Politique de confidentialité – FanReview

Dernière mise à jour : 9 octobre 2025

1) Qui sommes-nous ?

Responsable du traitement : José Alves (éditeur de l’application FanReview), France

Contact (données personnelles) : support@fanreview.app

Référent vie privée (DPO ou équivalent) : non applicable (activité individuelle, traitements à faible risque)

Hébergement des données : Supabase (AWS – Région : Paris, France / eu-west-3)

Représentant UE : non applicable (responsable établi en France)

Cette politique est accessible avant installation (fiche App Store/Google Play) et, dans l’app, via Profil → Mentions légales → Politique de confidentialité.

2) À qui s’adresse l’app ?

L’app ne vise pas spécifiquement les enfants. Si vous êtes en-dessous de l’âge requis par la loi de votre pays pour consentir au traitement de vos données (ex. 15 ans en France), l’autorisation d’un parent/tuteur peut être nécessaire. (Le classement Apple “4+” concerne le contenu, pas le régime de protection des données.)

3) Données que nous traitons (minimisation)

Données de compte : e-mail et informations OAuth (Google/Apple) via Supabase Auth ; identifiant interne.
Contenus fournis : avis, notes, favoris, statistiques personnelles affichées dans l’app.
Données techniques/diagnostic : journaux applicatifs, identifiants de session, modèle d’appareil, version d’OS, horodatages, IP tronquée (sécurité), événements de performance/stabilité.
Localisation précise (si vous l’autorisez) : position pendant l’utilisation d’une fonctionnalité qui en a besoin (ex. stades/événements à proximité, pré-remplir le lieu d’un avis, afficher la carte). Pas de collecte en arrière-plan. Nous ne conservons pas les coordonnées précises au-delà du nécessaire ; quand c’est possible, nous ne stockons qu’une donnée dérivée (ex. identifiant de stade ou ville).
Publicité non personnalisée : diffusion via Google AdMob ; en Europe, la personnalisation est désactivée.

Non utilisés aujourd’hui : contacts, caméra/photos, micro, identifiant publicitaire (IDFA/AAID). Si une future fonctionnalité requiert une permission, elle sera expliquée et restera facultative.

4) Finalités, bases légales, durées, destinataires

Finalité	Données	Base	Durée	Destinataires
Création/gestion du compte	E-mail, OAuth, identifiant	Exécution du contrat	Compte actif + 24 mois d’inactivité (puis suppression/anonymisation)	Supabase
Publication d’avis/notes/favoris	Contenus fournis	Exécution du contrat	Jusqu’à suppression (par vous) ou du compte	Supabase
Sécurité/anti-abus/diagnostic	Journaux, IP tronquée, identifiants techniques	Intérêt légitime	6–12 mois selon le type de log	Hébergeur/infra
Localisation (si activée)	Coordonnées précises (foreground), données dérivées (stade/ville)	Consentement	Temporaire pour la session ; si conversion en donnée dérivée, même durée que l’avis/la carte	— (et nos serveurs si conversion nécessaire)
Notifications push (si activées)	Jeton push	Consentement	Jusqu’au retrait du consentement ou 24 mois d’inactivité	APNs/FCM/Expo
Publicité non personnalisée	Signaux strictement nécessaires (anti-fraude, limitation)	Intérêt légitime + ePrivacy	Selon règles AdMob (réduction au minimum)	Google AdMob
Obligations légales	Données nécessaires	Obligation légale	Selon exigence	Autorités compétentes (le cas échéant)

5) Permissions & notifications

Localisation précise : autorisation système requise. Usage pendant l’utilisation uniquement ; pas d’arrière-plan. Vous pouvez retirer l’autorisation dans les réglages système de l’appareil.
Notifications : vous pouvez désactiver les notifications dans les réglages système.
Autres permissions : non utilisées aujourd’hui.

6) Consentements UE (CMP/UMP) & traceurs

Pour les utilisateurs situés en EEE/UK/CH, un message de consentement (Google UMP/CMP) est présenté lors de la première ouverture ou après un changement de cadre. Vous pouvez accepter ou refuser les traceurs non nécessaires avec la même facilité, et modifier vos choix à tout moment via Profil → Mentions légales → Gérer mes consentements (réouverture du formulaire UMP). En cas de refus, la publicité est limitée au strict nécessaire (non personnalisée).

7) Sous-traitants / SDK

Supabase (authentification, base de données — Paris eu-west-3)
Google AdMob (annonces non personnalisées)
APNs/FCM/Expo (acheminement des notifications push, si activées)

Nous encadrons contractuellement nos sous-traitants (art. 28 RGPD) et limitons l’accès au strict nécessaire.

8) Transferts internationaux

Les données de compte sont hébergées dans l’UE (Paris). Certaines opérations techniques liées à la publicité/mesure peuvent impliquer Google LLC hors EEE ; ces transferts sont encadrés par des garanties appropriées (notamment Clauses Contractuelles Types et/ou Data Privacy Framework). Nous limitons les données transférées au strict nécessaire et désactivons la personnalisation publicitaire.

9) Sécurité

Chiffrement en transit (TLS/HTTPS), contrôle d’accès fondé sur le moindre privilège, journalisation, mises à jour régulières, séparation des environnements. En cas de violation de données présentant un risque, nous notifierons l’autorité compétente et, si nécessaire, les personnes concernées.

10) Vos droits (RGPD)

Droits d’accès, rectification, effacement, limitation, portabilité, opposition, et droit de retirer votre consentement à tout moment (sans effet rétroactif).

Exercer vos droits : support@fanreview.app (une vérification d’identité peut être requise). Délai de réponse : 1 mois (prolongeable jusqu’à 2 mois en cas de complexité). Vous pouvez saisir la CNIL.

Suppression de compte (in-app)

Si vous avez créé un compte, vous pouvez le supprimer directement dans l’application : Profil → Compte → Supprimer mon compte (suppression/anonymisation côté serveur).

11) Enfants

L’app n’est pas spécifiquement destinée aux enfants. L’accord d’un parent/tuteur peut être requis si la loi locale l’impose.

12) Conservation

Nous appliquons des durées par finalité (cf. tableau §4), puis suppression ou anonymisation. Les sauvegardes suivent des rétentions limitées ; les preuves de consentement sont conservées le temps nécessaire au respect des obligations légales.

13) Décisions automatisées

Aucune décision produisant des effets juridiques n’est prise uniquement sur la base d’un traitement automatisé.

14) Modifications

Nous pouvons mettre à jour cette politique ; en cas de changement substantiel, une information sera affichée dans l’app. La date en en-tête est actualisée à chaque version.

Annexe A — Permissions (aujourd’hui)

Permission	Statut	Détails	Comment la gérer
Localisation précise	Optionnelle	Collectée pendant l’utilisation ; pas d’arrière-plan ; conversion en stade/ville quand possible	Autorisation dans les réglages système
Notifications	Optionnelle	Jeton push si vous acceptez	Activer/désactiver dans les réglages système
Caméra/Photos	Non utilisée	—	—

Annexe B — Partenaires & emplacements (résumé)

Supabase : Auth/BDD/Storage — AWS, Paris (eu-west-3)
Google AdMob : annonces non personnalisées (EEE : consentements UMP)
APNs/FCM/Expo : acheminement des notifications push (si activées)

Annexe C — Publicité (non personnalisée) & consentements (EEE)

Par défaut, nous désactivons toute personnalisation publicitaire.
La CMP/UMP permet d’accepter/refuser les traceurs non nécessaires avec la même facilité et de modifier vos choix à tout moment (Profil → Mentions légales → Gérer mes consentements).
En cas de refus des traceurs non essentiels, nous cherchons à servir des formats ne nécessitant pas d’accès au terminal au-delà du strict nécessaire (ou, à défaut, nous les désactivons).

Annexe D — Conformité App Store (Apple)

URL de politique fournie sur App Store Connect ; Privacy Labels/Manifests tenus à jour.
AppTrackingTransparency (ATT) : nous ne réalisons pas de “tracking” au sens d’Apple. Si une future fonctionnalité constituait du tracking, l’app afficherait la demande ATT avant toute collecte.

Pour toute question : support@fanreview.app