Politique de confidentialité

1. INTRODUCTION

La société RAY, SASU au capital de 5.000€, immatriculée au RCS de Bayonne sous le numéro 991 304 809, ayant son siège social au 9 rue Lohitzun, 64500 Saint-Jean-de-Luz (ci-après « Ray », « nous », « notre »), s’engage à protéger votre vie privée et vos données personnelles conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée.

Cette Politique de Confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations lorsque vous utilisez notre application mobile et notre site web www.ray-app.com (ci-après les « Services »). Elle s’applique à tout utilisateur résidant dans l’Union européenne ou soumis à la législation européenne sur la protection des données.

Responsable du traitement des données :

• SASU RAY
• 9 rue Lohitzun – 64500 Saint-Jean-de-Luz
• Email : [email protected]

Ray n’est pas tenu de désigner un DPD au sens de l’article 37 du RGPD. Tout exercice de droits ou question relative à vos données peut être adressé directement à [email protected].

Nous nous engageons à répondre dans les délais prescrits par le RGPD.

2. DONNÉES PERSONNELLES COLLECTÉES

Nous collectons uniquement les données strictement nécessaires aux finalités décrites dans la présente politique, conformément au principe de minimisation des données (art. 5.1.c RGPD).

2.1 Données d’identification

• Nom et prénom
• Adresse email
• Numéro de téléphone
• Date de naissance
• Genre
• Photo de profil (facultative)

2.2 Données de profil et préférences

• Description personnelle (facultative)
• Centres d’intérêt
• Ville de résidence
• Préférences d’activités
• Paramètres de notification

2.3 Données d’activité sur la plateforme

• Activités auxquelles vous participez
• Activités que vous proposez
• Favoris et préférences d’activités
• Interactions avec d’autres membres (messages, groupes d’intérêt)
• Historique de participation aux événements
• Avis et recommandations de professionnels

2.4 Données de géolocalisation

• Localisation géographique approximative (ville, région) – uniquement avec votre consentement explicite préalable
• Localisation pour afficher les activités à proximité

La géolocalisation précise n’est jamais conservée au-delà de la session en cours.

2.5 Données de covoiturage

• Point de départ et destination des trajets
• Horaires de départ souhaités
• Nombre de places disponibles/demandées
• Coordonnées partagées entre conducteurs et passagers pour l’organisation du trajet

2.6 Données de paiement et d’abonnement

• Type d’abonnement souscrit
• Date de souscription et renouvellement
• Statut de l’abonnement (actif, expiré, résilié)
• Historique des paiements (date, montant)

Vos données bancaires (numéro de carte, cryptogramme, date d’expiration) ne sont JAMAIS stockées par Ray. Elles sont traitées directement et exclusivement par nos prestataires de paiement sécurisés (Stripe et RevenueCat) conformément aux normes PCI-DSS niveau 1. Ray ne dispose à aucun moment d’un accès à ces données.

2.7 Données techniques

• Adresse IP
• Type d’appareil (modèle, système d’exploitation, version)
• Identifiant unique de l’appareil
• Données de navigation (pages consultées, durée des visites)
• Données de connexion (date, heure, fréquence d’utilisation)
• Version de l’application
• Langue de l’appareil

2.8 Données d’image et de contenu

• Photos prises lors d’événements organisés par Ray (avec votre consentement préalable et spécifique)
• Contenus que vous publiez (sondages, annonces, messages, activités)

Toute photographie prise lors d’un événement fera l’objet d’une information préalable et d’un recueil de consentement séparé conformément à l’article 9 de la loi du 1er juillet 1972 sur le droit à l’image.

3. BASE LÉGALE ET FINALITÉS DU TRAITEMENT

Conformément à l’article 13 du RGPD, nous vous informons des bases juridiques sur lesquelles reposent nos traitements. Tout traitement qui ne repose pas sur l’une des bases légales listées ci-dessous est interdit.

3.1 Exécution du contrat (art. 6.1.b RGPD)

Finalités :

• Créer et gérer votre compte utilisateur
• Fournir l’accès aux services de la plateforme
• Vous permettre de vous inscrire aux activités
• Gérer votre abonnement et les paiements
• Traiter vos demandes et réclamations

Données concernées : identification, profil, activité, paiement

3.2 Consentement (art. 6.1.a RGPD)

Finalités :

• Collecter votre géolocalisation pour proposer des activités à proximité
• Faciliter l’organisation de covoiturages
• Partager votre photo lors d’événements pour la promotion de Ray
• Envoyer des newsletters et communications marketing

Données concernées : géolocalisation, covoiturage, images, préférences de notification

Retrait du consentement Vous pouvez retirer votre consentement à tout moment via les paramètres de votre compte ou en nous contactant à [email protected]. Le retrait ne remet pas en cause la licéité du traitement antérieur (art. 7.3 RGPD).

3.3 Intérêt légitime (art. 6.1.f RGPD)

Finalités :

• Améliorer nos services et développer de nouvelles fonctionnalités
• Réaliser des statistiques d’utilisation anonymisées
• Assurer la sécurité de la plateforme et prévenir la fraude
• Gérer les litiges et réclamations

Données concernées : données techniques, données d’activité

3.4 Obligation légale (art. 6.1.c RGPD)

Finalités :

• Répondre aux obligations fiscales et comptables
• Conserver les données nécessaires en cas de litige
• Répondre aux demandes des autorités compétentes

Données concernées : données de facturation, paiement

4. DESTINATAIRES DES DONNÉES

Vos données personnelles sont accessibles exclusivement aux catégories de destinataires suivants, dans le strict respect du principe de limitation de l’accès aux données (art. 5.1.f RGPD) :

4.1 Personnel autorisé de Ray

Seuls les membres de notre équipe ayant besoin d’accéder à vos données pour vous fournir les services peuvent les consulter. L’accès est contrôlé selon le principe du moindre privilège et fait l’objet d’une traçabilité (journalisation des accès).

4.2 Autres utilisateurs de Ray (données publiques)

Données visibles par les autres membres :

• Pseudo
• Photo de profil, ville et description (si renseignés)
• Activités auxquelles vous participez (visibles par les autres participants)

Aucune donnée sensible ou d’identification directe (email, téléphone, date de naissance) n’est visible par les autres utilisateurs.

4.3 Partenaires locaux

Les organisateurs d’activités partenaires (associations, prestataires) reçoivent uniquement :

• Nom et prénom des participants inscrits
• Nombre de participants
• Coordonnées de contact si nécessaire pour l’organisation de l’activité

Ces partenaires sont contractuellement tenus de respecter la confidentialité de vos données et de ne les utiliser qu’aux fins indiquées.

4.4 Sous-traitants et prestataires techniques

Tous nos sous-traitants ont été sélectionnés sur la base de leurs garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (art. 28 RGPD). Des contrats de sous-traitance conformes au RGPD ont été conclus avec chacun d’eux.

• Supabase (France - UE)
  • Finalité : Hébergement BDD
  • Garanties : RGPD, chiffrement des données
  • Site : https://supabase.com/privacy
• Stripe (Irlande - UE)
  • Finalité : Paiements CB
  • Garanties : PCI-DSS Niveau 1, RGPD
  • Site : https://stripe.com/fr/privacy
• RevenueCat (États-Unis)
  • Finalité : Gestion abonnements
  • Garanties : Clauses contractuelles types (CCT) UE
  • Site : https://www.revenuecat.com/privacy
• Google Analytics (États-Unis / UE)
  • Finalité : Statistiques anonymisées
  • Garanties : CCT UE, anonymisation IP

4.5 Autorités légales

En cas d’obligation légale dûment fondée, vos données peuvent être transmises aux autorités compétentes (police, justice, administration fiscale). Ray examinera systématiquement la légitimité et la proportionnalité de toute demande avant de procéder à une transmission.

5. TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE

Certains de nos sous-traitants sont situés en dehors de l’Union Européenne. Conformément au Chapitre V du RGPD, tout transfert vers un pays tiers est encadré par des garanties adéquates.

• RevenueCat (États-Unis)
  • Garanties : Clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision 2021/914)
• Google Analytics (États-Unis)
  • Garanties : CCT + mesures supplémentaires (anonymisation IP, Data Processing Amendment)

Vous pouvez obtenir une copie des garanties mises en place en nous contactant à [email protected].

6. DURÉE DE CONSERVATION DES DONNÉES

Conformément à l’article 5.1.e du RGPD (principe de limitation de la conservation), nous conservons vos données personnelles uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées.

• Données de compte actif : Durée de l'abonnement + 3 ans
  • Base légale : Exécution du contrat
• Données de compte supprimé : 30 jours (puis suppression définitive)
  • Base légale : Obligation légale (possibilité de restauration)
• Données de facturation : 10 ans
  • Base légale : Obligation légale (fiscale et comptable)
• Données de géolocalisation : Session uniquement (non conservées)
  • Base légale : Consentement
• Données de covoiturage : Durée du trajet + 30 jours
  • Base légale : Consentement
• Cookies analytiques : 13 mois maximum
  • Base légale : Consentement
• Logs de connexion (sécurité) : 12 mois
  • Base légale : Intérêt légitime
• Données de messages/interactions : Durée du compte + 1 an
  • Base légale : Intérêt légitime

À l’expiration de ces délais, vos données sont soit supprimées définitivement et de manière irréversible, soit anonymisées de façon à ne plus permettre votre identification, pour des analyses statistiques. Aucune donnée anonymisée ne peut être réattribuée.

7. SÉCURITÉ DES DONNÉES

Conformément à l’article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées, adaptées au niveau de risque, pour protéger vos données personnelles contre toute atteinte à leur confidentialité, intégrité ou disponibilité.

7.1 Mesures techniques

• Chiffrement des données sensibles en transit (SSL/TLS 1.3)
• Authentification sécurisée (mots de passe hachés avec algorithme bcrypt)
• Contrôle d’accès strict aux données (principe du moindre privilège)
• Sauvegardes régulières et sécurisées avec vérification d’intégrité
• Surveillance et détection des incidents de sécurité (monitoring continu)

7.2 Mesures organisationnelles

• Formation de notre personnel à la protection des données
• Politique de gestion des accès et habilitations
• Procédure de gestion des violations de données (plan de réponse aux incidents)
• Clauses de confidentialité dans les contrats de travail et avec les prestataires

Violation de données En cas de violation de données personnelles susceptible d’engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais, et au plus tard dans les 72 heures suivant la découverte de l’incident, conformément à l’article 34 du RGPD. La notification contiendra la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises pour y remédier.

8. VOS DROITS

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles. Ces droits peuvent être exercés gratuitement et sans justification (sauf exceptions légales).

8.1 Droit d’accès (art. 15 RGPD)

Vous pouvez obtenir la confirmation que vos données font l’objet d’un traitement, ainsi qu’une copie de l’ensemble de vos données personnelles que nous détenons, accompagnée d’informations sur les modalités du traitement.

8.2 Droit de rectification (art. 16 RGPD)

Vous pouvez corriger ou mettre à jour vos données inexactes ou incomplètes directement dans les paramètres de votre compte ou en nous contactant.

8.3 Droit à l’effacement – « droit à l’oubli » (art. 17 RGPD)

Vous pouvez demander la suppression de vos données dans les cas suivants :

• Elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées
• Vous retirez votre consentement (pour les traitements basés sur le consentement)
• Vous vous opposez au traitement et il n’existe pas de motif légitime impérieux
• Vos données ont été traitées de manière illicite

Exception : nous pouvons conserver certaines données si une obligation légale l’exige (ex. : facturation pendant 10 ans) ou en cas de litige en cours.

8.4 Droit à la portabilité (art. 20 RGPD)

Pour les traitements basés sur votre consentement ou sur l’exécution d’un contrat, vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et les transmettre à un autre responsable de traitement.

8.5 Droit d’opposition (art. 21 RGPD)

Vous pouvez vous opposer à tout moment :

• Au traitement de vos données à des fins de marketing direct (droit absolu, sans motif)
• Au traitement basé sur notre intérêt légitime (sauf motif légitime impérieux de notre part)

8.6 Droit à la limitation du traitement (art. 18 RGPD)

Vous pouvez demander la limitation du traitement dans les cas prévus par l’article 18 RGPD : contestation de l’exactitude des données, opposition au traitement en attente de vérification, traitement illicite sans suppression, besoin de conservation pour un litige.

8.7 Droit de retirer votre consentement (art. 7.3 RGPD)

Pour les traitements basés sur votre consentement (géolocalisation, newsletter, images), vous pouvez le retirer à tout moment via les paramètres de votre compte, sans que cela n’affecte la licéité des traitements antérieurs.

8.8 Droit de définir des directives post-mortem (loi Informatique et Libertés, art. 85)

Vous pouvez définir des directives relatives à la conservation, l’effacement ou la communication de vos données après votre décès, en nous contactant à [email protected].

8.9 Droit de ne pas faire l’objet d’une décision automatisée (art. 22 RGPD)

Ray n’effectue pas de prise de décision entièrement automatisée produisant des effets juridiques ou vous affectant de manière significative. Le profilage réalisé à des fins de recommandation d’activités ne constitue pas une telle décision automatisée.

9. COMMENT EXERCER VOS DROITS

Pour exercer l’un quelconque de vos droits, vous pouvez nous contacter :

• Par email : [email protected]
• Par courrier : SASU RAY, 9 rue Lohitzun, 64500 Saint-Jean-de-Luz

Informations à fournir dans votre demande :

• Nom et prénom
• Adresse email associée à votre compte
• Copie d’une pièce d’identité (uniquement en cas de doute sur votre identité)
• Description précise de votre demande et du droit que vous souhaitez exercer

Délai de réponse Nous nous engageons à répondre à votre demande dans un délai d’un mois à compter de sa réception (art. 12.3 RGPD). Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, avec notification préalable. La réponse est gratuite ; des frais raisonnables peuvent s’appliquer en cas de demandes manifestement infondées ou excessives

Voie de recours : CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

• CNIL
• 3 Place de Fontenoy, TSA 80715
• 75334 PARIS CEDEX 07
• Tél. : 01 53 73 22 22
• www.cnil.fr

10. COOKIES ET TECHNOLOGIES SIMILAIRES

10.1 Définition

Un cookie est un petit fichier texte déposé sur votre appareil lors de votre visite sur notre site web ou lors de l’utilisation de notre application. Les cookies permettent de reconnaître votre appareil et de mémoriser certaines informations selon les préférences indiquées. Conformément à l’article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL, le dépôt de cookies non essentiels est subordonné à votre consentement préalable exprès.

10.2 Types de cookies utilisés

Cookies strictement nécessaires (dispensés de consentement)

• Authentification : maintien de votre session connectée
• Sécurité : prévention de la fraude, protection CSRF
• Préférences : mémorisation de vos choix (langue, paramètres)

Durée de conservation : session ou jusqu’à 12 mois.

Cookies analytiques (consentement requis)

• Statistiques d’utilisation : nombre de visiteurs, pages consultées, durée des visites
• Performance : identification des pages à améliorer

Outil utilisé : Google Analytics. Durée de conservation : 13 mois maximum.

Cookies marketing (consentement requis)

• Newsletters : suivi de l’ouverture et des clics dans nos emails (opt-in uniquement)

Durée de conservation : 13 mois maximum

10.3 Gérer vos préférences cookies

Sur notre site web : Vous pouvez à tout moment modifier vos préférences via le bandeau cookies (consentement grâce à une Consent Management Platform - CMP conforme CNIL) ou dans les paramètres de votre compte.

Sur votre navigateur :

• Chrome (Paramètres > Confidentialité > Cookies),
• Firefox (Options > Vie privée),
• Safari (Préférences > Confidentialité),
• Edge (Paramètres > Cookies).

ATTENTION : Le refus de certains cookies peut affecter le bon fonctionnement de certaines fonctionnalités de nos Services.

11. DONNÉES DES MINEURS

Ray est un service destiné exclusivement aux personnes âgées de 18 ans et plus. Nous ne collectons pas sciemment de données personnelles de mineurs. L’inscription implique que vous déclarez avoir atteint l’âge requis.

Si nous apprenons qu’un mineur a créé un compte, nous procéderons à la suppression immédiate du compte et de toutes les données associées, conformément au RGPD et aux recommandations de la CNIL. Les représentants légaux peuvent nous signaler une telle situation à [email protected].

12. MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ

Nous pouvons modifier cette Politique de Confidentialité à tout moment pour refléter :

• les évolutions de nos services,
• les changements législatifs ou réglementaires,
• les retours de la CNIL ou d’autres autorités de protection des données.

En cas de modification substantielle affectant vos droits ou la manière dont nous traitons vos données, nous vous en informerons par :

• email à l’adresse associée à votre compte (au moins 30 jours avant l’entrée en vigueur),
• notification dans l’application,
• publication sur notre site web avec une date de mise à jour révisée.

La poursuite de l’utilisation des Services après notification ne vaut pas acceptation automatique des nouvelles conditions si des droits fondamentaux sont affectés. Nous vous inviterons à renouveler votre consentement le cas échéant.

13. CONTACT

Pour toute question concernant cette Politique de Confidentialité ou vos données personnelles, contactez-nous :

• SASU RAY
• 9 rue Lohitzun – 64500 Saint-Jean-de-Luz
• Email : [email protected]
• Site web : www.ray-app.com

14. INFORMATIONS SPÉCIFIQUES APPLE APP STORE ET GOOGLE PLAY STORE

Conformément aux exigences des stores d’applications (App Store Connect Guidelines, Google Play Developer Policy), nous fournissons les informations suivantes :

14.1 Données collectées et partagées

Cette politique détaille l’ensemble des données collectées via l’application Ray. Aucune donnée supplémentaire n’est collectée au-delà de celles mentionnées ci-dessus.

14.2 Données liées à vous

Les données suivantes sont liées à votre identité :

• Identifiants (email, numéro de téléphone)
• Coordonnées (nom, adresse)
• Localisation (ville, géolocalisation avec consentement)
• Contenu utilisateur (profil, photos, messages)

14.3 Données non liées à vous

Les données analytiques sont anonymisées et ne peuvent pas être retracées jusqu’à vous.

14.4 Suppression de compte

Vous pouvez demander la suppression définitive de votre compte et de toutes vos données via :

• Les paramètres de l’application : Compte > Supprimer mon compte
• Par email à [email protected]

La suppression prend effet dans les 30 jours suivant la demande. Certaines données de facturation sont conservées pendant 10 ans conformément aux obligations légales.