Politique de confidentialité

La présente politique de confidentialité décrit comment JoyUp (édité par JOYOUT SAS, dont le siège est situé 6 rue d'Armaille, 75017 Paris, ci-après « JoyUp », « nous ») collecte, utilise et protège tes données personnelles lorsque tu utilises notre application mobile et notre site web (le « Service »).

Cette politique est rédigée conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (RGPD) et à la loi française « Informatique et Libertés ».

1. Responsable du traitement

Le responsable du traitement de tes données est JOYOUT SAS, immatriculée au RCS de Paris sous le numéro SIRET 943 335 604 00014. Pour toute question relative à tes données, contacte-nous à privacy@joyout.fr.

2. Données que nous collectons

Données fournies directement

• Compte : adresse e-mail, prénom, mot de passe (chiffré), photo de profil.
• Profil : centres d'intérêt, valeurs, ville, biographie, préférences de sortie.
• Contenu : sorties que tu crées, photos, descriptions, messages échangés dans le chat.
• Contact : messages adressés à notre support.

Données collectées automatiquement

• Localisation : position approximative ou précise (avec ton consentement) pour t'afficher les sorties à proximité.
• Appareil : modèle, système d'exploitation, langue, identifiants techniques.
• Logs : adresse IP, dates et heures de connexion, pages consultées.
• Notifications : jeton de notification push (FCM, OneSignal).
• Diagnostic : rapports de plantage, performances anonymisées.

Données de paiement

Les achats de billets sont traités par Stripe. Nous ne stockons jamais ton numéro de carte bancaire. Stripe agit en tant que responsable de traitement distinct pour ces données — voir la politique de Stripe.

3. Pourquoi nous traitons tes données (finalités et bases légales)

• Fournir le Service (création de compte, sorties, billets) — base légale : exécution du contrat.
• Recommandations personnalisées de sorties et de profils — base légale : intérêt légitime, ou consentement quand requis.
• Sécurité et lutte contre la fraude — base légale : intérêt légitime.
• Communications (e-mails transactionnels, notifications push) — base légale : exécution du contrat ou consentement (marketing).
• Modération des contenus signalés — base légale : intérêt légitime et obligation légale.
• Obligations légales et comptables (facturation, lutte anti-fraude) — base légale : obligation légale.
• Statistiques d'usage agrégées et anonymisées — base légale : intérêt légitime.

4. Avec qui nous partageons tes données

Nous ne vendons jamais tes données. Nous les partageons uniquement avec des sous-traitants techniques nécessaires au fonctionnement du Service :

• Google Firebase (Auth, Firestore, Storage, Cloud Functions, FCM) — hébergement et infrastructure.
• Stripe — traitement des paiements.
• OneSignal — envoi de notifications push.
• Apple et Google — connexion via Sign in with Apple et Google Sign-In.
• OpenAI, Anthropic, Google Gemini — fonctionnalités d'intelligence artificielle (génération de descriptions, modération assistée). Aucun contenu n'est utilisé pour entraîner ces modèles.
• Vercel — hébergement de notre site web.
• Autorités publiques uniquement en cas d'obligation légale ou de demande d'autorité judiciaire.

5. Transferts hors Union Européenne

Certains de nos sous-traitants (notamment Google, Stripe, OpenAI) traitent des données aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne, ou par le Data Privacy Framework UE-USA lorsque le sous-traitant y est certifié.

6. Durées de conservation

• Compte et profil : jusqu'à la suppression du compte par toi-même ou par nos soins après 3 ans d'inactivité.
• Données de transaction (billets) : 10 ans pour respecter nos obligations comptables et fiscales (article L. 123-22 du Code de commerce).
• Logs de connexion : 12 mois (LCEN, article 6-II).
• Messages dans les chats : jusqu'à la suppression du compte ; conservation prolongée jusqu'à 1 an si signalement pour modération.
• Données de marketing : jusqu'au retrait de ton consentement, et au maximum 3 ans après le dernier contact.

7. Tes droits

Conformément au RGPD, tu disposes des droits suivants :

• Accès à tes données.
• Rectification des données inexactes.
• Effacement (« droit à l'oubli ») — voir notre page Suppression de compte.
• Limitation du traitement.
• Portabilité de tes données dans un format structuré.
• Opposition au traitement basé sur l'intérêt légitime.
• Retrait du consentement à tout moment, sans effet rétroactif.

Pour exercer un de ces droits, écris-nous à privacy@joyout.fr. Tu disposes également du droit d'introduire une réclamation auprès de la CNIL (cnil.fr/fr/plaintes).

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des données en transit (TLS) et au repos, hébergement sur Google Cloud / Firebase, accès restreint aux données par le strict nécessaire, journalisation des accès, sauvegardes chiffrées. Aucune méthode de transmission ou de stockage n'étant infaillible, nous ne pouvons garantir une sécurité absolue.

9. Mineurs

Le Service est réservé aux personnes âgées de 16 ans ou plus. Nous ne collectons pas sciemment de données concernant des personnes de moins de 16 ans. Si tu constates qu'un mineur de moins de 16 ans nous a fourni des données, contacte-nous : nous supprimerons son compte.

10. Cookies et traceurs

Notre site web utilise des cookies strictement nécessaires (préférence de langue, authentification). Aucune publicité personnalisée n'est servie. L'application mobile utilise des SDK techniques (Firebase, OneSignal, Stripe) listés à la section 4.

11. Modifications de cette politique

Nous pouvons modifier cette politique. La date « Mise à jour » en haut de page reflète la dernière version. En cas de changement substantiel, nous t'en informerons par e-mail ou via une notification dans l'application.

12. Contact

Pour toute question : privacy@joyout.fr.
Adresse postale : JOYOUT SAS, 6 rue d'Armaille, 75017 Paris, France.