1. Responsable du traitement
Le responsable du traitement de vos données personnelles est la société Evora SAS, société par actions simplifiée au capital social de [montant à compléter] euros, dont le siège social est situé à [adresse à compléter, Paris, France], immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro [SIREN à compléter].
Vous pouvez nous contacter par courrier postal à l'adresse de notre siège social, ou par e-mail à contact@evora-app.compour toute question d'ordre général, ou à dpo@evora-app.com pour toute question relative à la protection de vos données personnelles.
2. Délégué à la protection des données (DPO)
Evora a désigné un Délégué à la Protection des Données (DPO) dont la mission est de veiller au respect de la réglementation applicable en matière de données personnelles et d'être votre interlocuteur privilégié pour toute question liée à vos droits.
Vous pouvez contacter notre DPO :
- Par e-mail : dpo@evora-app.com
- Par courrier postal : Evora SAS — À l'attention du DPO, [adresse à compléter], Paris, France
Le DPO s'engage à répondre à toute demande dans un délai maximum d'un mois (prorogeable de deux mois en cas de demande complexe, conformément à l'article 12.3 du RGPD).
3. Finalités du traitement
Vos données personnelles sont collectées et traitées pour les finalités suivantes :
3.1 Création et gestion de votre compte
Permettre votre inscription au service, l'authentification, la modification de votre profil, et l'exercice de vos droits sur le service (CGU).
3.2 Découverte et inscription à des événements
Vous proposer des événements pertinents en fonction de votre localisation (avec votre consentement), de vos centres d'intérêt et de votre historique d'utilisation, et vous permettre de vous inscrire à un événement organisé par un tiers.
3.3 Communication avec les organisateurs
Transmettre aux organisateurs des événements auxquels vous vous inscrivez les informations strictement nécessaires (votre identité, email, présence à l'événement) pour l'exécution du contrat que vous formez avec eux.
3.4 Paiement et facturation (organisateurs uniquement)
Permettre aux organisateurs payants de souscrire à leur abonnement via Stripe, d'être facturés mensuellement et de recevoir leurs factures à des fins comptables.
3.5 Notifications push et e-mails transactionnels
Vous notifier d'événements importants (rappel J-1 d'un événement, message de l'organisateur, demande d'ami, confirmation d'inscription) via push notification (Apple APNs, Google FCM) ou e-mail (Brevo).
3.6 Analytics produit (avec votre consentement)
Mesurer l'usage du service de manière agrégée pour améliorer l'application et corriger les anomalies (PostHog). Vous pouvez retirer ce consentement à tout moment depuis votre espace Mes données.
3.7 Sécurité et lutte contre la fraude
Détecter les tentatives d'accès non autorisé, les comportements abusifs (spam, harcèlement) et les fraudes au paiement. Ces traitements reposent sur notre intérêt légitime à protéger nos utilisateurs et notre service.
3.8 Conformité légale
Répondre à nos obligations légales (conservation des factures pendant 10 ans, réponse aux réquisitions judiciaires, modération du contenu conformément au Règlement DSA).
4. Bases légales
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale spécifique :
| Finalité | Base légale |
|---|---|
| Création et gestion de compte | Exécution du contrat (art. 6.1.b — CGU) |
| Géolocalisation | Consentement (art. 6.1.a) |
| Inscription à un événement | Exécution du contrat (art. 6.1.b) |
| Paiement et facturation | Exécution du contrat (CGV) + obligation légale (art. 6.1.b et 6.1.c) |
| Notifications transactionnelles essentielles | Exécution du contrat (art. 6.1.b) |
| Analytics produit | Consentement (art. 6.1.a) |
| Marketing direct (newsletter, offres) | Consentement (art. 6.1.a) |
| Recommandations personnalisées | Consentement (art. 6.1.a) |
| Sécurité et lutte contre la fraude | Intérêt légitime (art. 6.1.f) |
| Conservation comptable | Obligation légale (art. 6.1.c — Code de commerce) |
Les consentements donnés peuvent être retirés à tout moment depuis votre espace Mes données, sans que cela n'affecte la licéité des traitements effectués avant le retrait.
5. Catégories de données collectées
5.1 Données d'identité
Adresse e-mail, mot de passe (haché via bcrypt), prénom, nom, date de naissance, sexe (optionnel), photo de profil, photo de couverture, biographie courte. Pour les inscriptions via OAuth (Google, Apple, Facebook), nous récupérons votre identifiant fournisseur et votre e-mail.
5.2 Données de localisation
Coordonnées GPS (latitude/longitude) lorsque vous activez la géolocalisation, position approximative basée sur l'adresse IP en cas de désactivation. La géolocalisation précise n'est collectée qu'avec votre consentement explicite et peut être révoquée à tout moment depuis les paramètres de votre appareil.
5.3 Données comportementales
Historique des événements consultés, des inscriptions, des favoris, des recherches, des organisateurs suivis. Ces données alimentent les recommandations sur l'onglet Découverte (avec votre consentement).
5.4 Données de paiement (organisateurs uniquement)
Numéro client Stripe (Stripe Customer ID), IBAN partiel (4 derniers chiffres), historique des factures. Le numéro complet de carte bancaire n'est jamais stocké chez Evora — il transite exclusivement via Stripe (PCI-DSS Level 1).
5.5 Données techniques
Adresse IP, type d'appareil, version du système d'exploitation, version de l'application, langue, identifiant de session, token de push notification (APNs/FCM).
5.6 Données de contenu
Messages publiés (questions sur les événements, annonces des organisateurs), photos ajoutées à votre galerie d'événement, signalements de contenu.
6. Destinataires des données
Vos données peuvent être transmises aux destinataires suivants :
6.1 Organisateurs d'événements
Lorsque vous vous inscrivez à un événement, l'organisateur reçoit votre identité (prénom + nom + email + photo si disponible) et peut vous contacter dans le cadre de l'événement. Cet organisateur agit alors en qualité de responsable de traitement distinct, et est lié à Evora par un Data Processing Agreement (DPA, voir /dpa).
6.2 Sous-traitants techniques
Evora s'appuie sur une liste limitée de sous-traitants techniques, listés exhaustivement sur la page /sous-traitants. Chacun est lié par contrat de sous-traitance conforme à l'article 28 du RGPD (clauses contractuelles types Commission UE le cas échéant).
6.3 Autorités publiques
En cas de réquisition judiciaire ou administrative obligatoire, nous pouvons être amenés à transmettre vos données aux autorités compétentes (police, gendarmerie, autorité judiciaire). Nous ne répondons qu'aux demandes formellement valides.
Evora ne vend jamais vos données personnelles à des tiers à des fins commerciales.
7. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Compte actif (profil, paramètres) | Tant que le compte est actif |
| Compte inactif (sans connexion) | Notification de suppression après 3 ans d'inactivité, suppression effective après 3 mois supplémentaires |
| Historique des événements | 5 ans après la fin de l'événement (preuve de participation) |
| Données de facturation (organisateurs) | 10 ans à compter de l'émission de la facture (obligation comptable, art. L123-22 Code de commerce) |
| Logs techniques (IP, sessions) | 12 mois maximum (LCEN art. 6.II) |
| Données analytiques (PostHog) | 24 mois maximum |
| OTP de signup non consommés | 24 heures |
| Demandes RGPD (audit trail) | 3 ans (preuve de traitement) |
| Suppression de compte demandée | Délai de grâce 30 jours, puis anonymisation immédiate |
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
8.1 Droit d'accès (art. 15)
Vous pouvez obtenir confirmation que vos données sont traitées par Evora, et en obtenir une copie. Pour ce faire, rendez-vous sur Mes données.
8.2 Droit de rectification (art. 16)
Vous pouvez corriger toute donnée inexacte ou incomplète vous concernant directement depuis votre profil.
8.3 Droit à l'effacement (art. 17)
Vous pouvez demander la suppression de votre compte et de vos données personnelles depuis Mes données> « Supprimer mon compte ». Un délai de grâce de 30 jours est appliqué pendant lequel vous pouvez annuler votre demande en vous reconnectant. Passé ce délai, vos données sont anonymisées de manière irréversible. Les obligations légales de conservation (facturation, logs) restent d'application.
8.4 Droit à la portabilité (art. 20)
Vous pouvez recevoir une copie de vos données dans un format structuré, couramment utilisé et lisible par machine (JSON + CSV dans une archive ZIP). Demandez votre export depuis Mes données> « Exporter mes données ». Vous recevrez un e-mail contenant un lien de téléchargement valable 7 jours.
8.5 Droit d'opposition (art. 21)
Vous pouvez vous opposer à certains traitements optionnels (analytics, marketing, personnalisation) sans supprimer votre compte, depuis Mes données> « Vos consentements ».
8.6 Droit à la limitation du traitement (art. 18)
Vous pouvez demander le gel temporaire du traitement de vos données (par exemple en cas de litige en cours sur l'exactitude de celles-ci) en contactant dpo@evora-app.com.
8.7 Directives post-mortem (loi Informatique et Libertés art. 85)
Vous pouvez définir des directives relatives au sort de vos données après votre décès, en contactant le DPO. À défaut, vos héritiers peuvent demander la suppression ou la communication de vos données.
8.8 Exercice des droits
La plupart des droits peuvent être exercés en autonomie depuis l'application. Pour les autres demandes, contactez le DPO à dpo@evora-app.com. Nous nous engageons à répondre dans un délai maximum d'un mois.
9. Transferts hors UE
Certains de nos sous-traitants techniques sont basés en dehors de l'Union Européenne (États-Unis principalement) ou opèrent une infrastructure mondiale. Les transferts vers ces destinataires sont encadrés par :
- Clauses Contractuelles Types approuvées par la Commission Européenne (décision 2021/914) pour Stripe Inc., Vercel Inc., PostHog Inc., Sentry Inc., Mapbox Inc., LaunchDarkly Inc., Apple Inc., Google LLC.
- Stockage des données dans l'UE pour Supabase (région EU-West-1, Irlande) et Brevo (France).
- Hébergement souverain France pour notre instance N8N (OVH France).
La liste exhaustive des sous-traitants et de la localisation des données est disponible sur /sous-traitants.
10. Sources des données
La quasi-totalité des données est collectée directement auprès de vous au moment de l'inscription, de la création de votre profil et de l'utilisation du service.
Lorsque vous vous inscrivez via OAuth (Google, Apple, Facebook), les fournisseurs OAuth nous transmettent votre identifiant et votre adresse e-mail. Aucune donnée tierce supplémentaire (liste d'amis, photos, contacts) n'est récupérée.
11. Profilage et décisions automatisées
Evora utilise du profilage limité pour les fonctionnalités de recommandation sur l'onglet Découverte : le moteur classe les événements en fonction de votre historique d'interactions, de votre localisation et de vos centres d'intérêt déclarés.
Aucune décision juridique ou contractuelle automatisée (article 22 RGPD) n'est prise par Evora à votre égard. Toute suspension ou résiliation de compte fait l'objet d'une revue humaine par notre équipe modération.
Vous pouvez désactiver les recommandations personnalisées depuis Mes données> « Personnalisation ».
12. Sécurité
Evora met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :
- Chiffrement TLS 1.3 sur tous les flux entre le client et nos serveurs
- Chiffrement au repos des bases de données Supabase (AES-256)
- Row Level Security (RLS) activée sur 100% des tables sensibles
- Hachage bcrypt pour les mots de passe (jamais stockés en clair)
- Authentification à deux facteurs (2FA) optionnelle via TOTP
- Audit logs sur toutes les actions administratives
- Backups automatiques Supabase (PITR 7 jours en production)
- Stockage des secrets dans Supabase Vault (chiffré)
- Headers HTTP de sécurité stricts (CSP, HSTS, X-Frame-Options)
- Monitoring d'erreurs anonymisé via Sentry
- Revues de code obligatoires avant déploiement en production
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures (article 33 RGPD) et, le cas échéant, à vous en informer personnellement (article 34 RGPD).
14. Modifications de la politique
Evora se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour refléter des évolutions légales ou techniques. En cas de modification substantielle, nous vous en informerons par e-mail et via une notification dans l'application au moins 30 jours avant l'entrée en vigueur.
Vous pourrez à tout moment consulter la version en vigueur sur la présente page. Les versions antérieures restent accessibles sur demande auprès du DPO.
15. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : https://www.cnil.fr/fr/plaintes
- Par courrier postal : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Par téléphone : 01 53 73 22 22