Politique de confidentialité

Dernière mise à jour : [À COMPLÉTER — date de mise en ligne]

Oniva SAS, en tant que responsable de traitement, attache une importance fondamentale à la protection de vos données personnelles. La présente politique décrit les données que nous collectons, la manière dont nous les utilisons, et les droits dont vous disposez conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Qui sommes-nous ?

Responsable de traitement :
Oniva SAS
[À COMPLÉTER — adresse]
Email : [email protected]

Délégué à la Protection des Données (DPO) : [À COMPLÉTER — nom ou mention "En cours de désignation"]

2. Quelles données collectons-nous ?

2.1 Données fournies volontairement par l'utilisateur

Lors de la création de votre compte et de l'utilisation de l'application, nous collectons :

Catégorie	Données collectées	Obligatoire
Identité	Prénom, adresse email ou numéro de téléphone	Oui
Authentification	Identifiant Google ou Apple (via OAuth 2.0)	Non (alternative)
Profil famille	Prénoms et années de naissance des enfants, centres d'intérêt	Non (améliore la personnalisation)
Préférences	Catégories d'activités, rayon de recherche, budget maximum	Non
Accessibilité	Besoins d'accessibilité spécifiques	Non (si renseigné)
Notifications	Préférences push (activées/désactivées, heures de silence)	Non

Note importante concernant les données enfants : Les prénoms et années de naissance des enfants sont utilisés exclusivement pour personnaliser les recommandations d'activités par tranche d'âge. Ces données ne sont jamais utilisées à des fins commerciales, ne sont jamais partagées avec des tiers, et ne sont jamais associées à un profil publiquement accessible.

2.2 Données collectées automatiquement

Catégorie	Données collectées	Finalité
Géolocalisation	Coordonnées GPS (uniquement avec votre consentement explicite)	Affichage des événements à proximité, sortie express
Interactions	Événements consultés, sauvegardés, ignorés, partagés	Personnalisation de votre sélection d'événements
Données techniques	Identifiant appareil, version OS, version app, type de connexion	Débogage, statistiques d'utilisation
Journaux d'accès	Adresse IP, horodatage des connexions	Sécurité, détection des fraudes

2.3 Données des organisateurs

Les organisateurs enregistrés sur l'espace dédié (panel.onivapp.com) fournissent en outre :

• Raison sociale, SIRET, adresse professionnelle
• Informations bancaires (gérées exclusivement par Stripe, Inc. — Oniva SAS ne stocke jamais vos coordonnées bancaires)
• Données statistiques sur leurs événements (vues, sauvegardes, mesure des réservations)

3. Sur quelles bases légales traitons-nous vos données ?

Traitement	Base légale RGPD
Création et gestion du compte	Exécution du contrat (art. 6.1.b)
Personnalisation de la sélection d'événements	Consentement explicite collecté à l'inscription (art. 6.1.a)
Géolocalisation	Consentement explicite, révocable à tout moment (art. 6.1.a)
Envoi de notifications push	Consentement explicite (art. 6.1.a)
Statistiques d'usage anonymisées	Intérêt légitime (art. 6.1.f)
Facturation organisateurs	Exécution du contrat (art. 6.1.b)
Sécurité et journaux d'accès	Obligation légale + intérêt légitime (art. 6.1.c/f)
Données statistiques (PostHog)	Consentement ou intérêt légitime selon configuration

4. Comment utilisons-nous vos données ?

4.1 Fourniture du service — Afficher une sélection d'événements personnalisée, proposer le programme du week-end, permettre la sortie express, envoyer des notifications pertinentes (maximum 3 par jour, aucune entre 22h et 8h).

4.2 Amélioration du service — Affiner l'algorithme de recommandation, détecter les anomalies (Sentry), analyser les usages agrégés et anonymisés (PostHog).

4.3 Gestion de la relation — Répondre au support, informer des évolutions, gérer votre compte.

4.4 Ce que nous ne faisons jamais — Vendre vos données, afficher des publicités ciblées, partager votre profil ou celui de vos enfants avec des organisateurs ou annonceurs, utiliser vos données à des fins de profilage commercial non déclaré.

5. Avec qui partageons-nous vos données ?

Oniva SAS peut partager des données avec les sous-traitants suivants, strictement dans le cadre des finalités décrites :

Sous-traitant	Pays	Rôle	Garanties RGPD
Hetzner Online GmbH	Allemagne / Finlande (UE)	Hébergement serveurs	Contrat DPA, données en UE
Cloudflare, Inc.	USA (données stockées en EU)	Stockage médias (R2) + CDN	Clauses contractuelles types CE
Stripe, Inc.	USA	Paiement organisateurs	Clauses contractuelles types CE
Google (Firebase)	USA	Notifications push (FCM)	Clauses contractuelles types CE
PostHog, Inc.	USA / auto-hébergé EU	Statistiques anonymisées	Configuration RGPD ou auto-hébergement EU
Sentry, Inc.	USA	Suivi d'erreurs techniques	Clauses contractuelles types CE
[LLM Provider — À COMPLÉTER]	[À COMPLÉTER]	Enrichissement IA des descriptions	[À COMPLÉTER]

Aucune de ces données n'est utilisée par nos sous-traitants à leurs propres fins commerciales.

6. Durées de conservation

Catégorie de données	Durée de conservation
Données de compte actif	Durée de vie du compte + 3 ans
Données de compte supprimé	30 jours après suppression, puis purge complète
Journaux d'accès (sécurité)	12 mois
Données d'interactions (sélection personnalisée)	24 mois glissants
Données de facturation (organisateurs)	10 ans (obligation légale comptable)
Données statistiques anonymisées	Indéfiniment (non personnellement identifiables)

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit	Description	Comment l'exercer
Droit d'accès	Obtenir une copie de toutes vos données	Paramètres > Confidentialité > Télécharger mes données
Droit de rectification	Corriger des données inexactes	Paramètres > Mon profil
Droit à l'effacement	Supprimer votre compte et toutes vos données	Paramètres > Confidentialité > Supprimer mon compte
Droit à la portabilité	Recevoir vos données dans un format structuré	Email à [email protected]
Droit d'opposition / limitation / retrait du consentement	Vous opposer, limiter ou révoquer un traitement	Paramètres > Confidentialité ou email à [email protected]

Délai de réponse : Nous répondons à toute demande dans un délai maximum de 30 jours.

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : https://www.cnil.fr/fr/plaintes

8. Cookies et traceurs

L'application mobile Oniva n'utilise pas de cookies au sens technique du terme. Elle utilise des identifiants techniques persistants (stockage local) pour : token d'authentification JWT, préférences utilisateur, identifiant PostHog (anonymisé), identifiant Firebase (FCM token).

Site web Oniva (onivapp.com) : Le site web peut utiliser des cookies techniques et des cookies de mesure d'audience (statistiques de fréquentation). Un bandeau de consentement conforme à la recommandation CNIL de 2020 est affiché lors de la première visite.

9. Mineurs

L'application Oniva est destinée aux adultes (parents, familles, organisateurs). Les données relatives aux enfants sont saisies par le parent ou tuteur légal. Oniva SAS traite ces données conformément aux exigences renforcées du RGPD (art. 8). Aucun compte ne peut être créé directement par une personne de moins de 16 ans.

10. Sécurité des données

Oniva SAS met en œuvre : chiffrement AES-256 au repos, TLS 1.3 en transit, tokens JWT de courte durée, contrôle d'accès strict, 2FA obligatoire pour l'admin, journalisation des actions sensibles, hébergement UE (Hetzner). En cas de violation de données, notification à la CNIL dans les 72 heures et aux utilisateurs concernés si risque élevé.

11. Modifications de la politique

Oniva SAS se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle, vous serez informés par notification in-app ou par email au moins 30 jours avant l'entrée en vigueur. La version en vigueur est toujours accessible depuis l'application et sur onivapp.com/confidentialite.