Politique de confidentialité
La présente politique de confidentialité décrit comment XpandR (« nous », « notre », « nos ») collecte, utilise et protège vos données personnelles lorsque vous utilisez l'application mobile XpandR (« l'Application ») et le site web xpandr.app (« le Site »).
Nous nous engageons à respecter le Règlement général sur la protection des données (RGPD, UE 2016/679) ainsi que la Loi fédérale suisse sur la protection des données (nLPD).
1. Responsable du traitement
Le responsable du traitement des données est :
- Nom : Sébastien Masle
- Adresse : Rue du lac 22, 1020 Renens, Suisse
- E-mail : legal@xpandr.app
Pour toute question relative à la protection de vos données, vous pouvez nous contacter à l'adresse e-mail ci-dessus.
2. Données que nous collectons
2.1 Données collectées via le Site (xpandr.app)
Lorsque vous vous inscrivez à la liste des testeurs bêta sur notre site, nous collectons :
- Votre adresse e-mail
- Votre consentement à recevoir des communications relatives au programme bêta (avec horodatage)
- Votre paramètre régional (langue du navigateur)
- Votre adresse IP (à des fins de protection contre les soumissions automatisées, conservée temporairement)
2.2 Données collectées via l'Application
Lorsque vous utilisez l'Application, nous collectons les catégories de données suivantes :
Données de compte
- Identifiant unique (UID) généré par Firebase Authentication
- Nom d'affichage (displayName) que vous choisissez
- Adresse e-mail (uniquement si vous vous connectez avec un compte Google)
- Préférences de notifications
Données de géolocalisation
- Position GPS en temps réel pendant vos sessions d'activité (course/marche)
- Historique de vos trajets et des cellules géographiques traversées
- Cette collecte est continue pendant une session active, y compris lorsque l'Application fonctionne en arrière-plan (permission
ACCESS_BACKGROUND_LOCATION)
Données d'activité de jeu
- Sessions d'activité (durée, distance, points GPS, horodatages)
- Cellules capturées et districts contrôlés
- Statistiques personnelles et d'équipe
- Appartenance à une équipe
Données techniques
- Modèle d'appareil et version du système d'exploitation (via Firebase)
- Identifiants techniques d'appareil (token FCM stocké sous forme hachée)
- Données de plantage et erreurs (via Firebase Crashlytics)
- Événements d'usage anonymisés (via Firebase Analytics)
Données que vous nous transmettez volontairement
- Signalements (catégorie, message, contexte) si vous utilisez la fonction de signalement intégrée
2.3 Données que nous ne collectons PAS
À titre informatif, nous tenons à préciser que nous ne collectons pas :
- De photos prises avec votre appareil
- De contenus issus de vos contacts, SMS, ou autres applications
- De données de santé (fréquence cardiaque, calories, etc.)
- De données financières ou bancaires
3. Finalités et base juridique du traitement
Conformément à l'article 6 du RGPD, nous traitons vos données pour les finalités suivantes :
| Finalité | Base juridique |
|---|---|
| Fournir le service de jeu (capture de cellules, équipes, classements) | Exécution du contrat (CGU) |
| Authentifier votre identité | Exécution du contrat |
| Vous envoyer des notifications de jeu (selon vos préférences) | Consentement |
| Vous envoyer des communications du programme bêta (via le Site) | Consentement |
| Analyser l'usage de l'Application pour l'améliorer | Intérêt légitime |
| Détecter et prévenir les fraudes, la triche et les abus | Intérêt légitime |
| Répondre à vos demandes et signalements | Intérêt légitime / Obligation légale |
| Respecter nos obligations légales | Obligation légale |
4. Hébergement et localisation des données
Les données générées par l'Application sont stockées sur l'infrastructure Google Cloud Platform dans la région europe-west6 (Zurich, Suisse) :
- Base de données : Firebase Firestore (Zurich)
- Serveur applicatif : Google Cloud Run (Zurich)
Les e-mails collectés via le Site sont stockés chez Brevo (Sendinblue SAS), basé en France (Union européenne).
5. Transferts hors de Suisse / hors UE
Bien que notre infrastructure principale soit à Zurich, certains services tiers que nous utilisons sont opérés par Google LLC depuis les États-Unis :
- Firebase Authentication (gestion des identités)
- Firebase Analytics (analyse d'usage)
- Firebase Crashlytics (rapports de plantage)
- Firebase Cloud Messaging (notifications push)
- Firebase App Check (sécurité anti-abus)
- Google Maps Platform (affichage des cartes)
- Google Sign-In (connexion par compte Google)
Ces transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ainsi que par l'adhésion de Google au cadre EU-U.S. Data Privacy Framework.
6. Sous-traitants et destinataires des données
Nous faisons appel aux sous-traitants suivants, qui agissent sur nos instructions :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Google LLC / Google Cloud EMEA Limited | Hébergement (Firebase, Cloud Run, FCM, Auth, Analytics, Crashlytics, App Check, Maps) | Zurich (CH) + États-Unis |
| Sendinblue SAS (Brevo) | Gestion de la liste e-mail du programme bêta | France (UE) |
| Cloudflare, Inc. | Hébergement du Site, DNS, protection CDN | Réseau mondial |
Nous ne vendons ni ne louons vos données personnelles à des tiers. Nous ne partageons vos données qu'avec les sous-traitants listés ci-dessus, ou lorsque la loi nous y oblige.
7. Durée de conservation
- Données de compte et données de jeu : conservées tant que votre compte XpandR est actif. En cas de suppression de votre compte, vos données personnelles sont effacées sous 30 jours, à l'exception des données nécessaires au respect d'obligations légales.
- Données GPS et historiques d'activités : conservées tant que votre compte est actif (elles font partie de l'expérience de jeu : statistiques, classements, progression).
- Comptes anonymes (sans Google Sign-In) : automatiquement nettoyés après une période prolongée d'inactivité.
- Données de plantage et analytics : conservées selon les durées par défaut de Google (généralement 14 mois pour Analytics).
- E-mails du programme bêta : conservés jusqu'à votre désinscription, ou au maximum 24 mois après le dernier contact.
- Signalements et logs de modération : conservés 24 mois pour permettre le traitement de litiges éventuels.
8. Vos droits
Conformément au RGPD et à la nLPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie des données que nous détenons sur vous
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de votre compte et de vos données
- Droit à la limitation du traitement
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition à un traitement fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment, pour les traitements fondés sur le consentement
- Droit d'introduire une réclamation auprès d'une autorité de contrôle (Préposé fédéral à la protection des données et à la transparence en Suisse, ou autorité de votre pays de résidence dans l'UE)
Pour exercer ces droits, écrivez-nous à legal@xpandr.app. Nous répondrons dans un délai d'un mois.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Communications chiffrées (HTTPS/TLS de bout en bout)
- Règles Firestore restrictives : aucun accès direct du client à la base, tout passe par notre serveur authentifié
- Authentification Firebase + jetons signés
- Firebase App Check pour prévenir l'usage abusif depuis des clients non autorisés
- Pseudonymisation des tokens d'appareil (hachés SHA-256)
- Hébergement principal en Suisse (
europe-west6)
10. Mineurs
L'Application est destinée aux personnes âgées de 16 ans ou plus. Nous ne collectons pas sciemment de données auprès de mineurs de moins de 16 ans. Si vous pensez qu'un enfant nous a transmis des données, contactez-nous à legal@xpandr.app pour que nous les supprimions.
11. Cookies
Notre Site (xpandr.app) n'utilise pas de cookies de suivi, ni d'analytics, ni de publicité. Seuls des cookies techniques strictement nécessaires (par exemple pour la gestion de session du formulaire) peuvent être utilisés.
L'Application n'utilise pas de cookies tiers.
12. Modifications
Nous pouvons modifier cette politique pour refléter des évolutions techniques, légales ou de service. Toute modification substantielle vous sera notifiée (par e-mail ou via l'Application) au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de ce document.
13. Contact
Pour toute question relative à cette politique ou à vos données :
E-mail : legal@xpandr.app
Adresse : Rue du lac 22, 1020 Renens, Suisse
Cette politique est régie par le droit suisse et le RGPD pour les utilisateurs résidant dans l'Union européenne.