans l'Union européenne (France ou Allemagne).

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles proportionnées : chiffrement des communications (TLS/HTTPS), contrôle d'accès, journalisation, sauvegardes, stockage des jetons d'authentification dans le coffre-fort sécurisé du système (Keychain iOS / EncryptedSharedPreferences Android) et procédures de réponse aux incidents.

11. Mineurs

L'application LOKAL et le site lokal-app.fr ne sont pas destinés aux enfants de moins de 13 ans. La création d'un compte requiert une adresse email valide : aucun compte ne peut être créé sans cette adresse.

L'application est classée 4+ sur l'App Store et Tout public sur Google Play Store. Si une donnée concernant un mineur de moins de 13 ans nous est transmise par erreur, écrivez-nous à rgpd@lokal-app.fr pour suppression immédiate.

12. Évolutions de cette politique

Nous pouvons mettre à jour la présente politique pour refléter des évolutions légales ou techniques. La date de mise à jour figure en en-tête ; en cas de changement significatif, nous l'indiquerons sur le site et, le cas échéant, dans l'application.

13. Contact

Responsable de traitement : Maxime Blanchet.

Email : maxime.blanchet@lokal-app.fr RGPD : rgpd@lokal-app.fr

Adresse : 11 rue du Trièves, 38320 Eybens.