Politique de confidentialité
Dernière mise à jour : 18 mai 2026
La présente politique de confidentialité décrit comment l'application mobile Expozart (ci-après « l'Application ») collecte, utilise, stocke et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Identité du responsable de traitement
L'Application est éditée par :
Gaspard Tapon
Email : contact@expozart.com
2. Données personnelles collectées
2.1. Données de compte
Collectées lors de l'inscription et nécessaires au fonctionnement du service :
| Donnée | Obligatoire | Détail |
|---|---|---|
| Adresse email | Oui | Identifiant de connexion |
| Mot de passe | Oui (si inscription par email) | Stocké sous forme hashée, jamais en clair |
| Rôle utilisateur | Oui | Exposant, Organisateur ou Public — choisi à l'inscription |
| Préférence de langue | Oui | Français par défaut |
| Identifiant unique (UUID) | Automatique | Généré par le système d'authentification |
| Date de création du compte | Automatique | Horodatage |
2.2. Données de profil
Selon votre rôle, vous pouvez renseigner les données suivantes :
Exposant (artisan, créateur, artiste) :
- Nom d'artiste ou de marque
- Biographie courte et description longue
- Département de localisation et rayon d'action (en km)
- Coordonnées géographiques (latitude/longitude, dérivées de votre localisation déclarée)
- Photo de profil (avatar) et photo de couverture (bannière)
- Photos de portfolio (jusqu'à 9 images)
- Catégories professionnelles (jusqu'à 3)
- Paramètres de QR code (template, affichage)
Organisateur :
- Nom de la structure ou organisation
- Description de l'organisation
- Localisation
- Photo de profil (avatar) et photo de couverture (bannière)
Public (visiteur) :
- Nom d'affichage (facultatif)
2.3. Données de vérification professionnelle
Si vous choisissez de faire vérifier votre profil :
- Numéro SIRET (consulté via l'API SIRENE de l'INSEE) ou numéro RNA (consulté via l'API du Répertoire National des Associations)
- Nom de l'entreprise ou de l'association (retourné par l'API)
- Date de vérification
Le numéro SIRET ou RNA n'est jamais affiché publiquement. Seul un badge « Vérifié » est visible par les autres utilisateurs.
2.4. Données d'événements
Créées par les organisateurs :
- Titre, description, dates de début et fin
- Adresse complète et coordonnées GPS (géocodées à partir de l'adresse)
- Nombre de stands, informations tarifaires, conditions pratiques
- Photo de couverture de l'événement
2.5. Données de candidature
Lorsqu'un exposant postule à un événement ou qu'un organisateur invite un exposant :
- Statut de la candidature (en attente, acceptée, refusée, annulée)
- Message personnel facultatif
- Lien avec la conversation associée
2.6. Données de messagerie
- Contenu des messages texte échangés entre utilisateurs
- Aperçu du dernier message par conversation
- Statut de lecture des messages
- Horodatage des messages
Les messages ne sont pas chiffrés de bout en bout. Ils sont chiffrés en transit (TLS) et au repos (chiffrement natif de la base de données).
2.7. Données de notification
- Type de notification (candidature reçue, message, suivi, etc.)
- Métadonnées associées (identifiants des objets concernés)
- Statut lu / non lu
- Identifiant d'appareil OneSignal (subscription ID), lié à la plateforme (Android, iOS)
2.7.1. Contenu transmis à OneSignal pour l'acheminement des notifications
Pour qu'une notification push affiche un aperçu lisible sur l'écran de verrouillage de votre appareil, certains contenus textuels sont nécessairement transmis à notre prestataire OneSignal Inc. (sous-traitant d'acheminement). Ces contenus sont stockés temporairement dans le journal de livraison d'OneSignal :
- Nouveau message privé : nom de l'expéditeur + extrait du message limité à 50 caractères. Les adresses email, numéros de téléphone, IBAN et URLs présents dans le texte sont automatiquement masqués (
[email],[tel],[iban],[lien]) avant transmission. - Candidature ou invitation : nom de l'événement, nom de l'exposant ou de l'organisateur concerné, statut.
- Annulation d'événement : nom de l'événement annulé.
- Nouveau follower : texte générique uniquement, aucun nom transmis.
Les conversations complètes ne sont jamais transmises à OneSignal. Seuls les extraits ci-dessus, nécessaires à l'affichage de la notification, le sont.
2.8. Données d'abonnement et d'achat
- Identifiant du produit souscrit (référence App Store / Google Play)
- Date d'expiration de l'abonnement
- Statut de l'abonnement (gratuit, essai pionnier, actif)
- Historique des achats de boosts et de candidatures supplémentaires
Expozart ne collecte ni ne stocke jamais vos données bancaires (numéro de carte, CVV, etc.). Les paiements sont intégralement traités par Apple (App Store) ou Google (Google Play), puis validés par RevenueCat.
2.9. Données de signalement
Si vous signalez un contenu ou un utilisateur :
- Type et identifiant de la cible signalée
- Motif du signalement
- Commentaire facultatif
2.10. Données de suivi (follows)
- Liste des exposants suivis (pour les utilisateurs Public)
- Compteur de followers (agrégé, pour les exposants)
2.11. Données de consultation de profil
Pour les exposants ayant un abonnement premium :
- Nombre de vues du profil
- Identifiant du visiteur (si connecté) ou anonyme
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat (art. 6.1.b) | Email, mot de passe, rôle, identifiant |
| Affichage de votre profil public | Exécution du contrat (art. 6.1.b) | Données de profil, photos, catégories |
| Mise en relation exposants/organisateurs | Exécution du contrat (art. 6.1.b) | Profils, candidatures, messagerie |
| Affichage des événements sur la carte | Exécution du contrat (art. 6.1.b) | Adresse, coordonnées GPS des événements |
| Recommandation d'événements pertinents | Intérêt légitime (art. 6.1.f) | Département, rayon, catégories |
| Envoi de notifications push | Consentement (art. 6.1.a) | Identifiant OneSignal, préférences de notification |
| Gestion des abonnements et achats | Exécution du contrat (art. 6.1.b) | Données d'abonnement |
| Vérification professionnelle (SIRET/RNA) | Consentement (art. 6.1.a) | Numéro SIRET ou RNA |
| Modération et traitement des signalements | Intérêt légitime (art. 6.1.f) | Données de signalement |
| Statistiques de consultation (profil premium) | Exécution du contrat (art. 6.1.b) | Données de consultation |
| Détection de fraude et sécurité | Intérêt légitime (art. 6.1.f) | Données de compte, logs |
| Conservation des données transactionnelles | Obligation légale (art. 6.1.c) | Messages, candidatures, transactions |
4. Destinataires et sous-traitants
Vos données personnelles peuvent être transmises aux sous-traitants suivants, dans le cadre strict des finalités décrites ci-dessus :
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification, stockage fichiers, temps réel | Toutes les données utilisateur | Union européenne |
| OneSignal Inc. | Acheminement des notifications push (mobile), tags et segments marketing | Identifiant utilisateur (UUID), identifiants d'appareil, tags, contenu des notifications envoyées (voir détail §2.7.1) | États-Unis (clauses contractuelles types) |
| Google LLC (Firebase) | Rapport de crashs (Crashlytics) | Logs de crashs, identifiants d'appareil techniques | États-Unis (clauses contractuelles types) |
| RevenueCat Inc. | Gestion des abonnements in-app | Identifiant utilisateur, statut d'abonnement, historique d'achats | États-Unis (clauses contractuelles types) |
| Apple Inc. | Authentification (Sign in with Apple), paiements in-app (App Store) | Données d'authentification, transactions | États-Unis (clauses contractuelles types) |
| Google LLC | Authentification (Google Sign-In), paiements in-app (Google Play) | Données d'authentification, transactions | États-Unis (clauses contractuelles types) |
| Meta Platforms Inc. | Authentification (Facebook Login) | Données d'authentification (email) | États-Unis (clauses contractuelles types) |
| INSEE (API SIRENE) | Vérification de numéro SIRET | Numéro SIRET (requête sortante uniquement) | France |
| Ministère de l'Intérieur (API RNA) | Vérification de numéro RNA | Numéro RNA (requête sortante uniquement) | France |
Pour les transferts vers les États-Unis, des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne sont en place, conformément au chapitre V du RGPD.
Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales ou publicitaires.
5. Durée de conservation des données
| Type de données | Durée de conservation |
|---|---|
| Données de compte et de profil | Durée de vie du compte + 3 ans après suppression |
| Messages et conversations | 10 ans après la dernière activité (obligation légale — conservation des preuves de transactions commerciales) |
| Données de candidature | 10 ans (obligation légale) |
| Données d'abonnement et de paiement | 10 ans (obligation fiscale et comptable) |
| Données de vérification (SIRET/RNA) | Durée de vie du compte |
| Photos et médias | Supprimés dans les 30 jours suivant la suppression du compte |
| Identifiants OneSignal | Supprimés à la déconnexion ou au remplacement ; le compte OneSignal entier (tags + abonnements + journal de livraison) est purgé dans les minutes suivant la suppression du compte Expozart |
| Données de signalement | 5 ans |
| Logs techniques | 12 mois |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles.
- Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation (voir section 5).
- Droit à la limitation du traitement (art. 18) : demander la suspension du traitement dans certaines situations.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment pour les traitements fondés sur le consentement (notifications push, vérification professionnelle).
Comment exercer vos droits
Envoyez votre demande à : contact@expozart.com
Nous répondrons dans un délai de 30 jours à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité, auquel cas vous en serez informé(e).
Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : www.cnil.fr
- Adresse : 3, place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
7. Cookies et traceurs
L'Application mobile n'utilise pas de cookies au sens classique du terme. Toutefois, les technologies suivantes sont employées :
| Technologie | Finalité | Base légale |
|---|---|---|
| Jeton d'authentification (JWT) | Maintien de votre session connectée | Exécution du contrat |
| Identifiant OneSignal | Acheminement des notifications push | Consentement |
| Préférences locales (SharedPreferences) | Stockage de la langue choisie sur l'appareil | Exécution du contrat |
Aucun traceur publicitaire n'est utilisé. Aucun profilage à des fins marketing n'est effectué.
8. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement en transit : toutes les communications utilisent le protocole HTTPS/TLS.
- Chiffrement au repos : la base de données PostgreSQL et le stockage de fichiers sont chiffrés nativement par Supabase.
- Contrôle d'accès : des politiques de sécurité au niveau des lignes (Row-Level Security) empêchent tout utilisateur d'accéder aux données d'un autre utilisateur sans autorisation.
- Authentification sécurisée : jetons JWT avec renouvellement automatique ; hashage des mots de passe (jamais stockés en clair).
- Nonce cryptographique : utilisé pour l'authentification Apple Sign-In (SHA-256).
- Compression des images : les photos sont redimensionnées (max 1500 px) et compressées (80 %) avant envoi.
- Accès administrateur limité : l'accès aux données en base est restreint et audité via le tableau de bord Supabase.
9. Données des mineurs
L'Application n'est pas destinée aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et que vous pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter à contact@expozart.com afin que nous procédions à leur suppression.
10. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle :
- La date de « Dernière mise à jour » en haut du document sera actualisée.
- Une notification sera envoyée dans l'Application pour vous informer des changements.
- La poursuite de l'utilisation de l'Application après notification vaut acceptation de la politique modifiée.
11. Contact
Pour toute question relative à la présente politique de confidentialité ou à la protection de vos données personnelles :
Email : contact@expozart.com
Cette politique de confidentialité est effective à compter du 18 mai 2026.