Politique de confidentialité

Le responsable du traitement des données personnelles est :

ANGREVIER TECHNOLOGIES SASU Représentée par Christian Angrevier, Président 15 Avenue Arthur Rimbaud, 60110 Méru, France SIREN / SIRET : 103 313 292 / 10331329200015 Contact RGPD / DPO : dpo@angmate.fr Délai de réponse garanti : 30 jours maximum, prorogeable une fois en cas de complexité.

Autorité de contrôle : CNIL, www.cnil.fr, 01 53 73 22 22.

Données collectées et finalités :

- Identité (prénom, email, date de naissance, identifiant unique) : création de compte, authentification, base légale : contrat - Profil sportif (niveau, objectifs, sports, disponibilités, bio) : matching, contrat - Photos : affichage profil, matching, consentement - Localisation approximative (ville, salle) : matching de proximité, consentement - Messages entre utilisateurs matchés : messagerie, contrat - Comportement in-app (matchs, séances, fréquence) : fiabilité, amélioration produit, intérêt légitime - Avis et notes post-séance : score de fiabilité, consentement - Données techniques (IP hashée, OS, version, device ID) : sécurité, débogage, intérêt légitime - Token de notifications push : envoi de notifications, consentement (OS) - Signalements et décisions de modération : sécurité plateforme, obligation légale

Données collectées via le site web : - Coordonnées professionnelles soumises via le formulaire de démo (prénom, email, nom de salle, ville), exécution précontractuelle - Données de navigation anonymisées via Plausible Analytics (sans cookie, sans identifiant personnel), intérêt légitime - Données de navigation et de performance via Vercel Web Analytics et Vercel Speed Insights (sans cookie, sans identifiant persistant), intérêt légitime - Données de navigation comportementale via Microsoft Clarity (cartes de chaleur, enregistrements de session, texte masqué), uniquement après consentement, base légale : consentement

Angmate n'utilise pas votre position GPS précise. Seule une zone approximative (ville, salle) est exploitée. La géolocalisation est désactivable à tout moment.

Aucune vente de données. Angmate ne vend, ne loue ni ne cède vos données à des tiers à des fins commerciales ou publicitaires.

Salles de sport partenaires. Les salles partenaires reçoivent uniquement des données agrégées et anonymisées (nombre d'utilisateurs actifs, taux de matching). Elles n'ont jamais accès à vos données personnelles individuelles ni à vos messages privés.

Partage avec les autres utilisateurs. Les informations de profil (prénom, photos, bio, sports, niveau) sont visibles des autres utilisateurs selon vos paramètres de confidentialité. Les messages privés ne sont visibles que de votre interlocuteur.

Sous-traitants techniques :

- OVH (France), hébergement infrastructure principal, France, ISO 27001, Clauses Contractuelles Types - Google Ireland Limited (Firebase, Google Cloud), services secondaires (notifications push, analytics app), UE, DPA Google + Clauses Contractuelles Types - Plausible Insights OU (analytics web), mesure d'audience anonymisée sans cookie, UE, DPA standard - Vercel Inc. (Vercel Web Analytics et Speed Insights), mesure d'audience et de performance du site web sans cookie ni identifiant persistant, États-Unis, DPA Vercel + Clauses Contractuelles Types - Microsoft Ireland Operations Limited (Microsoft Clarity), analytics comportementale web (cartes de chaleur, enregistrements de session), sur consentement uniquement, UE / États-Unis, Microsoft Products and Services DPA + Clauses Contractuelles Types - Expo / EAS, distribution des mises à jour mobiles, États-Unis, DPA + SCC - Stripe (si abonnement premium), traitement des paiements, Irlande / États-Unis, PCI DSS Niveau 1 + SCC - Apple / Google (stores), distribution et paiements in-app, États-Unis, conditions Apple / Google

Réquisitions judiciaires. Angmate peut être tenu de communiquer certaines données aux autorités compétentes dans le cadre d'une procédure judiciaire.

Certains sous-traitants (Google, Apple, Stripe, Expo, Microsoft, Vercel) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (Standard Contractual Clauses) adoptées par la Commission européenne (décision 2021/914), garantissant un niveau de protection adéquat conformément aux articles 44 et suivants du RGPD.

La liste complète des sous-traitants est disponible sur demande à dpo@angmate.fr.

Angmate utilise un algorithme automatisé pour suggérer des partenaires d'entraînement compatibles. Ce traitement constitue un profilage au sens de l'article 4.4 du RGPD.

Ces suggestions ne produisent aucun effet juridique ni effet significatif similaire au sens de l'article 22 du RGPD : il s'agit de simples recommandations. Vous restez libre d'interagir ou non avec les profils suggérés.

Toute décision de modération (suspension, suppression de compte) fait l'objet d'une intervention humaine et n'est jamais prise de manière entièrement automatisée.

- Compte actif : conservation pendant toute la durée d'utilisation - Compte supprimé : effacement sous 30 jours - Compte inactif > 24 mois : notification puis suppression - Messages privés : 24 mois après le dernier échange - Données comportementales : 24 mois puis anonymisation - Logs techniques (IP hashée) : 12 mois - Données de modération : 5 ans (obligations légales) - Données de facturation (si premium) : 10 ans (obligation comptable) - Lead site web (formulaire démo) : 36 mois après dernier contact (prospection B2B) - Données anonymisées : conservation statistique sans limite (ne constituent plus des données personnelles)

Conformément au RGPD, vous disposez des droits suivants, exerçables à dpo@angmate.fr avec justificatif d'identité :

- Droit d'accès (art. 15) : obtenir une copie de vos données - Droit de rectification (art. 16) : corriger des données inexactes - Droit à l'effacement / droit à l'oubli (art. 17) : suppression depuis Paramètres > Supprimer mon compte - Droit à la portabilité (art. 20) : recevoir vos données au format JSON - Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime - Droit à la limitation (art. 18) : geler temporairement un traitement - Droit de retrait du consentement : à tout moment, sans effet rétroactif

Délai de réponse : 30 jours maximum, prorogeable une fois en cas de complexité.

Réclamation CNIL. Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de toute autorité de contrôle compétente.

Mesures techniques :

- Chiffrement des données en transit (TLS 1.2+ / HTTPS) - Chiffrement au repos assuré par Google Cloud / Firebase - Hachage cryptographique des mots de passe via Firebase Authentication - Règles de sécurité Firebase (default-deny) et validation côté serveur - Journalisation des accès et détection d'anomalies

Mesures organisationnelles :

- Accès aux données limité au strict besoin de connaître - DPA signé avec chaque sous-traitant - Registre des traitements tenu à jour (obligation CNIL) - Procédure de gestion des incidents formalisée

Site web. La mesure d'audience repose sur Plausible Analytics et Vercel Web Analytics (sans cookie ni identifiant persistant, sans consentement requis), et le suivi de performance sur Vercel Speed Insights (sans cookie). Le site utilise en complément Microsoft Clarity (cartes de chaleur et enregistrements de session), soumis à votre consentement préalable via une bannière : Clarity dépose des cookies (_clck, _clsk et cookies Microsoft) et n'est activé que si vous l'acceptez. Voir la page Cookies pour le détail.

Application mobile. Angmate utilise des identifiants techniques :

- Session Firebase Auth : nécessaire, maintien de la connexion - Token FCM : envoi de notifications (si activées, consentement OS requis) - Firebase Analytics : mesure d'usage anonymisée (consentement requis, désactivable) - IDFA / GAID : publicitaire, uniquement si activé ultérieurement (ATT iOS / permission Android) - Préférences utilisateur : langue, thème, notifications (fonctionnel)

Angmate est réservée aux personnes âgées d'au moins 16 ans. Nous ne collectons pas sciemment de données de personnes de moins de 16 ans. Tout compte identifié comme appartenant à un mineur de moins de 16 ans sera supprimé sans préavis.

Parents et tuteurs : si vous constatez qu'un mineur de moins de 16 ans utilise Angmate, contactez dpo@angmate.fr. La suppression sera effectuée sous 7 jours.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, Angmate s'engage à :

- Notifier la CNIL dans les 72 heures de la prise de connaissance (art. 33 RGPD) - Informer les utilisateurs concernés dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé (art. 34 RGPD)

Une procédure d'incident documentée est maintenue à jour en interne.

La présente politique peut être mise à jour pour refléter les évolutions légales, réglementaires ou fonctionnelles. En cas de modification substantielle, l'utilisateur en est informé par notification in-app et/ou email au moins 30 jours avant l'entrée en vigueur.

La version en vigueur est toujours accessible depuis l'Application (Paramètres > À propos > Politique de confidentialité) et sur angmate.com/confidentialite.

Pour toute question relative à la protection de vos données ou pour exercer vos droits :

- Email DPO : dpo@angmate.fr - Questions générales : contact@angmate.fr - Adresse : ANGREVIER TECHNOLOGIES SASU, 15 Avenue Arthur Rimbaud, 60110 Méru, France - CNIL : www.cnil.fr, 01 53 73 22 22