Politique de confidentialité

Version 1.0 - Date de mise a jour: 23 avril 2026

1. Objet de la politique

La presente politique de confidentialité décrit les modalités selon lesquelles les services JitaVision, incluant l application mobile (iOS/Android), les interfaces web associées et le backend, collectent, utilisent, stockent, partagent et suppriment les données à caractère personnel, conformément au règlement (UE) 2016/679 (RGPD).

Elle couvre les traitements effectivement implémentés dans le projet JitaVision (code et documentation de conformité associée), notamment les parcours d'authentification, la gestion des comptes et profils, les traitements vidéo/OCR, les notifications, l'export de données et la suppression de compte.

2. Responsable de traitement

Le responsable de traitement est l'entité exploitant JitaVision.

  • Raison sociale: Dimitri Lefebvre
  • Représentant légal: Dimitri Lefebvre
  • Adresse: 3 rue saint fiacre 60200 COMPIEGNE
  • Email de contact vie privée: rgpd@jitavision.com
  • Contact DPO: à compléter si applicable

3. Données traitées

3.1 Données d'identité et de compte

  • données: email, prénom, nom, rôle utilisateur, informations de profil;
  • données mineurs: relation représentant légal-enfant mineur et informations associées nécessaires à l'administration du profil;

Finalités: création et gestion du compte, authentification, gestion des profils adultes et mineurs, personnalisation de l'expérience utilisateur.

Base légale: article 6.1.b (exécution du contrat) et article 6.1.c pour certaines traces de conformité.

3.2 Données de sécurité et de session

  • données: jetons d'accès et de rafraîchissement, informations appareil de session (device_id, plateforme, version application, dernier accès), journaux de tentatives de connexion et éléments de sécurité associés (ex: verrouillage de compte après échecs répétés);

Finalités: maintien de session, sécurisation des accès, gestion multi-appareils, révocation des sessions.

Base légale: article 6.1.b (exécution du service) et article 6.1.f (intérêt légitime, sécurité des comptes).

3.3 Données vidéo et contenus médias

  • données: vidéos de combat (capture caméra ou import galerie), audio inclus, miniatures, métadonnées d'upload (taille, durée, résolution, date, source), événements d'analyse et statuts de traitement;

Finalités: analyse technique des combats, replay/statistiques, gestion des uploads et re-uploads.

Base légale: article 6.1.b (exécution du service demande).

3.4 Données d'activité et de progression

  • données: historique fonctionnel (vidéos, badges, statistiques, onboarding), préférences de notification, consentements utilisateur (état, type, date de mise à jour);

Finalités: fourniture des fonctionnalités métier, suivi de progression, administration des consentements.

Base légale: article 6.1.b (exécution du service), article 6.1.c (preuve des consentements lorsque requis), article 6.1.a (consentement pour traitements optionnels).

3.5 Données de diagnostic technique

  • données: logs de crash, traces d'erreur, breadcrumbs navigation/API, identifiant utilisateur pseudonymisé (id technique), tag de plan;

Finalités: stabilité, débogage, maintenance et amélioration de la fiabilité.

Base légale: article 6.1.f (intérêt légitime, sécurité et bon fonctionnement du service).

4. Données non collectées à ce stade

  • géolocalisation GPS: non collectée;
  • contacts, calendrier, historique web et données financières de paiement in-app: non collectés par la version mobile auditée.

5. Sources de données

Les données proviennent de vos saisies directes, de l'usage de l'application, de votre terminal (permissions media/camera/micro selon usage) et des réponses du backend JitaVision.

6. Permissions et accès appareil

L'application peut demander, selon les écrans utilisés:

  • caméra;
  • microphone;
  • accès médias/images/vidéos pour import depuis la galerie.

Ces permissions servent exclusivement aux fonctionnalités vidéo/media du service.

7. Destinataires et sous-traitants

7.1 Destinataires internes

Les données sont traitées par les équipes habilitées de JitaVision (technique, support, exploitation), dans la limite du besoin d'en connaître.

7.2 Sous-traitants techniques

  • Sentry: diagnostic crash et erreurs techniques (données pseudonymisées);
  • infrastructure de stockage objet (S3-compatible selon déploiement) pour les fichiers vidéos et médias;
  • infrastructure backend et composants techniques (API, base de données, bus, SMTP) selon la configuration de l'exploitant.

Aucune vente de données personnelles. Les partages sont limités aux besoins techniques d'hébergement, de sécurité et de maintenance.

8. Transferts hors UE

La mise a disposition mobile repose sur deux services de notifications push externes: Firebase Cloud Messaging (FCM - Google) pour Android et Apple Push Notification service (APNs - Apple) pour iOS. Ces flux push peuvent impliquer des traitements hors UE selon l'infrastructure des fournisseurs et la localisation effective de leurs services.

Les données principales sont hébergées en France/UE; les canaux push mobiles Android/iOS peuvent toutefois transiter via des infrastructures hors UE.

Selon la configuration déclarée du projet, l'hébergement principal repose sur OVHcloud Gravelines (France, UE) et le fournisseur SMTP configuré est OVH. Le risque principal de transfert hors UE concerne donc surtout les notifications push mobiles Android/iOS. Aucun autre service tiers hors UE n'est explicitement imposé par le code à ce stade; les intégrations externes dépendent de la configuration de l'exploitant.

Lorsque nécessaire, des garanties appropriées sont appliquées conformément aux articles 44 et suivants du RGPD (clauses contractuelles types, décisions d'adéquation, mesures complémentaires techniques et organisationnelles).

9. Durées de conservation

Sauf obligation légale contraire, les données sont conservées selon les principes suivants:

9.1 Données compte et profil

  • conservées tant que le compte est actif;
  • en cas de suppression de compte, suppression logique puis définitive selon le cycle technique du backend (fenêtre de grâce constatée jusqu'à 30 jours);

9.2 Données vidéos et analyses

  • conservées tant que nécessaires à la fourniture du service replay/analyse ou jusqu'à suppression utilisateur/suppression du compte.

9.3 Consentements

  • conservation des traces de consentement pendant la durée légale applicable (minimum 5 ans indiqué dans la documentation de conformité du projet).

9.4 Données diagnostic tiers

  • rétention cible: 90 jours pour les données Sentry, selon paramétrage.

9.5 Données locales sur l'appareil

  • jetons d'authentification: jusqu'à déconnexion ou invalidité session;
  • préférences locales: jusqu'à déconnexion ou suppression locale;
  • snapshots de cache local: fenêtre de fraîcheur de 24 h, puis rafraîchis;
  • index vidéo local/outbox: conservés tant que non purgés;
  • fichiers vidéo locaux: conservation ou suppression automatique après upload réussi selon la politique configurée de purge locale ;
  • fichier d'export de données: temporaire puis supprimé après partage sur iOS, enregistré dans le dossier choisi par l'utilisateur sur Android.

10. Sécurité des données

Mesures principales:

  • chiffrement en transit via HTTPS/TLS pour appels API et uploads;
  • stockage sécurisé des jetons de session via mécanismes sécurisés natifs (Keychain/Keystore selon plateforme);
  • séparation des stockages locaux selon les usages (tokens, préférences, caches, index vidéos, fichiers médias);
  • contrôle des sessions (refresh, invalidation/logout, gestion appareils);
  • journalisation technique et supervision des erreurs.

Note relative au certificate pinning: le projet inclut un mécanisme de pinning TLS configurable à la build. Son activation dépend de la configuration d'environnement et de pins valides.

11. Vos droits RGPD

Conformement au RGPD, vous disposez notamment des droits suivants:

  • droit d'accès;
  • droit de rectification;
  • droit à l'effacement;
  • droit à la limitation;
  • droit d'opposition (selon les cas);
  • droit à la portabilité;
  • droit de retirer votre consentement à tout moment pour les traitements fondés sur le consentement.

Moyens disponibles:

  • écran de gestion des consentements;
  • export de vos données;
  • suppression du compte depuis l'application et via la page dédiée de suppression;
  • gestion des appareils connectés.

Vous pouvez également exercer vos droits via rgpd@jitavision.com.

12. Mineurs et représentants légaux

L'application prend en charge des profils mineurs via représentant légal. Certaines données du représentant légal sont nécessaires à la création et à la gestion du compte mineur. Les traitements sont limités aux finalités de gestion sportive, d'authentification et d'administration du compte.

13. Base contractuelle et caractères obligatoires

Les données strictement nécessaires à l'ouverture et à l'utilisation du service (email, identité minimale, authentification, données vidéo pour l'analyse) sont obligatoires pour fournir les fonctionnalités correspondantes.

Les données optionnelles (certaines préférences et champs de profil) restent facultatives, sauf mention contraire dans les formulaires.

14. Cookies et version web

Sur mobile natif, les données de session sont gérées via les stockages applicatifs sécurisés. Sur web (mode navigateur), certains éléments de session peuvent être stockés localement (exemple: fallback localStorage), ce qui est potentiellement moins sécurisé qu'un stockage natif sécurisé. Cette modalité reste limitée au contexte web.

15. Évolution de la politique

Cette politique peut être mise à jour pour refléter les évolutions fonctionnelles, les exigences légales/réglementaires et les changements de sous-traitants ou de mesures de sécurité. La date de mise à jour en tête du document fait foi.

16. Réclamation auprès d'une autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente (en France: CNIL, www.cnil.fr) ou de CNIL (Commission Nationale de l Informatique et des Libertes).

Annexe - Cartographie technique de référence

Principaux traitements vérifiés dans le projet JitaVision:

  • authentification et jetons: secure store natif + refresh;
  • profil/compte: endpoints /me, /me/consents, /me/devices, /me/notifications/preferences, /me/export, DELETE /me;
  • vidéos: import/capture locale, upload presigné, completion, replay;
  • données locales: AsyncStorage/MMKV selon usages, fichiers app documents/cache/outbox;
  • diagnostic: Sentry (si configuré) + journalisation technique;
  • liens légaux: politique de confidentialité, CGU, suppression de compte.

Pour toute question relative à cette politique: rgpd@jitavision.com.