POLITIQUE DE CONFIDENTIALITÉ - DRILLR
Dernière mise à jour : 14 mai 2026 Version : 1.1
PRÉAMBULE
La protection de vos données personnelles est une priorité pour DrillR.
La présente Politique de Confidentialité (ci-après “la Politique”) a pour objectif de vous informer sur :
- Les données personnelles que nous collectons
- Les finalités de traitement de ces données
- Vos droits concernant vos données
- Les mesures de sécurité mises en place
Cette Politique s’applique à l’application mobile DrillR (ci-après “l’Application”) éditée par :
DrillR LLC (en cours de création) Email : support@drillr.app Site web : https://drillr.app
Responsable du traitement des données : DrillR LLC
1. DONNÉES PERSONNELLES COLLECTÉES
1.1 Données collectées lors de l’inscription
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Adresse email | ✅ Oui | Création du compte, authentification, communications essentielles |
| Mot de passe | ✅ Oui | Sécurité du compte (stocké de manière chiffrée) |
| Nom d’utilisateur | ✅ Oui | Identification publique sur l’Application |
| Disciplines pratiquées | ✅ Oui | Fonctionnalité cœur de l’Application |
| Niveau de pratique | ✅ Oui | Matchmaking, recherche de partenaires |
1.2 Données de profil (optionnelles)
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Nom et prénom | ❌ Non | Affichage public sur le profil |
| Photo de profil | ❌ Non | Personnalisation du profil |
| Biographie | ❌ Non | Description personnelle |
| Ville | ❌ Non | Recherche de proximité, recommandations |
| Date de naissance | ❌ Non | Statistiques (anonymisées) |
1.3 Contenus générés par l’utilisateur
- Posts : Textes, photos, vidéos publiées
- Commentaires : Réactions sur les publications
- Messages privés : Conversations 1-à-1 avec d’autres utilisateurs
- Stories : Contenus éphémères (24 heures)
- Likes et interactions : Likes, bookmarks
- Training log : Données d’entraînement (type, durée, intensité, notes personnelles)
1.4 Données techniques collectées automatiquement
- Adresse IP : Pour la sécurité et la prévention de la fraude
- Informations sur l’appareil : Modèle, système d’exploitation, version de l’application
- Logs de connexion : Date et heure de connexion, actions effectuées
- Données d’utilisation : Fonctionnalités utilisées, temps passé, interactions
- Identifiants techniques : ID de l’appareil, tokens de session
1.5 Données de paiement
Si vous souscrivez à un abonnement Premium :
- Informations de paiement : Gérées directement par Apple (App Store) ou Google (Play Store)
- DrillR ne collecte ni ne stocke vos informations bancaires
- Nous recevons uniquement une confirmation de paiement (ID de transaction, statut de l’abonnement)
1.6 Données de localisation
- Ville : Renseignée manuellement dans votre profil (optionnel)
- Géolocalisation précise : Non collectée actuellement
⚠️ Si nous implémentons la géolocalisation GPS à l’avenir, votre consentement explicite sera requis.
2. FINALITÉS DU TRAITEMENT
2.1 Fourniture du service (base légale : exécution du contrat)
- Création et gestion de votre compte
- Accès aux fonctionnalités de l’Application
- Publication et affichage de vos contenus
- Messagerie et interactions sociales
- Recherche et recommandations d’utilisateurs, clubs, coachs
- Gestion des abonnements Premium
2.2 Sécurité (base légale : intérêt légitime)
- Prévention de la fraude et des abus
- Détection et blocage de comptes malveillants
- Modération des contenus signalés
- Lutte contre le spam et les comportements abusifs
- Protection contre les cyberattaques
2.3 Amélioration du service (base légale : intérêt légitime)
- Analyse statistique de l’utilisation de l’Application (données agrégées et anonymisées)
- Détection et correction de bugs
- Développement de nouvelles fonctionnalités
- Optimisation de l’expérience utilisateur
2.4 Communication (base légale : consentement ou intérêt légitime)
Communications transactionnelles (intérêt légitime) :
- Confirmation d’inscription
- Réinitialisation de mot de passe
- Notifications de sécurité importantes
- Modifications des CGU ou de la Politique de Confidentialité
Communications marketing (consentement requis) :
- Newsletters
- Offres promotionnelles
- Nouveautés de l’Application
Vous pouvez vous désabonner à tout moment via les paramètres de votre compte ou le lien de désinscription dans les emails.
Notifications push (consentement requis) :
- Notifications d’interactions (likes, commentaires, messages)
- Alertes personnalisées
Vous pouvez gérer vos préférences de notifications dans les paramètres de l’Application ou de votre appareil.
2.5 Obligations légales (base légale : obligation légale)
- Réponse aux réquisitions judiciaires
- Coopération avec les autorités compétentes
- Respect des obligations fiscales et comptables
3. DESTINATAIRES DES DONNÉES
3.1 Partage avec d’autres utilisateurs (données publiques)
Certaines de vos données sont publiques et visibles par les autres utilisateurs de l’Application :
- Nom d’utilisateur
- Photo de profil
- Biographie
- Ville
- Disciplines et niveaux de pratique
- Posts publics et commentaires
- Liste de followers / following
Vous contrôlez la visibilité de votre contenu via les paramètres de confidentialité.
3.2 Prestataires techniques (sous-traitants RGPD)
Nous partageons vos données avec des prestataires de confiance qui nous aident à fournir le Service :
| Prestataire | Service | Région | Catégorie de données | Conservation | Protection |
|---|---|---|---|---|---|
| Supabase | Base de données, authentification, stockage, realtime | 🇪🇺 UE (Francfort) | Toutes les données utilisateur | Durée du compte + 30 jours | DPA RGPD, chiffrement au repos et en transit |
| Resend | Emails transactionnels, formulaire de contact | 🇪🇺 UE | Adresse email, contenu du message | 30 jours (logs) | DPA RGPD, hébergement UE |
| Vercel | Hébergement web (landing page, site marketing) | 🇪🇺 UE | Adresse IP, logs de requêtes | 30 jours | DPA RGPD, edge régions UE |
| Sentry | Télémétrie crashs, monitoring d’erreurs | 🇪🇺 Région UE | Infos appareil, stack traces, ID utilisateur anonymisé | 90 jours | DPA RGPD, opt-out disponible dans les paramètres |
| Firebase Cloud Messaging | Notifications push Android | 🇺🇸 USA | Token push appareil | Jusqu’au renouvellement du token | Clauses contractuelles types (SCC) |
| Apple Push Notification Service | Notifications push iOS | 🇺🇸 USA | Token push appareil | Jusqu’au renouvellement du token | Conditions contractuelles Apple Developer Program |
| Stripe (prévu, à l’arrivée de Premium) | Traitement des paiements | 🇺🇸 USA + 🇪🇺 UE | Email, métadonnées de paiement (aucune donnée carte) | Selon politique Stripe | Clauses contractuelles types (SCC), PCI-DSS Niveau 1 |
| Apple App Store / Google Play | Paiements d’abonnement in-app | 🇺🇸 USA | ID utilisateur, statut abonnement | Selon politique de la plateforme | Clauses contractuelles types (SCC) |
Garanties : Tous nos sous-traitants sont contractuellement tenus de respecter la confidentialité et la sécurité de vos données conformément au RGPD. Nous notifions les utilisateurs 30 jours à l’avance de l’ajout de tout nouveau sous-traitant via notification in-app et l’historique des versions de la présente Politique.
3.3 Pas de vente de données
DrillR ne vend jamais vos données personnelles à des tiers. Nous ne partageons vos données avec des tiers que dans les cas mentionnés ci-dessus (prestataires techniques) ou si requis par la loi.
3.4 Transferts hors Union Européenne
Hébergement principal : Union Européenne (Francfort, Allemagne) ✅
Transferts vers les USA :
- Apple et Google (paiements) : Protégés par des Clauses Contractuelles Types (SCC) approuvées par la Commission Européenne
Si nous devons transférer vos données hors UE à l’avenir, nous nous assurerons que des garanties appropriées sont en place (décisions d’adéquation, SCC, ou consentement explicite).
4. DURÉE DE CONSERVATION DES DONNÉES
| Type de données | Durée de conservation |
|---|---|
| Données de compte actif | Tant que votre compte existe |
| Après suppression du compte | 30 jours (puis suppression définitive des données personnelles) |
| Posts/commentaires publics après suppression | Anonymisés (affichés comme “Utilisateur supprimé”) |
| Logs de sécurité | 12 mois maximum |
| Données de paiement | Conservées par Apple/Google selon leurs politiques |
| Sauvegardes | Maximum 90 jours (puis suppression automatique) |
Exceptions :
- Données nécessaires pour répondre à des obligations légales : conservées selon les durées légales applicables
- Données faisant l’objet d’un litige ou d’une enquête : conservées jusqu’à résolution
5. VOS DROITS (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :
5.1 Droit d’accès (Article 15 RGPD)
Vous pouvez demander une copie de toutes les données personnelles que nous détenons sur vous.
Comment exercer ce droit :
- Via l’Application : Paramètres > Confidentialité > “Télécharger mes données”
- Par email : support@drillr.app
Délai de réponse : 30 jours maximum
5.2 Droit de rectification (Article 16 RGPD)
Vous pouvez corriger vos données inexactes ou incomplètes à tout moment.
Comment exercer ce droit :
- Via l’Application : Paramètres > Modifier le profil
- Pour des modifications complexes : support@drillr.app
5.3 Droit à l’effacement / “Droit à l’oubli” (Article 17 RGPD)
Vous pouvez demander la suppression de vos données personnelles.
Comment exercer ce droit :
- Via l’Application : Paramètres > Compte > “Supprimer mon compte”
- Par email : support@drillr.app (pour une suppression complète incluant les contenus anonymisés)
Conséquences :
- Suppression définitive de votre profil, photos, données personnelles
- Anonymisation de vos posts/commentaires publics (sauf si vous demandez une suppression totale)
- Action irréversible
Exceptions : Nous pouvons conserver certaines données si requis par la loi (ex : données comptables, litiges en cours).
5.4 Droit à la portabilité (Article 20 RGPD)
Vous pouvez recevoir vos données dans un format structuré et lisible par machine (JSON, CSV) et les transmettre à un autre service.
Comment exercer ce droit :
- Via l’Application : Paramètres > Confidentialité > “Télécharger mes données”
- Par email : support@drillr.app
Données concernées : Profil, posts, commentaires, messages, training log, interactions.
5.5 Droit d’opposition (Article 21 RGPD)
Vous pouvez vous opposer à certains traitements de données basés sur notre intérêt légitime.
Exemples :
- Opposition au marketing : Paramètres > Notifications > Désactiver les emails marketing
- Opposition aux analytics : Paramètres > Confidentialité > Désactiver les statistiques d’usage
Note : Vous ne pouvez pas vous opposer aux traitements nécessaires au fonctionnement du Service (ex : stockage de vos posts).
5.6 Droit à la limitation du traitement (Article 18 RGPD)
Vous pouvez demander le gel temporaire de vos données (sans suppression) dans certains cas (contestation de l’exactitude, traitement illicite, etc.).
Comment exercer ce droit : support@drillr.app
5.7 Droit de retirer votre consentement
Pour les traitements basés sur votre consentement (notifications push, marketing), vous pouvez le retirer à tout moment via les paramètres de l’Application.
5.8 Droit d’introduire une réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de l’autorité de contrôle compétente :
France : CNIL (Commission Nationale de l’Informatique et des Libertés)
- Site web : https://www.cnil.fr
- Adresse : 3 Place de Fontenoy, 75007 Paris, France
Autres pays de l’UE : Liste des autorités disponibles sur https://edpb.europa.eu/about-edpb/board/members_fr
6. SÉCURITÉ DES DONNÉES
6.1 Mesures de sécurité techniques
Nous mettons en œuvre des mesures de sécurité de pointe pour protéger vos données :
Chiffrement :
- Chiffrement en transit (HTTPS/TLS) pour toutes les communications
- Chiffrement au repos des données sensibles (mots de passe avec bcrypt/Argon2)
Sécurité réseau :
- Pare-feu (firewall)
- Protection DDoS
- Authentification sécurisée (tokens JWT)
Contrôles d’accès :
- Accès aux données strictement limité aux personnes autorisées
- Authentification à deux facteurs pour les administrateurs
- Logs d’audit
Sauvegardes :
- Sauvegardes quotidiennes automatiques
- Stockage sécurisé des sauvegardes
6.2 Mesures organisationnelles
- Politique de sécurité interne stricte
- Formation de l’équipe aux bonnes pratiques de sécurité
- Revues de sécurité régulières
- Plan de réponse aux incidents
6.3 En cas de violation de données (Data Breach)
En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL sous 72 heures
- Vous informer individuellement si le risque est élevé
- Prendre toutes les mesures nécessaires pour limiter l’impact
6.4 Vos responsabilités
Pour assurer la sécurité de votre compte :
- ✅ Choisissez un mot de passe fort et unique
- ✅ Ne partagez jamais vos identifiants
- ✅ Déconnectez-vous sur les appareils partagés
- ✅ Signalez immédiatement toute activité suspecte
7. COOKIES ET TECHNOLOGIES SIMILAIRES
7.1 Cookies utilisés
L’Application utilise des cookies et technologies similaires pour :
Cookies essentiels (pas de consentement requis) :
- Authentification (maintien de votre session)
- Sécurité (prévention des attaques CSRF)
- Préférences de langue
Cookies analytics (consentement requis) :
- Statistiques d’usage anonymisées
- Amélioration de l’expérience utilisateur
7.2 Gestion des cookies
Vous pouvez gérer vos préférences de cookies via :
- Application mobile : Paramètres > Confidentialité > Cookies
- Navigateur (version web) : Paramètres du navigateur
Note : Le refus des cookies essentiels peut empêcher l’utilisation de l’Application.
7.3 Outils d’analytics
Nous utilisons [À DÉFINIR : Firebase Analytics / Mixpanel / autre] pour analyser l’usage de l’Application.
Les données collectées sont anonymisées et agrégées. Aucune donnée personnelle identifiable n’est transmise à ces services.
Vous pouvez désactiver les analytics dans : Paramètres > Confidentialité > Désactiver les statistiques.
8. DROITS DES MINEURS
L’Application est réservée aux personnes de 18 ans et plus.
Si nous découvrons qu’un mineur a créé un compte, celui-ci sera immédiatement supprimé et toutes ses données effacées.
Parents : Si vous découvrez que votre enfant mineur a créé un compte, contactez-nous immédiatement à support@drillr.app.
9. MODIFICATIONS DE LA POLITIQUE
Nous pouvons modifier cette Politique de Confidentialité à tout moment.
En cas de modification substantielle, vous serez informé par :
- Notification in-app
- Email à votre adresse enregistrée
Date d’effet : Les modifications prendront effet 30 jours après notification.
L’utilisation continue de l’Application après l’entrée en vigueur des modifications vaut acceptation de la nouvelle Politique.
Historique des versions :
- Version 1.0 — 10 février 2026 : Politique initiale
- Version 1.1 — 14 mai 2026 : Ajout de la section CCPA/CPRA (§12), liste des sous-traitants élargie (§3.2 : Resend, Vercel, Sentry, Firebase, Apple Push, Stripe).
10. CONTACT - DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
Pour toute question concernant cette Politique de Confidentialité ou l’exercice de vos droits :
Email : support@drillr.app Objet : “Données personnelles - [Votre demande]”
Délai de réponse : 30 jours maximum (conformément au RGPD)
Délégué à la Protection des Données (DPO) : [À désigner si l’équipe grandit]
11. BASE LÉGALE DU TRAITEMENT
Nos traitements de données reposent sur les bases légales suivantes (RGPD Article 6) :
| Traitement | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat (Article 6.1.b) |
| Fourniture des fonctionnalités | Exécution du contrat (Article 6.1.b) |
| Sécurité et lutte contre la fraude | Intérêt légitime (Article 6.1.f) |
| Analytics et amélioration | Intérêt légitime (Article 6.1.f) |
| Marketing et newsletters | Consentement (Article 6.1.a) |
| Notifications push | Consentement (Article 6.1.a) |
| Réponse aux obligations légales | Obligation légale (Article 6.1.c) |
12. DROITS DES RÉSIDENTS AMÉRICAINS (CCPA / CPRA)
Cette section s’applique aux résidents de Californie en vertu du California Consumer Privacy Act tel que modifié par le California Privacy Rights Act. Nous étendons les mêmes droits à tous les résidents américains. Voir aussi : Your US Privacy Rights.
12.1 Pas de vente ni de partage de données personnelles
DrillR ne vend PAS de données personnelles et ne partage PAS de données personnelles à des fins de publicité comportementale cross-contexte. Nous ne l’avons pas fait au cours des 12 derniers mois et ne le ferons pas sans préavis et possibilité d’opt-out.
12.2 Vos droits
- Droit de savoir (right to know) — demander une copie des données personnelles que nous détenons sur vous ainsi que les catégories de sources, finalités et destinataires.
- Droit de suppression (right to delete) — demander la suppression de vos données personnelles, sous réserve d’exceptions légales limitées.
- Droit de rectification (right to correct) — demander la correction de données personnelles inexactes.
- Droit d’opt-out de la vente ou du partage — non applicable, voir §12.1. Si cela change, nous publierons un lien “Do Not Sell or Share My Personal Information”.
- Droit de limiter l’usage de données sensibles — nous n’utilisons pas de données personnelles sensibles à des fins déclenchant ce droit sous CPRA.
- Droit à la non-discrimination — nous ne refuserons pas le service, ne modifierons pas les prix et ne dégraderons pas la qualité parce que vous avez exercé l’un de ces droits.
12.3 Comment exercer vos droits
Envoyez un email à drillr.contact@gmail.com avec pour objet “US Privacy Request” depuis l’adresse email associée à votre compte. Des agents autorisés peuvent soumettre des demandes en votre nom avec preuve écrite d’autorisation ; nous pouvons exiger que vous vérifiiez votre identité directement. Délai de réponse : 45 jours.
13. DONNÉES SENSIBLES
Nous ne collectons aucune donnée sensible au sens de l’Article 9 du RGPD (origine raciale/ethnique, opinions politiques, croyances religieuses, données de santé, orientation sexuelle).
Attention : Le training log pourrait contenir des informations liées à votre condition physique. Ces données sont :
- Fournies volontairement par vous
- Stockées de manière sécurisée
- Non partagées avec des tiers
- Supprimables à tout moment
Si vous saisissez des informations de santé dans vos notes d’entraînement, faites-le en connaissance de cause.
14. PROFILAGE ET DÉCISIONS AUTOMATISÉES
DrillR n’utilise pas de profilage automatisé ni de prise de décision automatisée ayant des effets juridiques ou significatifs sur vous.
Les recommandations d’utilisateurs, clubs ou contenus sont basées sur des algorithmes simples (proximité géographique, disciplines communes) et n’ont aucun effet juridique.
15. POLITIQUE EN CAS DE FERMETURE DU SERVICE
En cas d’arrêt définitif de DrillR, nous nous engageons à :
- Vous informer avec un préavis minimum de 90 jours
- Vous permettre de télécharger toutes vos données (export complet)
- Supprimer définitivement toutes les données personnelles dans les 6 mois suivant la fermeture
16. CONSENTEMENT ET ACCEPTATION
En utilisant l’Application DrillR, vous reconnaissez avoir lu et compris cette Politique de Confidentialité et consentez aux traitements de données qui y sont décrits.
Si vous n’acceptez pas cette Politique, veuillez ne pas utiliser l’Application.
Fait le 14 mai 2026
DrillR LLC (en cours de création) Email : support@drillr.app Web : https://drillr.app
Version 1.1 — Dernière mise à jour : 14 mai 2026