Politique de
confidentialité Privacy
Policy

La présente Politique de Confidentialité a pour objet de vous informer de manière transparente sur la collecte, l'utilisation, le partage et la protection de vos données personnelles lorsque vous utilisez l'application mobile NeedOne (« l'Application »), conformément au Règlement (UE) 2016/679 (« RGPD »), à la Loi n° 78-17 du 6 janvier 1978 (« Loi Informatique et Libertés ») et à la Loi fédérale suisse sur la protection des données (LPD), selon les cas.

This Privacy Policy explains how NeedOne collects, uses, shares, and protects your personal data when you use the NeedOne mobile application (the "App"), in compliance with the EU General Data Protection Regulation (GDPR), French data protection law, and the Swiss Federal Act on Data Protection (FADP).

3.1 Données d'Identification et de Profil

3.1 Identification and Profile Data

• Nom / pseudonyme, âge, taille, poids, biographie personnelle
• Username, age, height, weight, personal bio
• Avatar personnalisé (configuration générée ou photo prise via la caméra)
• Custom avatar (generated config or camera photo)
• Sports favoris, position de jeu, pied préféré, niveau cardio
• Favorite sports, preferred position, dominant foot, cardio level
• Statistiques sportives auto-évaluées (PHY, MEN, TEC, VIT)
• Self-evaluated sports stats (PHY, MEN, TEC, VIT)
• Signe astrologique, numéro de maillot (optionnels)
• Zodiac sign, jersey number (optional)
• Adresse / ville (optionnel, pour la géolocalisation approximative)
• Address / city (optional, for approximate geolocation)

3.2 Données de Contact

3.2 Contact Data

• Adresse e-mail (obligatoire)
• Email address (required)
• Numéro de téléphone (optionnel)
• Phone number (optional)

3.3 Données d'Authentification

3.3 Authentication Data

• Identifiant de compte (UUID), méthode de connexion (e-mail, Apple Sign-In, Google Sign-In)
• Account UUID, sign-in method (email/password, Apple Sign-In, Google Sign-In)
• Mot de passe stocké uniquement sous forme de hash sécurisé (bcrypt)
• Password stored only as a secure hash (bcrypt)
• Tokens de session JWT et de rafraîchissement, e-mail OTP
• JWT session & refresh tokens, email OTP for verification

3.4 Données de Géolocalisation

3.4 Location Data

• Position géographique (latitude/longitude) lorsque l'Application est active
• Geographic position (latitude/longitude) while the App is active
• Seule la dernière position connue est conservée — aucun historique de déplacements n'est constitué
• Only the latest known position is retained — no travel history is built

3.5 Données de Communication

3.5 Communication Data

• Messages dans les discussions de Need (groupe) et messages directs (DM)
• Need group chat messages and direct messages (DM) between friends
• Photos partagées dans les conversations
• Photos shared in conversations
• Indicateurs de lecture, de saisie et statut de présence en ligne (éphémères)
• Read/typing indicators and online presence status (ephemeral)

3.6 Données d'Activité Sportive et Sociale

3.6 Sports & Social Activity Data

• Needs créés, rejoints et terminés ; événements organisés ou auxquels vous participez
• Created/joined/completed Needs; events organized or attended
• Niveau, XP, streaks, badges, défis relevés
• Level, XP, streaks, badges, challenges completed
• Publications sociales (posts), réactions et commentaires
• Social posts, reactions and comments
• Liste d'amis, code et statistiques de parrainage, utilisateurs signalés ou bloqués
• Friends list, referral code & stats, reported or blocked users

3.7 Médias Téléversés

3.7 Uploaded Media

Photo de profil, galerie, photos de conversations et de publications. Stockés sur Supabase Storage avec contrôle d'accès par utilisateur.

Profile photo, gallery, chat and post photos. Stored on Supabase Storage with per-user access control.

3.8 Données Techniques

3.8 Technical Data

• Identifiant d'appareil, modèle, OS et version
• Device identifier, model, OS and version
• Token de notification push (Expo / APNS / FCM), adresse IP
• Push notification token (Expo / APNS / FCM), IP address
• Rapports de plantage et performance (Sentry), analytics anonymisées
• Crash and performance reports (Sentry), anonymized analytics

3.9 Données de Transaction et d'Abonnement

3.9 Transaction & Subscription Data

• Identifiant client RevenueCat, statut d'abonnement Premium, type et historique des achats
• RevenueCat customer ID, Premium subscription status, type and purchase history

3.10 Données Publicitaires

3.10 Advertising Data

Pour les utilisateurs non Premium, l'Application affiche des publicités via Google AdMob. Aucune publicité personnalisée n'est diffusée sans votre consentement explicite (ATT sur iOS, consentement RGPD/UMP sur Android).

For non-Premium users, the App shows ads via Google AdMob. No personalized advertising occurs without your explicit consent (ATT on iOS, GDPR/UMP on Android).

Traitement	Processing	Base légale	Legal basis
Compte, messagerie, Needs, abonnements, achats	Account, messaging, Needs, subscriptions, purchases	Exécution du contrat (Art. 6.1.b)	Contract performance (Art. 6(1)(b))
Géolocalisation, notifications push, publicité personnalisée	Location, push notifications, personalized advertising	Consentement (Art. 6.1.a)	Consent (Art. 6(1)(a))
Personnalisation, sécurité, statistiques, prévention des abus	Personalization, security, analytics, abuse prevention	Intérêt légitime (Art. 6.1.f)	Legitimate interest (Art. 6(1)(f))
Obligations comptables, fiscales et légales	Accounting and legal obligations	Obligation légale (Art. 6.1.c)	Legal obligation (Art. 6(1)(c))

Vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur.

You may withdraw consent at any time without affecting prior lawful processing.

• Créer et gérer votre compte
• Create and manage your account
• Permettre la création, recherche et participation aux Needs et événements
• Enable Need and event discovery, creation and participation
• Faciliter la messagerie de groupe et privée
• Enable group and direct messaging
• Afficher votre profil public et votre progression (niveau, badges, XP)
• Display public profile and progression (level, badges, XP)
• Gérer les abonnements Premium et les achats de Boosts via RevenueCat
• Manage Premium subscriptions and Boost purchases via RevenueCat
• Mettre en avant vos Needs lorsque vous utilisez un Boost
• Highlight your Need when a Boost is active
• Envoyer des notifications (messages, Needs, rappels, amis, événements)
• Send notifications (messages, Needs, reminders, friends, events)
• Diffuser des publicités aux comptes non Premium (configurables)
• Serve ads to non-Premium users (configurable)
• Détecter, prévenir et modérer les comportements abusifs
• Detect, prevent and moderate abusive behavior
• Améliorer l'application via les rapports de plantage et analytics
• Improve the app via crash reports and analytics

6.1 Autres Utilisateurs

6.1 Other Users

Profil public visible : pseudonyme, âge, avatar, bio, sports favoris, stats, niveau, badges, publications. Votre e-mail, numéro de téléphone et historique de transactions ne sont jamais partagés publiquement.

Public profile visible: username, age, avatar, bio, favorite sports, stats, level, badges, social posts. Your email, phone number and transaction history are never publicly shared.

6.2 Sous-traitants

6.2 Processors

Partenaire / Partner	Rôle	Role	Localisation	Location
Supabase, Inc.	Base de données, auth, stockage	Database, auth, storage	🇪🇺 Francfort
Mapbox, Inc.	Cartographie	Mapping	🇺🇸 USA
RevenueCat, Inc.	Abonnements & achats	Subscriptions & purchases	🇺🇸 USA
Expo (Snack 822 Labs)	Notifications push, mises à jour OTA	Push notifications, OTA updates	🇺🇸 USA
Apple Inc.	Sign-In, paiements, APNS	Sign-In, payments, APNS	🇺🇸 USA
Google LLC	Sign-In, paiements, FCM, AdMob	Sign-In, payments, FCM, AdMob	🇺🇸 USA
Sentry	Plantages & performance	Crash & performance monitoring	🇺🇸 USA
OpenStreetMap	Données de lieux sportifs	Sports venue data	🇪🇺 Europe

Certains sous-traitants sont basés aux États-Unis. Les transferts hors EEE sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission Européenne ou par le Data Privacy Framework UE-US lorsque applicable. Une copie des garanties est disponible sur demande à support@needone.club.

Some processors are based in the United States. Transfers outside the EEA rely on Standard Contractual Clauses (SCCs) and, where applicable, the EU-US Data Privacy Framework. A copy of the safeguards is available upon request at support@needone.club.

Type de données	Data type	Durée	Retention
Compte et profil	Account and profile	Durée d'utilisation + 30 jours	Active use + 30 days
Messages & médias	Messages & media	Supprimés avec le compte	Deleted with account
Géolocalisation	Location	Dernière position uniquement	Latest position only
Transactions & abonnements	Transactions & subscriptions	10 ans (obligations légales)	10 years (legal obligations)
Logs de connexion	Connection logs	1 an	1 year
Rapports Sentry	Sentry crash reports	90 jours	90 days
Signalements & blocages	Reports & blocks	Durée nécessaire à la modération	As long as needed for moderation

• Accès, rectification, effacement, limitation, portabilité, opposition
• Access, rectification, erasure, restriction, portability, objection
• Retrait du consentement (géolocalisation, notifications, publicité) à tout moment
• Withdrawal of consent (location, notifications, advertising) at any time
• Droits équivalents pour les utilisateurs suisses (LPD)
• Equivalent rights under Swiss FADP
• Directives post-mortem (Art. 85 Loi Informatique et Libertés)
• Post-mortem directives (Art. 85 French Data Protection Act)

• Chiffrement en transit (TLS 1.2+) et au repos (AES-256)
• Encryption in transit (TLS 1.2+) and at rest (AES-256)
• Authentification JWT, mots de passe hachés (bcrypt)
• JWT authentication, bcrypt password hashing
• Row-Level Security (RLS) sur la base de données Supabase
• Row-Level Security (RLS) on the Supabase database
• SecureStore (iOS) et AsyncStorage chiffré
• SecureStore (iOS) and encrypted AsyncStorage
• Webhooks RevenueCat signés et vérifiés, principe du moindre privilège
• Signed RevenueCat webhooks, least-privilege principle, regular audits

Permissions demandées : iOS : localisation pendant l'utilisation de l'Application — Android : ACCESS_COARSE_LOCATION, ACCESS_FINE_LOCATION.

Permissions: iOS: "while in use" — Android: ACCESS_COARSE_LOCATION, ACCESS_FINE_LOCATION.

Envoyées via Expo Push Service (relayé vers APNS/FCM). Types : messages, participants, Needs à proximité, rappels, amis, badges, niveaux, événements, récompenses, abonnement.

Sent via Expo Push Service (relayed to APNS/FCM). Types: messages, Need participants, nearby Needs, reminders, friends, badges, levels, events, rewards, subscription.

Désactivation : paramètres de l'appareil ou de l'Application (Paramètres → Notifications).

Disable: device or app settings (Settings → Notifications).

• iOS : la collecte de l'IDFA pour la publicité personnalisée requiert votre consentement via App Tracking Transparency (ATT)
• iOS: IDFA collection for personalized ads requires your App Tracking Transparency (ATT) consent
• Android : un écran de consentement Google UMP est présenté aux utilisateurs de l'EEE/Royaume-Uni/Suisse
• Android: a Google UMP consent screen is shown to EEA/UK/Swiss users
• Vous pouvez retirer ce consentement à tout moment dans les paramètres de l'Application ou du système
• You may withdraw advertising consent at any time in app or system settings

• Gérés par RevenueCat, relayant Apple App Store et Google Play
• Managed by RevenueCat, relaying Apple App Store and Google Play
• Le renouvellement automatique peut être désactivé dans les paramètres de votre compte App Store ou Google Play
• Auto-renewal can be turned off at any time in your App Store or Google Play account
• Les remboursements sont gérés par Apple ou Google selon leurs politiques respectives
• Refunds are handled by Apple or Google per their respective policies
• Aucun achat n'est lié à votre compte bancaire au-delà de la plateforme de paiement
• No purchase data is linked to your bank beyond the payment platform itself

NeedOne est réservé aux personnes de 16 ans et plus. Lorsque le droit local l'exige pour les mineurs, l'autorisation parentale est requise. Si un utilisateur en dessous de l'âge minimum est identifié, son compte pourra être supprimé sans préavis.

NeedOne is intended for users aged 16 or older. Where local law requires parental authorization for minors, such authorization must be obtained. Underage accounts may be removed without notice.

L'Application utilise AsyncStorage et SecureStore (iOS) pour : session, cache, file d'attente hors ligne, préférences linguistiques et thématiques, état du guide d'introduction.

The App uses AsyncStorage and SecureStore (iOS) for: session, cache, offline queue, language/theme preferences, and onboarding tour state.

NeedOne n'effectue aucune décision entièrement automatisée au sens de l'Art. 22 RGPD. Les recommandations de Needs et de partenaires reposent sur la proximité géographique, les sports pratiqués et l'activité récente.

NeedOne does not perform fully automated decisions producing legal or similarly significant effects under GDPR Art. 22. Need and partner recommendations are based on geographic proximity, sports practiced and recent activity.

Toute modification substantielle vous sera communiquée par notification in-app et/ou e-mail. La date de dernière mise à jour figure en haut de ce document.

Material updates will be communicated in-app and/or by email. The latest update date is shown at the top of this document.

• CNIL — 3 Place de Fontenoy, 75334 Paris Cedex 07 — www.cnil.fr
• CNIL (France) — 3 Place de Fontenoy, 75334 Paris Cedex 07 — www.cnil.fr
• PFPDT/FDPIC (Suisse) — www.edoeb.admin.ch
• FDPIC (Switzerland) — www.edoeb.admin.ch
• Les résidents d'autres États peuvent s'adresser à leur autorité nationale de protection des données.
• Residents of other states may contact their national data protection authority.

Pour toute question, exercice de droits ou signalement :

For privacy questions or rights requests: