Politique de confidentialité
Dernière mise à jour : 28 avril 2026
La présente politique de confidentialité décrit comment l'application mobile Expozart (ci-après « l'Application ») collecte, utilise, stocke et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Identité du responsable de traitement
L'Application est éditée par :
Gaspard Tapon
Email : contact@expozart.com
2. Données personnelles collectées
2.1. Données de compte
Collectées lors de l'inscription et nécessaires au fonctionnement du service :
| Donnée | Obligatoire | Détail |
|---|---|---|
| Adresse email | Oui | Identifiant de connexion |
| Mot de passe | Oui (si inscription par email) | Stocké sous forme hashée, jamais en clair |
| Rôle utilisateur | Oui | Exposant, Organisateur ou Public — choisi à l'inscription |
| Préférence de langue | Oui | Français par défaut |
| Identifiant unique (UUID) | Automatique | Généré par le système d'authentification |
| Date de création du compte | Automatique | Horodatage |
2.2. Données de profil
Selon votre rôle, vous pouvez renseigner les données suivantes :
Exposant (artisan, créateur, artiste) :
- Nom d'artiste ou de marque
- Biographie courte et description longue
- Département de localisation et rayon d'action (en km)
- Coordonnées géographiques (latitude/longitude, dérivées de votre localisation déclarée)
- Photo de profil (avatar) et photo de couverture (bannière)
- Photos de portfolio (jusqu'à 9 images)
- Catégories professionnelles (jusqu'à 3)
- Paramètres de QR code (template, affichage)
Organisateur :
- Nom de la structure ou organisation
- Description de l'organisation
- Localisation
- Photo de profil (avatar) et photo de couverture (bannière)
Public (visiteur) :
- Nom d'affichage (facultatif)
Vitrine publique (opt-in pour les Exposants) :
Par défaut, le profil d'un Exposant n'est pas indexé par les moteurs de recherche externes (Google, Bing, etc.). L'Exposant peut activer manuellement l'option « Vitrine publique » dans les paramètres de son compte pour autoriser cette indexation. Cette activation constitue un consentement explicite au sens de l'article 6.1.a du RGPD et reste révocable à tout moment.
2.3. Données de vérification professionnelle
Si vous choisissez de faire vérifier votre profil :
- Numéro SIRET (consulté via l'API SIRENE de l'INSEE) ou numéro RNA (consulté via l'API du Répertoire National des Associations)
- Nom de l'entreprise ou de l'association (retourné par l'API)
- Date de vérification
Le numéro SIRET ou RNA n'est jamais affiché publiquement. Seul un badge « Vérifié » est visible par les autres utilisateurs.
2.4. Données d'événements
Créées par les organisateurs :
- Titre, description, dates de début et fin
- Adresse complète et coordonnées GPS (géocodées à partir de l'adresse)
- Nombre de stands, informations tarifaires, conditions pratiques
- Photo de couverture de l'événement
2.5. Données de candidature
Lorsqu'un exposant postule à un événement ou qu'un organisateur invite un exposant :
- Statut de la candidature (en attente, acceptée, refusée, annulée)
- Message personnel facultatif
- Lien avec la conversation associée
2.6. Données de messagerie
- Contenu des messages texte échangés entre utilisateurs
- Aperçu du dernier message par conversation
- Statut de lecture des messages
- Horodatage des messages
Les messages ne sont pas chiffrés de bout en bout. Ils sont chiffrés en transit (TLS) et au repos (chiffrement natif de la base de données).
2.7. Données de notification
- Type de notification (candidature reçue, message, suivi, etc.)
- Métadonnées associées (identifiants des objets concernés)
- Statut lu / non lu
- Jeton FCM (Firebase Cloud Messaging) par appareil, lié à la plateforme (Android, iOS, Web)
2.8. Données d'abonnement et d'achat
- Identifiant du produit souscrit (référence App Store / Google Play)
- Date d'expiration de l'abonnement
- Statut de l'abonnement (gratuit, actif)
- Historique des achats de boosts et de candidatures supplémentaires
Expozart ne collecte ni ne stocke jamais vos données bancaires (numéro de carte, CVV, etc.). Les paiements sont intégralement traités par Apple (App Store) ou Google (Google Play), puis validés par RevenueCat.
2.9. Données de signalement
Si vous signalez un contenu ou un utilisateur :
- Type et identifiant de la cible signalée
- Motif du signalement
- Commentaire facultatif
2.10. Données de suivi (follows)
- Liste des exposants suivis (pour les utilisateurs Public)
- Compteur de followers (agrégé, pour les exposants)
2.11. Données de consultation de profil
Pour les exposants ayant un abonnement premium :
- Nombre de vues du profil
- Identifiant du visiteur (si connecté) ou anonyme
2.12. Signalements de contact hors plateforme
Lorsqu'un Exposant signale un contact qu'il a reçu en dehors de la Plateforme (article 5 des CGU) :
- Identifiant de l'Exposant signalant
- Identifiant ou description du compte signalé
- Description du contact reçu (canal, contenu transmis par l'utilisateur)
- Pièces justificatives éventuellement transmises (captures d'écran)
- Date du signalement et statut de traitement
Ces signalements sont conservés pendant 5 ans pour les besoins de la modération et la défense des droits d'Expozart, conformément à l'article 6.1.f du RGPD (intérêt légitime).
2.13. Logs de consultation de profils
Afin de prévenir le scraping et tout comportement abusif (article 7 des CGU) :
- Identifiant du compte consultant
- Identifiant du profil consulté
- Horodatage
- Adresse IP (anonymisée après 30 jours)
Ces logs sont conservés 6 mois à des fins de détection de comportements suspects.
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat (art. 6.1.b) | Email, mot de passe, rôle, identifiant |
| Affichage de votre profil public | Exécution du contrat (art. 6.1.b) | Données de profil, photos, catégories |
| Mise en relation exposants/organisateurs | Exécution du contrat (art. 6.1.b) | Profils, candidatures, messagerie |
| Affichage des événements sur la carte | Exécution du contrat (art. 6.1.b) | Adresse, coordonnées GPS des événements |
| Recommandation d'événements pertinents | Intérêt légitime (art. 6.1.f) | Département, rayon, catégories |
| Envoi de notifications push | Consentement (art. 6.1.a) | Jeton FCM, préférences de notification |
| Gestion des abonnements et achats | Exécution du contrat (art. 6.1.b) | Données d'abonnement |
| Vérification professionnelle (SIRET/RNA) | Consentement (art. 6.1.a) | Numéro SIRET ou RNA |
| Modération et traitement des signalements | Intérêt légitime (art. 6.1.f) | Données de signalement |
| Statistiques de consultation (profil premium) | Exécution du contrat (art. 6.1.b) | Données de consultation |
| Détection de fraude et sécurité | Intérêt légitime (art. 6.1.f) | Données de compte, logs |
| Détection de comportement suspect / anti-scraping | Intérêt légitime (art. 6.1.f) | Logs de consultation, IP anonymisée |
| Traitement des signalements de contact hors plateforme | Intérêt légitime (art. 6.1.f) | Signalements, identifiants des comptes concernés |
| Indexation publique du profil exposant (opt-in) | Consentement (art. 6.1.a) | Données de profil exposant |
| Conservation des données transactionnelles | Obligation légale (art. 6.1.c) | Messages, candidatures, transactions |
4. Destinataires et sous-traitants
Vos données personnelles peuvent être transmises aux sous-traitants suivants, dans le cadre strict des finalités décrites ci-dessus :
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification, stockage fichiers, temps réel | Toutes les données utilisateur | Union européenne |
| Google LLC (Firebase) | Notifications push (FCM), rapport de crashs (Crashlytics) | Jetons FCM, identifiants d'appareil, logs de crashs | États-Unis (clauses contractuelles types) |
| RevenueCat Inc. | Gestion des abonnements in-app | Identifiant utilisateur, statut d'abonnement, historique d'achats | États-Unis (clauses contractuelles types) |
| Apple Inc. | Authentification (Sign in with Apple), paiements in-app (App Store) | Données d'authentification, transactions | États-Unis (clauses contractuelles types) |
| Google LLC | Authentification (Google Sign-In), paiements in-app (Google Play) | Données d'authentification, transactions | États-Unis (clauses contractuelles types) |
| Meta Platforms Inc. | Authentification (Facebook Login) | Données d'authentification (email) | États-Unis (clauses contractuelles types) |
| INSEE (API SIRENE) | Vérification de numéro SIRET | Numéro SIRET (requête sortante uniquement) | France |
| Ministère de l'Intérieur (API RNA) | Vérification de numéro RNA | Numéro RNA (requête sortante uniquement) | France |
Pour les transferts vers les États-Unis, des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne sont en place, conformément au chapitre V du RGPD.
Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales ou publicitaires.
5. Durée de conservation des données
| Type de données | Durée de conservation |
|---|---|
| Données de compte et de profil | Durée de vie du compte + 3 ans après suppression |
| Messages et conversations | 10 ans après la dernière activité (obligation légale — conservation des preuves de transactions commerciales) |
| Données de candidature | 10 ans (obligation légale) |
| Données d'abonnement et de paiement | 10 ans (obligation fiscale et comptable) |
| Données de vérification (SIRET/RNA) | Durée de vie du compte |
| Photos et médias | Supprimés dans les 30 jours suivant la suppression du compte |
| Jetons FCM | Supprimés à la déconnexion ou au remplacement |
| Données de signalement | 5 ans |
| Signalements de contact hors plateforme | 5 ans |
| Logs de consultation de profils | 6 mois (IP anonymisée après 30 jours) |
| Logs techniques | 12 mois |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles.
- Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation (voir section 5).
- Droit à la limitation du traitement (art. 18) : demander la suspension du traitement dans certaines situations.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment pour les traitements fondés sur le consentement (notifications push, vérification professionnelle).
Comment exercer vos droits
Envoyez votre demande à : contact@expozart.com
Nous répondrons dans un délai de 30 jours à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité, auquel cas vous en serez informé(e).
Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : www.cnil.fr
- Adresse : 3, place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
7. Cookies et traceurs
L'Application mobile n'utilise pas de cookies au sens classique du terme. Toutefois, les technologies suivantes sont employées :
| Technologie | Finalité | Base légale |
|---|---|---|
| Jeton d'authentification (JWT) | Maintien de votre session connectée | Exécution du contrat |
| Jeton FCM (Firebase) | Acheminement des notifications push | Consentement |
| Préférences locales (SharedPreferences) | Stockage de la langue choisie sur l'appareil | Exécution du contrat |
Aucun traceur publicitaire n'est utilisé. Aucun profilage à des fins marketing n'est effectué.
8. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement en transit : toutes les communications utilisent le protocole HTTPS/TLS.
- Chiffrement au repos : la base de données PostgreSQL et le stockage de fichiers sont chiffrés nativement par Supabase.
- Contrôle d'accès : des politiques de sécurité au niveau des lignes (Row-Level Security) empêchent tout utilisateur d'accéder aux données d'un autre utilisateur sans autorisation.
- Authentification sécurisée : jetons JWT avec renouvellement automatique ; hashage des mots de passe (jamais stockés en clair).
- Nonce cryptographique : utilisé pour l'authentification Apple Sign-In (SHA-256).
- Compression des images : les photos sont redimensionnées (max 1500 px) et compressées (80 %) avant envoi.
- Accès administrateur limité : l'accès aux données en base est restreint et audité via le tableau de bord Supabase.
9. Données des mineurs
L'Application n'est pas destinée aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et que vous pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter à contact@expozart.com afin que nous procédions à leur suppression.
10. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle :
- La date de « Dernière mise à jour » en haut du document sera actualisée.
- Une notification sera envoyée dans l'Application pour vous informer des changements.
- La poursuite de l'utilisation de l'Application après notification vaut acceptation de la politique modifiée.
11. Contact
Pour toute question relative à la présente politique de confidentialité ou à la protection de vos données personnelles :
Email : contact@expozart.com
Cette politique de confidentialité est effective à compter du 28 avril 2026.